移动办公风险规避

11.4　移动办公风险规避

移动办公项目的关键资源是人，企业要营造良好的学习环境，建立有效的学习机制，同时要对企业领导、专业技术人员和普通员工进行有关基本知识技能、预期效果等知识的培训，达成全员对移动化建设总体思路、步骤等的共识，增强全员的参与性、积极性和创造性，提高项目成功率。同时通过风险分析结果，提出防范和控制风险措施，保证移动化系统和移动化业务的正常运行。

11.4.1　技术风险的规避与控制

11.4.1.1　部署防火墙

在防火墙设置上可按以下原则配置，以提高网络安全性:

◇根据网络安全策略和安全目标，规划设置正确的安全过滤规则，审核IP数据包内容，包括协议、端口、源地址、目的地址、流向等项目，禁止外界对内网非法访问;

◇过滤以内网地址进入路由器IP包，以防范源地址假冒和源路由类型的攻击，过滤以非法IP地址离开内网IP包，防止内网发起对外攻击;

◇在防火墙上建立内网计算机IP地址和MAC地址的对应表，防止IP地址被盗用;

◇定期查看防火墙访问日志，及时发现、清理攻击行为和不良上网记录;

◇允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

11.4.1.2　部署入侵检测系统

入侵检测系统一般集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据。如果情况严重，入侵检测系统可发出实时报警，便于网络管理员及时采取应对措施。

11.4.1.3　使用漏洞扫描系统

先进的漏洞扫描系统能定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全分析报告，为提高网络安全水平提供保障。

11.4.1.4　网络版杀毒产品部署

安装网络版杀毒产品，具有远程安装、智能升级、远程报警、集中管理、分布查杀等功能。

11.4.1.5　建立移动设备安全策略

当移动设备丢失或被盗时，通过在建立移动设备安全策略时考虑以下防范措施，就能将泄露企业信息的风险降到最低:

◇密码保护的移动设备。如果最后落在了别人手里，设备密码是第一道防线。强密码口令是很必要的:应该尽可能使用至少6个字符的PIN码或文字数字密码。

◇移动设备上的混合数据加密。未加密的数据可以重新从丢失或被盗的设备中取回。

◇安装远程数据擦除的软件。应该制定一个严格的政策，那就是移动设备一旦丢失或被盗就必须立即向适当部门报告，并且报告携带者立即停止使用。在丢失的设备上安装了远程擦除或禁用的软件，一般就会使偷盗设备的人扔下或者尝试重启设备(在锁定数据的情况下，就会一并擦除数据)。

◇建立移动设备备份政策。如果设备遗失或被盗，外部媒体上的数据备份［例如多媒体记忆卡(MMC)或安全数字(SD)记忆卡］对于还原信息来说是至关重要的。

◇不断评估在移动设备上安装的防病毒保护软件。很多防病毒经销商都提供保护移动设备的防病毒软件。随着移动化成为主流，病毒、特洛伊木马、蠕虫、移动代码以及其他恶意代码攻击移动设备只是时间问题。如果移动员工使用像热点无线局域网这样的公共网络，使用防病毒软件和防火墙就特别重要。

◇考虑硬件级别的技术风险。在评估移动设备与业务应用程序一起使用时，考虑它们是否能提供硬件级别的技术风险选择(例如像相机或蓝牙无线设备那样的打开和关闭功能等)。

11.4.2　经济风险的规避与控制

(1)建立风险预警指标

通过对项目进行技术经济分析，计算项目的NPV、ROI和估计回报率，确定风险预警指标，当项目所面临的经济环境(宏观经济环境和企业自身环境)达到预警水平时，应当采取适当措施暂停甚至退出项目。

(2)合同风险规避

企业在签订合同时应注意:①分别签订软件、实施、培训及服务合同;②合同细则越细越好，尤其是双方在实施过程中的责任和义务;③付款方式按阶段性验收结果进行;④在合同上列清项目最终验收标准。

11.4.3　管理风险的规避与控制

(1)实行高层管理者负责制。高层管理者必须对办公自动化系统有充分的理解和认识，具有长远眼光，能作出正确决策，确保资金、人力等关键资源有效使用，减少各种阻力。

(2)建立企业内部控制制度。明确岗位责任制，实行分级授权管理，形成相互制约机制并认真执行。

11.4.4　其他风险的规避与控制

一般通过对项目实施过程进行跟踪、控制，做到发现问题及时解决，从而尽可能减少项目可能出现的技术、经济、管理风险之外的其他决策风险。可从项目开发、信息资源管理及移动办公系统应用三个方面对项目进行多方面的控制。

11.4.4.1　开发控制

◇系统开发初期进行详细可行性研究;

◇系统开发过程中，内审和风险管理人员参与系统控制功能的研究与设计，制定方案并实施;

◇若确定设计需更改时，更改前必须有周密计划和详细记录，更改环节应设置必要的控制，更改的原因和性质要有书面报告，经批准后方可实施。

11.4.4.2　信息资源控制

◇采用服务器模式组建企业内网;

◇采用较成熟的大型网络数据库产品，合理定义应用子模式;

◇建立信息资源授权制度;

◇制定网络数据备份、恢复及补救措施。

11.4.4.3　应用控制

这里讲的应用控制是指在数据输入、通讯、处理和输出环节所采用的控制程序和措施。

◇输入控制的重点在于建立适当的授权和审批机制，并对输入数据的准确性进行校验;

◇处理控制的重点在于处理权限控制、处理过程的流程控制、数据有效性检测和错误纠正控制等;

◇数据输出控制的重点在于输出权限控制、数据稽核检验、输出合理性检验、输出资料的分发与保管等。