信息系统安全风险

风险名称: 信息系统安全风险

风险类别: 信息风险

发生过程: 信息系统中发生用户标识截取、伪装、重放攻击；数据截取；非法使用；病毒；拒绝服务；恶意移动代码；数据库数据文件丢失、系统损坏、系统源文件泄露、系统管理员口令暴漏等问题。造成信息系统发生重大安全事故。

造成的损失或影响:

从行为目的上可分为：欺诈盗窃和破坏两种类型。根据网络与信息安全突发公共事件的可控性、严重程度和影响范围，一般分为四级：

一级（特别重大）：不法分子利用公司信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者公司、部门多地点或多地区基础网络、重要信息系统、重点网站瘫痪，导致业务中断，造成或可能造成严重社会影响或巨大经济损失的信息安全事件。

二级（重大）：公司重要部门或局部地区基础网络、重要信息系统、重点网站瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社会影响或较大经济损失的信息安全事件。

三级（较大）：公司重要部门网络与信息系统、重点网站或者关系到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重冲击的信息安全事件。

四级（一般）：公司部门、单位较大范围出现并可能造成较大损害的其他信息安全事件。

产生原因:

一是系统安全防护配置不恰当。如：系统虽然设有防火墙，但配置不当，结果只能部分起作用或根本不起作用

二是系统本身存在缺陷。有些计算机网络系统建立时并未采取有效的安全措施，如：随便允许与其他网络互联、共享文件没有保护、备份不按时，这样容易被"人"闯入系统或者被使用者轻易地将共享文件修改、删除，而且不易被恢复

三是系统权限层次设置过少、用户口令短而简单。为了图方便，有些用户密码、口令设置过于简单，而且长时间不更换，系统中权限、用户密码无专人管理，有些口令泄露后没有及时采取措施进行更新四是审核制度不严，有的计算机系统增加新的应用软件或者对已有软件升级之前，没有对这些软件进行必要和严格的测试，之后亦未经试运行，这样很容易将不安全因素带入系统之中

防止同类事件再次发生所采取的对策：

信息系统总体规划，制定明确、持续的风险管理策略，按照信息系统的敏感程度对各个集成要素进行分析和评估，并实施有效控制。

在硬件方面选择满足安全要求的解决方案。在网络安全方面，要将内部网络与外部网络隔离，通过防火墙或者代理服务器连接。通过隔离连接减少系统暴露面，发现问题系统及时报告及时处理。在信息系统建设上，借鉴成熟的运行系统，采用成熟的信息技术，加强软件版本管理；在信息系统运行方面，应建立健全信息系统相关的规章制

度、技术规范、操作规程等；明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。安全控制不断检测，不断发现不安全因素，不断地改进，使系统符合变化环境下安全需求。

事件的处理：风险控制；风险预防。

风险管理策略:

采用防火墙、入侵检测系统、漏洞扫描系统、防病毒系统、数据备份、主机防护等技术和产品进行纵深防御，并对员工进行定期的安全培训，提高他们的技术水平和安全意识，从而保障信息系统的安全、稳定、优质运行。

风险解决方案:

按照组织结构进行网络规划，将物理连接在一起的计算机划分成多个“域”（部门），每一个“域”（部门）覆盖范围明确、相对独立，“域”（部门）之间互不干扰，被授权的用户可以跨“域”（部门）操作。数据加密处理是保障信息安全的另一道屏障。采用高强度加密技术处理。制订并认真执行有关的规章制度、安装安全性高的硬件设备。保证企业内部信息处于一个相对安全的环境。

涉及的主要所属企业：崇信发电公司。

涉及的重要流程：信息系统管理流程；信息安全管理流程、计算机管理制度流程、信息系统使用流程。