中小企業(yè)信息安全現(xiàn)狀分析及防護(hù)建議

陳 鑫

(上海中鐵通信信號測試有限公司，上海 200436)

1 信息安全的定義

信息：作為一種資源，是可以進(jìn)行傳播的一切內(nèi)容。

信息安全：信息安全的含義主要包含信息的保密性、完整性和可用性，保護(hù)各類信息系統(tǒng)及信息資源免受威脅和破壞，即保護(hù)了信息的安全性。

2 中小企業(yè)信息安全現(xiàn)狀

2.1 信息安全意識薄弱

“信息安全”看似包羅萬象，卻又難以找到實體，在不了解什么是信息安全的前提下，很容易忽視這項安全工作。許多時候例如“傳份資料給客戶看”、“公司加班發(fā)個朋友圈”等等一系列小操作，均有可能在不經(jīng)意間就轉(zhuǎn)發(fā)出大量信息，導(dǎo)致企業(yè)重要資產(chǎn)受損。

就中小企業(yè)而言，客戶信息、人員技術(shù)、產(chǎn)品設(shè)備、紙質(zhì)檔案等各類資源，均屬于信息資產(chǎn)范疇。而不少管理者則認(rèn)為“信息安全是大公司的事情”，信息安全等同于網(wǎng)絡(luò)安全，核心業(yè)務(wù)并非依托網(wǎng)絡(luò)，導(dǎo)致安全防范意識薄弱，信息安全無法得到重視。

2.2 管理模式簡陋

通常情況下，中小企業(yè)安排各部門主管等負(fù)責(zé)其職責(zé)范圍內(nèi)的工作內(nèi)容。但由于流程簡單、崗位職責(zé)不夠明確，容易導(dǎo)致業(yè)務(wù)交叉、關(guān)聯(lián)性不高，一旦外界或內(nèi)部的威脅出現(xiàn)，其資產(chǎn)的安全性難以得到保障。

2.3 專業(yè)人才匱乏

諸多中小企業(yè)并不具備專業(yè)的信息安全領(lǐng)域人才，無法建設(shè)信息化人才團(tuán)隊。而受制于信息化管理理念的重視程度有限，管理者不太愿意將信息安全提升到等同于其他職能的高度。另外，對于專業(yè)的信息技術(shù)人員個人而言，中小企業(yè)的吸引力大幅降低，導(dǎo)致中小企業(yè)在信息安全領(lǐng)域的人才短缺。

2.4 資金限制

除去人力成本、物資庫存等資產(chǎn)，中小企業(yè)內(nèi)部資金有限，容易受到信貸難度高、融資風(fēng)險大等阻礙。而信息安全防范體系的建設(shè)，不僅需要專業(yè)的人才，或是對人才技術(shù)的培養(yǎng)，同時還包括硬件設(shè)備的采購、日常的管理與維護(hù)、發(fā)生安全事件時的應(yīng)急措施等。因此，要投入資金在信息化建設(shè)中，無疑是中小企業(yè)的一項困難之舉。

2.5 網(wǎng)絡(luò)結(jié)構(gòu)簡單

目前，大部分中小企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)相對簡單?？紤]到與外企業(yè)的溝通，通常中小企業(yè)將用戶終端直連交換機，再通過路由器與Internet 互聯(lián)，形成最基礎(chǔ)的上網(wǎng)模式。部分中小企業(yè)雖利用公司內(nèi)網(wǎng)進(jìn)行辦公交流，但依然預(yù)留端口供外部接入。簡單的網(wǎng)絡(luò)結(jié)構(gòu)將會使用戶終端直接暴露在網(wǎng)絡(luò)之中，給不法分子更多可乘之機。

3 提高和保障企業(yè)信息安全措施

3.1 安全意識人人有責(zé)

安全問題的根源由外部因素和內(nèi)部因素兩部分組成。自然災(zāi)害、木馬入侵等均屬于外部因素，而內(nèi)部因素卻往往是企業(yè)或員工不夠重視造成的。中小企業(yè)從企業(yè)本身到員工個人，缺乏相關(guān)信息安全意識的宣貫，因此更容易誘發(fā)安全事件發(fā)生。由此可見，提高信息安全意識迫在眉睫。

企業(yè)的安全意識，其中一點體現(xiàn)在是否對企業(yè)重要資產(chǎn)進(jìn)行過梳理。對比大型企業(yè)，盡管中小企業(yè)往往難以細(xì)化部門分類和工作職責(zé)，但中小企業(yè)的主要業(yè)務(wù)戰(zhàn)略目標(biāo)更為單一，重要資產(chǎn)更易體現(xiàn)。針對不同行業(yè)，其重要資產(chǎn)也不盡相同，可根據(jù)數(shù)據(jù)、硬件、軟件、服務(wù)、人員等進(jìn)行一一分類，整理出重點保護(hù)對象，并對每項重要資產(chǎn)，在保密性、完整性和可用性等級上進(jìn)行賦值。重要資產(chǎn)的梳理，有助于加強企業(yè)的安全意識。

一旦企業(yè)開始關(guān)注信息安全，員工的安全意識也將隨之提高。除定期培訓(xùn)外，中小企業(yè)可通過文件加密、崗位職責(zé)細(xì)化、辦公流程建立等多種方式，以自然的形式給予員工信息安全意識的灌輸。員工自身也應(yīng)注意個人信息泄露、消息隨意傳遞等行為或習(xí)慣，以加強人員的安全意識。

“宜未雨而綢繆，勿臨渴而掘井”，唯有提高意識，中小企業(yè)才能進(jìn)一步考慮信息安全問題，從而采取行動進(jìn)行安全防護(hù)。

3.2 人才培養(yǎng)

考慮到重要資產(chǎn)一旦產(chǎn)生安全事故而造成的嚴(yán)重?fù)p失，盡早安排專人把控，有助于預(yù)防更多未知的信息安全事故發(fā)生。

對中小企業(yè)而言，外部招聘信息安全人才，一方面企業(yè)規(guī)模往往難入專業(yè)人才的“法眼”，并且，企業(yè)對新進(jìn)人才的信任度也有待時間證明。因此，從企業(yè)內(nèi)部合理任用員工進(jìn)行信息安全管理，是中小企業(yè)相對可靠的方式。同時，條件允許的情況下，應(yīng)從企業(yè)信息系統(tǒng)和企業(yè)管理體系兩方面分派人員進(jìn)行管理。

信息系統(tǒng)人員要求：了解企業(yè)自身物理環(huán)境，如電力配電、機房布線、機柜接地等；熟悉企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，主要包括對外的網(wǎng)絡(luò)邊界防護(hù)、對內(nèi)的訪問控制等；掌握企業(yè)系統(tǒng)軟硬件，包含服務(wù)器、路由器等硬件設(shè)立，專業(yè)應(yīng)用、辦公軟件的安裝管理等。明確企業(yè)信息應(yīng)用機制，例如登入方式、密碼保護(hù)等。

管理體系人員要求：從企業(yè)組織架構(gòu)、人員分工、各項業(yè)務(wù)訪問控制、文檔存儲等角度考慮。

3.3 建立并完善管理體系

管理人員要注意的是，完善的信息安全管理體系，應(yīng)當(dāng)適用于信息安全管理的整個生命周期。ISMS 是目前一種較為常見的信息安全管理體系，該體系圍繞《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（ISO/IEC 27001）的要求建立，同時也遵循PDCA 循環(huán)這項基本管理過程。

PDCA 循環(huán)最早由美國質(zhì)量管理專家戴明普及，所以又稱戴明環(huán)。PDCA 將安全管理活動分為計劃（Plan）、執(zhí)行（Do）、檢查（Check）、處理（Act）4 個過程。

4 個過程按順序進(jìn)行，每一個完整循環(huán)的執(zhí)行，安全質(zhì)量都會取得一定的提升，從而提出新的目標(biāo)，執(zhí)行下一個循環(huán)。

基于上述PDCA 循環(huán)，中小企業(yè)應(yīng)用于信息安全管理體系的ISMS 建設(shè)可分為如下幾個階段。

1）規(guī)劃

在規(guī)劃階段，首要任務(wù)是定義保護(hù)范圍。根據(jù)企業(yè)自身運營情況，界定出體系建設(shè)所要保護(hù)的組織結(jié)構(gòu)、業(yè)務(wù)范圍、信息系統(tǒng)范圍等，并從中清晰的確定出相關(guān)重要資產(chǎn)。

建立在重要資產(chǎn)的基礎(chǔ)之上，依據(jù)信息系統(tǒng)的特征，制定風(fēng)險評估方法并予以實施，包括識別風(fēng)險、風(fēng)險值計算、風(fēng)險分析。

2）實施并運行

該階段主要任務(wù)是通過管理、執(zhí)行等手段，對所識別的信息安全風(fēng)險進(jìn)行處理。

風(fēng)險的處理方式分為降低風(fēng)險、規(guī)避風(fēng)險、轉(zhuǎn)移風(fēng)險和接受風(fēng)險4 大類。

結(jié)合規(guī)劃階段的風(fēng)險分析結(jié)果，企業(yè)應(yīng)先判定每一項風(fēng)險是否為可接受風(fēng)險，可接受風(fēng)險無需進(jìn)一步處理。對于不可接受的風(fēng)險，采取降低風(fēng)險、轉(zhuǎn)移風(fēng)險等方式，將風(fēng)險消除或控制在可接受范圍內(nèi)，并且對處理過后剩余風(fēng)險積極維護(hù)。此外，企業(yè)應(yīng)針對可能存在的風(fēng)險，加強管理，深入開展各專項工作，從而達(dá)到規(guī)避風(fēng)險的效果。

3）監(jiān)視并評審

檢查階段是整個ISMS 體系中非常重要的階段，并且是一個長期保持的階段。該階段主要包括如下內(nèi)容。

明確需要被監(jiān)視的內(nèi)容，企業(yè)可通過測試、評價等方式對被監(jiān)視的內(nèi)容進(jìn)行檢查，并做好相應(yīng)數(shù)據(jù)的存檔，尤其是對上述處理過后的剩余風(fēng)險，需著重把關(guān)其是否已被控制在可接受范圍內(nèi)。

按計劃進(jìn)行信息安全風(fēng)險管理體系的內(nèi)部審核，驗證體系是否符合中小企業(yè)自己的信息安全需求，以及整個信息安全的保護(hù)過程是否在原先預(yù)期的體系控制范圍之內(nèi)。

中小企業(yè)的最高管理層應(yīng)定期進(jìn)行管理評審，結(jié)合風(fēng)險評估結(jié)果、處理措施的實施、監(jiān)測結(jié)果、審核結(jié)果等，判斷自身企業(yè)是否達(dá)到了信息安全的預(yù)期目標(biāo)，并提出后期持續(xù)改進(jìn)的要求。

4）改進(jìn)

經(jīng)過計劃、執(zhí)行、檢查3 個階段后，信息安全體系的防護(hù)效果得以呈現(xiàn)。企業(yè)根據(jù)體系的運行情況，若該輪體系的運行完全達(dá)成目標(biāo)且運行狀態(tài)良好，可以考慮將該論體系中所采取的處理措施保持并繼續(xù)執(zhí)行；若仍有不符合項，企業(yè)應(yīng)尋找原因并確定有效的措施繼續(xù)整改。

此外，在這個階段，中小企業(yè)還能采取培訓(xùn)等方式，加強員工的信息安全意識，有效的遏制某些潛在的安全事件發(fā)生。在此基礎(chǔ)上，將迎來全新一輪的PDCA 循環(huán)。

3.4 薄弱環(huán)節(jié)補強

如圖1 所示，威脅利用脆弱性造成不良后果的機會稱之為安全事件的可能性，資產(chǎn)價值和該資產(chǎn)所暴露出脆弱性的嚴(yán)重程度決定了安全事件造成的損失，通過安全事件的可能性和損失可以判定資產(chǎn)所面臨的風(fēng)險大小。

圖1 信息安全風(fēng)險分析原理圖Fig.1 Schematic diagram of risk analysis on information security

資產(chǎn)、威脅、脆弱性3 要素中，資產(chǎn)本身無法替代或消除。威脅則屬于引起風(fēng)險的外部因素。而作為引起風(fēng)險的內(nèi)部因素，脆弱性同時關(guān)聯(lián)到誘發(fā)風(fēng)險的可能性和損失。因此，降低脆弱性，是中小企業(yè)最為有效的加強安全防護(hù)的方式之一。

各中小企業(yè)現(xiàn)階段的信息安全狀況及所要達(dá)到的預(yù)期效果不盡相同，例如互聯(lián)網(wǎng)公司等在公司網(wǎng)絡(luò)結(jié)構(gòu)上會相對其他行業(yè)有更明顯的優(yōu)勢和防護(hù)措施。并且各中小企業(yè)愿意投入于信息安全的資金也存在差異。為此，提出以下幾項基本安全防護(hù)措施。

1）環(huán)境安全

企業(yè)應(yīng)掌握自身辦公區(qū)域的物理環(huán)境狀況，做到防火、防水、防靜電、機柜接地、線路排放合理等；企業(yè)員工則應(yīng)自覺做到不在辦公區(qū)域內(nèi)吸煙、安全用電、水電隔離等常規(guī)操作。

2）網(wǎng)絡(luò)安全

企業(yè)要界定網(wǎng)絡(luò)邊界，設(shè)定相應(yīng)的外部訪問策略、內(nèi)部訪問策略，配置防火墻，關(guān)閉路由器、交換機等網(wǎng)絡(luò)中間設(shè)備未啟用的端口；企業(yè)員工按規(guī)定進(jìn)行公司網(wǎng)絡(luò)訪問，避免私自利用企業(yè)內(nèi)部終端接入其他不安全網(wǎng)絡(luò)。

3）硬件安全

企業(yè)定期對各類服務(wù)器、存儲等進(jìn)行檢查維護(hù)，條件允許的情況下應(yīng)配置熱備/冷備；企業(yè)員工妥善保管和使用好筆記本電腦等硬件設(shè)備，如遇故障應(yīng)通過正規(guī)渠道進(jìn)行修理更換。

4）系統(tǒng)與軟件安全

企業(yè)應(yīng)及時做好系統(tǒng)和軟件的補丁更新，匯總各類系統(tǒng)設(shè)備日志，加強對重要資產(chǎn)的訪問控制；企業(yè)員工應(yīng)設(shè)定并定期更換常用密碼，重要資料應(yīng)及時上傳服務(wù)器。

5）管理安全

企業(yè)編制并采用信息安全管理體系，加強文檔類材料的存儲管理，對重要文件需逐級批復(fù)后方可授權(quán)交接，對于市場資源、行業(yè)技術(shù)等重要資產(chǎn)，企業(yè)可考慮安排員工簽署保密協(xié)議，防止機密泄露；企業(yè)員工要自覺遵守規(guī)章制度，切忌泄密、偷盜、挪用等不良行為。

以上5 大類安全防護(hù)建議實施難度小，無需投入大量資金，且適用于中小企業(yè)信息安全體系的各個階段，在信息安全脆弱的情況下，能最大程度高效率的提升安全等級，阻止安全事件發(fā)生。

4 結(jié)束語

信息化為社會和企業(yè)的發(fā)展提供了極大的便利和效益，但中小企業(yè)信息安全現(xiàn)狀仍需加強。通過對信息安全的重視，并采取合理、有效的手段進(jìn)行體系建立及安全防護(hù)，才能更好的保護(hù)企業(yè)信息資產(chǎn)。