谈我国中小企业的信息安全

摘要：信息是一种资产，具有一定的价值，那么信息安全就是保护这种有价值的资产避免受到威胁和损失，针对我国中小企业信息安全面临的现状，存在的问题，文章从管理、人员和网络安全上提出了解决问题的方案。

关键词：信息化　信息安全　网络安全

　　根据国家统计局年初公布的数字显示，国内企业总体的99％都是中小企业，他们贡献了超过一半的国内GDP。但截止到目前，这些中小企业的信息化水平仍然比较落后，其中针对信息安全的投人，更是凤毛麟角。
　　对于国内占大多数的中小企业来说，如何在充分利用信息化优势的同时，更好地保护自身的信息资产，已经成为一个严峻的挑战。特别是近两年来，网络上的病毒、攻击事件频发，信息安全问题正在日益成为中小企业信息化进程中的难题。
　　一、什么是信息安全
　　信息是一种资产，与其它重要的资产一样，它对一个组织而言具有一定的价值，因此需要适当的加以保护，而信息又可以以多种形式存在。如可以打印或者写在纸上，以数字化的方式存储，通过邮局邮寄或电子手段发送，表现在胶片上或以谈话的方式说出来。总之，信息无论以什么形式存在，以什么方式存储、传输或共享，都应得到恰当的保护。
　　所谓信息安全是指信息具有如下特征：
　　安全性：确保信息仅可让授权获取的人士访问；完整性：保护信息和处理方法的准确和完善；可用性：确保授权人需要时可以获取信息和相应的资产。
　　信息安全是指使信息避免一系列威胁，保障商务的连续性，最大限度地减少业务的损失，从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面，它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧，随着政府上网和企业信息化的推进，越来越多的企业的日常业务已经无法脱离网络和信息技术的支持，那么我国中小企业的信息安全现状如何呢?
　　二、我国企业信息安全的现状
　　(一)企业的重视程度
　　随着信息化的加快，企业信息安全越来越受到重视，而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中，有些中小企业对于信息化概念的认识远远不够，它们认为购置几台电脑放到公司，日常用来打打字，将单个机器连结到网上企业就信息化了，远远没有认识到信息技术给企业所能带来的巨大的变化，对于网络安全更是没有意识。
　　据调查，目前国内90％的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标。如此态度，网络安全更是无从谈起。
　　(二)资金、技术、人员方面情况
　　已建立了企业内部信息化平台的企业，由于资金、技术等方面的原因，还没有把重点放到网络安全管理上，尤其是中小企业的安全问题一直隐患重重。
　　据了解，许多中小企业没有专门的网络管理员，一般采用兼职管理方式，这使中小企业的网络管理在安全性方面存在严重的漏洞，与大型企业相比，它们更容易受到网络病毒的侵害，损失也比较严重。
　　根据IDC对2005年我国政府、企业用户的信息安全状况分析，约有34．8％的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。
　　(三)网络维护、运行、升级方面的情况
　　在网络的维护、运行、升级等事务性工作方面，由于工作繁重而且成本较高，一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入，据相关调查数据资料统计，国内七成以上的中小企业，一是缺乏基本的企业防毒知识，购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品，因此留下许多安全隐患。三是技术力量薄弱，虽然部署了企业防毒产品，但是这些产品操作难度大、使用复杂，最终导致很难全面发挥效用，甚至成了摆设，这样一来企业内部网络就根本没有什么安全而言。
　　三、如何保证我国中小企业的信息安全
　　(一)从企业的自身情况考虑
　　要解决中小企业网络信息安全问题，不能仅依靠企业的安全设施和网络安全产品，而应该考虑如何提高企业自身的网络安全意识，将信息安全问题提升到重视的高度，要重视“人”的因素。具体表现在以下两个方面：
　　1．提高安全认识
　　定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识，企业管理层要制定完整的信息安全策略并贯彻执行，对安全问题要做到预先考虑和防备。
2．要求中小企业在上网的过程中要做到“一做三不要”
　　(1)将存有重要数据的电脑坚决同网络隔离，同时设置开机密码，并将软驱、硬盘加密锁定，进行三级保护。
　　(2)不要在自己的系统之内使用任何具有记忆命令的程序，因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。
　　(3)不在网上的任何场合下随意透露自己企业的任何安全信息。
　　(4)不要启动系统资源共享功能，最后要尽量减少企业资源暴露在外部网上的机会和次数，减少黑客进攻的机会。
　　(二)从网络安全角度考虑
　　1．从网络安全服务商的角度来说，服务商要重视中小企业对网络安全解决方案的需要，充分考虑中小企业的现实状况，仔细调查和分析中小企业的安全因素，开发出适合中小企业实际情况的网络安全综合解决方案。此外，还应该注意投入大量精力在安全策略的施行及安全教育的开展方面，这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
　　2．要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级，对应的防火墙软件也应该及时跟着升级，这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序，以便进行网络维护，同时经常扫描整个内部网络，以发现任何安全隐患并及时更改，才能做到有备无患。
　　3．企业用户最好自己学会如何调试和管理自己的局域网系统，不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力，提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
　　4．内部网络系统的密码要定期修改。
　　由于许多黑客利用穷举法来破解密码，像John这一类的密码破解程序可从因特网上免费下载，只要加上一个足够大的字典在足够快的机器上没日没夜地运行，就可以获得需要的账号及密码，因此，经常修改密码对付这种盗用就显得十分奏效。当然，设定密码也有很深的学问，只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。
　　5．要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能，可以不定期地在脱机的情况下进行检查和清除。另外，有的杀毒软件还提供网络实时监控功能，这一功能可以在黑客从远端执行用户机器上的文件时，提供报警或让执行失败，使黑客向用户机器上载可执行文件后无法正确执