1信息網絡結構和邊界風險
由於不同安全域之間的網絡連接沒有有效的訪問控制措施,來自互聯網的訪問存在潛在的掃描攻擊、DOS攻擊、非法侵入等。
2病毒侵害和網絡攻擊
企業中的防病毒軟件只能查殺病毒,卻不能有效地阻止病毒的傳播;入侵檢測系統可以檢查出蠕蟲在網絡上傳播,卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲。企業各個安全產品單獨工作,無法系統地查殺病毒並防止病毒傳播。
3系統安全風險
系統安全風險主要指操作系統、數據庫系統和各種應用系統所存在的安全風險。目前不少企業網絡使用的操作系統仍然是以Windows系列操作系統為主。不管使用哪壹種操作系統都存在大量已知和未知的漏洞,這些漏洞可以導致人侵者獲得管理員的權限,可以被用來實施拒絕服務等攻擊。
4信息日常傳遞風險
企業和外部的單位都有著許多工作聯系,日常許多信息數據都需要通過互聯網來傳輸。網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取,從而泄露企業機密;被非法篡改,造成數據混亂、信息錯誤從而造成工作失誤等。非法用戶還有可能假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來棍亂,造成企業損失。
從信息安全管理層面來看,有:
1信息安全管理措施不到位
企業因配置不當或使用過時的操作系統、郵件程序等,造成企業內部網絡存在入侵者可利用的缺陷。當廠商通過發布補丁或升級軟件來解決安全問題時,許多用戶系統不進行同步升級,原因是管理者未充分意識到網絡不安全的風險所在,未引起重視。有些信息系統采用開放的操作系統,安全級別低,又沒有附加安全措施,難以抵禦黑客和信息炸彈的攻擊。
2企業信息管理革新明顯滯後技術發展
相對於信息技術的發展與應用,企業管理革新處於落後狀況。有的企業引入了先進的業務系統、管理系統,而管理模式未能實施有效革新,最終導致了信息系統未能發揮預期的、應有的作用。
3用戶身份認證和訪問控制不夠
在實際應用中,企業部分應用系統的用戶權限管理功能過於簡單,不能靈活實現更細的權限控制;部分應用系統沒有壹個統壹的用戶管理,無法保證賬號的有效管理和安全;同時因缺乏嚴格的驗證機制,導致非法用戶使用關鍵業務系統;不同業務系統之間缺少較細粒度的訪問控制。
4企業工作人員安全意識淡薄
企業人員忙於利用網絡工作學習,對網絡信息的安全性無暇顧及,安全意識淡薄。企業註重的是網絡效應,對安全領域的投入和管理不能滿足安全防範的要求,網絡信息安全處於被動的封堵漏捌狀態。工作人員安全意識不強,如***用口令、隨意復制及傳播企業內部信息等,增加了黑客進攻的機會和信息泄露的風險,這都將給企業網絡信息安全埋下隱患。
5企業信息資產管理風險較高
信息資產的高風險性源自於信息資產傳播的低成本性。在激烈競爭的市場環境中信息資產的安全風險較高。壹般來說,信息資產經常處於公***的介質中或處於流動狀態,這就使信息資產的復制成本較低,從而導致企業擁有和控制的信息資產的安全性很差。沒有安全保障的信息資產,談不上資產價值。信息資產具有工程性和社會性的軟硬屬性,短期無法量化,價值的確認存在風險,管理的過程中也存在類似風險。