企业信息技术风险及其防范机制研究.pdfVIP

·182· 第二十次全国计算机安全学术交流会论文 企业信息技术风险及其防范机制 张宏斌 中山大学岭南学院 摘要：信息技术安全问题是企业在信息化过程中面临的一个严峻挑战，而识别和防范信息 技术风险则是保障企业信息技术安全的基础。信息技术风险是指企业的信息技术资 源因为出错、被入侵或攻击等原因而产生的可能损失。企业信息技术风险主要包括 非法入侵、恶意攻击、内部职工破坏、诈骗等，它对企业的可持续经营构成严重威 胁，同时也造成了巨大的财务损失。企业应建立健全的机制，全面识别、评估、防 范和监控信息技术风险。 关键词：信息技术安全 信息技术风险 风险防范 本文的信息技术风险是指企业的信息技术资源 一、 企业信息技术风险的概念与类型 因为出错、被入侵或攻击等原因而产生的可能损失。 这里的信息技术是一个广义的概念，它包括：硬件、软 风险在不同的领域有着不同的含义(Renn， 件、通信系统、收集和表示数据的设备(如ATM、POS 2004)，一般是指遭受损失的可能性，或者指可能的 机等)、以数字化形式存储的资料、以及提供这些服务 损失额。信息技术风险也称为信息技术安全风险，不 的人员。如同风险一样，信息技术风险也可以度量， 同学者对其有着不同的定义。McCarthy认为信息技 术风险是“系统中特定的漏洞被人利用的可能性，不 信息技术风险=危险发生概率X系统脆弱程度× 管是故意还是意外”(McCarthy，2003)。Maye和Ataya 损失金额 认为“信息技术风险是企业因依赖信息而造成损失 危险发生概率是指某种危险发生的可能性大小， 的可能性”(MayeAtaya，2002)。有些学者也将信 如今几乎每天都会有一种新的病毒、蠕虫或特洛伊木 息技术风险称为信息风险，但是信息风险是一个在 马(下文中将这三者统称为病毒)出现，只要是上互联 信息经济学领域中广为接受的名词，一般是指因为 网的PC机，都会遭受病毒的攻击，因此上网PC机的 信息的不对称或信息的不完全，对组织、个人实现其 病毒危险发生概率为100％。假设某PC机对于病毒 目标或战略所造成的负面影响。 攻击的脆弱性为80％，病毒攻击后的损失为20000 如今，企业信息技术风险同财务风险、信用风 元，则该计算机的病毒攻击信息技术风险为： 一险。-经营-g-险一样_受到组世：高层的关注和重视了一一 信息技术风险=危险发生概率×系统脆弱程度× ErnstYoung公司在加拿大1000家最大企业中选 损失金额 择了80家公司进行调查，结果显示企业CEO和CIO=100％x80％x20000=16000(元) 认为企业持续经营阿颞风险趸讦算韧冻萄殂陌 信息技术风险的分类方法有多种，既可以根据损 (ErnstYoungLLP，2002)。 失的类型来分，也可以按照危险种类来区分。根据损 大会论文 ·183· 失类型，信息技术风险可以分为财务风险、竞争优势 6、战争、恐怖袭击、抢劫、偷盗等人为灾难或事 风险、名誉风险等。根据危险种类，信息技术风险包 件。这些人为灾难或事件