淺談中小企業(yè)信息安全問題及解決措施

石勇

【摘要】：隨著我國信息技術的飛速發(fā)展，中小企業(yè)的信息安全的保護問題越來越受到中小企業(yè)主的關注，本文以中小企業(yè)信息安全為主體，介紹中小企業(yè)在信電子商務中遇到的主要安全問題，并找出解決中小企業(yè)信息安全問題的解決方案。

【關鍵詞】：信息安全 ；問題；解決方案

【引言】：在中小企業(yè)的信息管理系統(tǒng)中存在大量的信息和文件材料，其中有對企業(yè)發(fā)展至關重要的文件材料，一旦這些信息材料在通過網(wǎng)絡傳送時被不法分子和競爭對手竊聽、泄密、篡改或偽造，將會嚴重威脅中小企業(yè)的發(fā)展，所以，提出中小企業(yè)信息安全問題的解決方案具有重要意義。

1. 中小企業(yè)信息安全存在的問題

1.1信息安全管理意識不強。

相對大型企業(yè)來說，中小企業(yè)信息資產(chǎn)方面的積累相對較為薄弱，并且很多時候這種積累并非企業(yè)的有意識行為，所以在正常的信息化應用情況下，往往會忽視對自己信息資產(chǎn)的保護，而只有在信息資產(chǎn)受到破壞，形成了實際的經(jīng)濟和附加損失的情況下，才會開始意識和重視這信息安全問題。

1.2信息安全管理水平較低信息安全風險較大。

目前的中小企業(yè)管理層人員雖然已經(jīng)認識到了信息化的重要性，但卻沒有認識到企業(yè)信息化管理是需要在企業(yè)管理念上進行根本變革才能實現(xiàn)的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進行改造，結果造成一種信息化的假象，致使“信息化”走向了徒有其表的誤區(qū)，信息安全也沒有得到足夠重視。

1.3人才短缺專業(yè)人員匱乏。

中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領域的人才。因此，在這種人才短缺的情況下，自然影響到企業(yè)信息化的進程。主要表現(xiàn)為：企業(yè)一般沒有自己的信息化建設人才隊伍。信息技術專業(yè)人員的知識結構也不能達到要求，掌握技術的不懂管理，懂管理的又不會技術，而且信息安全往往沒有專業(yè)人員進行管理。

1.4資金短缺。

中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對較多。企業(yè)相對有限的資金，一般要優(yōu)先投入到直接促進公司業(yè)績增長的方向，而無形中就造成了信息資產(chǎn)所面臨的巨大風險；特別是在當今越來越多的企業(yè)業(yè)務與互聯(lián)網(wǎng)有密切的聯(lián)系，甚至一些企業(yè)的業(yè)務完全建立在互聯(lián)網(wǎng)之上，以平均不到企業(yè)總收入1%的信息安全投入，怎么能保障這些業(yè)務的正常運行？盡可能使投入比例接近常規(guī)，至少應該使企業(yè)核心信息資產(chǎn)的安全得到保證，從實際情況來講，在良好的安全理念指導下，進行細致的規(guī)劃和評估，通過適當?shù)耐度胍彩强梢赃_到較好的整體效果，因為在中小企業(yè)的應用情境下，信息安全防御廣度是相對容易控制的；設計出體現(xiàn)其規(guī)律和特點的真正適合中小企業(yè)的信息安全產(chǎn)品，才能從根本上滿足中小企業(yè)信息安全需求。

1.5中小企業(yè)的信息倫理意識不強。

由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候，企業(yè)的員工都會因為某些不經(jīng)意的行為對企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識往往相對比較落后，對于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視，而企業(yè)的管理層對于網(wǎng)絡的使用也沒有很好的管理手段。

2.中小企業(yè)信息安全問題的解決措施

2.1從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡信息安全問題，不能僅依靠企業(yè)的安全設施和網(wǎng)絡安全產(chǎn)品，而應該考慮如何提高企業(yè)自身的網(wǎng)絡安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個方面：

2.1.1提高安全認識

定期對企業(yè)員工進行網(wǎng)絡安全教育培訓深化企業(yè)的全員信息安全意識，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對安全問題要做到預先考慮和防備。

2.2.2要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”

首先將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡隔離，同時設置開機密碼，并將軟驅(qū)、硬盤加密鎖定，進行三級保護，其次不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切，同時不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息，最后不要啟動系統(tǒng)資源共享功能，要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機會和次數(shù)，減少黑客進攻的機會【1】。

2.2從網(wǎng)絡安全角度考慮

2.2.1從網(wǎng)絡安全服務商的角度來說，服務商要重視中小企業(yè)對網(wǎng)絡安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實狀況，仔細調(diào)查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡安全綜合解決方案。此外，還應該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。

2.2.2要用防火墻將企業(yè)的局域網(wǎng)（Intranet）與互聯(lián)網(wǎng)之間進行隔離。由于網(wǎng)絡攻擊不斷升級，對應的防火墻軟件也應該及時跟著升級，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關網(wǎng)站上下載最新的補丁程序，以便進行網(wǎng)絡維護，同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡，以發(fā)現(xiàn)任何安全隱患并及時更改，才能做到有備無患【2】。

2.2.3企業(yè)用戶最好自己學會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養(yǎng)相關人才。

2.2.4內(nèi)部網(wǎng)絡系統(tǒng)的密碼要定期修改。動態(tài)的密碼有助于防止黑客的攻擊以及來自內(nèi)部人員的泄密。

2.2.5要經(jīng)常使用殺毒軟件來維護局域網(wǎng)系統(tǒng)不受病毒攻擊。現(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機的情況下進行檢查和清除。

2.2.6同其它企業(yè)進行聯(lián)合，共同抵制黑客的入侵，一旦被入侵要及時向有關部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網(wǎng)絡的TCP起時限制在15分鐘以內(nèi)，減少黑客入侵的機會。并擴大連接表，增加黑客填寫整個連接表的難度【3】。

小結

綜上所述，我國中小企業(yè)的信息安全問題日益突出。由于受到管理水平、資金、技術、 意識等幾方面的制約，中小企業(yè)完全依靠自己解決所有信息化安全問題是不現(xiàn)實的，它們很難使用大企業(yè)中那種復雜的信息安全系統(tǒng)，因此迫切需要適合中小企業(yè)自身情況的綜合解決措施。

【參考文獻】：

【1】 楊江；周小玲； 基于企業(yè)的危機信息管理[J]；科技情報開發(fā)與經(jīng)濟；2009年32期

【2】 杜向文.中小企業(yè)的網(wǎng)絡安全[J]；計算機安全；2006，（08）.

【3】 劉曄. 我國企業(yè)網(wǎng)絡安全現(xiàn)狀及解決研究[J]；商場現(xiàn)代化；2007，（08）.