中小企業(yè)需要信息安全防護(hù)體系

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

目前我國(guó)已有57.7%的中小企業(yè)實(shí)施了信息化，但這些企業(yè)的信息化建設(shè)主要集中在財(cái)務(wù)系統(tǒng)、公司網(wǎng)站、企業(yè)郵箱、辦公自動(dòng)化等初級(jí)階段，而未實(shí)施信息化建設(shè)的企業(yè)則普遍認(rèn)為信息化建設(shè)需要先期投入和后期維護(hù)的成本比較高。

目前我國(guó)中小企業(yè)信息化的現(xiàn)狀：

一、管理水平低　信息管理存在風(fēng)險(xiǎn)

目前，企業(yè)管理層人員在管理觀念上對(duì)信息化的認(rèn)識(shí)不足，他們雖然認(rèn)識(shí)到了信息化的重要性，卻沒(méi)有認(rèn)識(shí)到企業(yè)信息化管理是管理理念上的根本變革，只是按照原有的管理模式進(jìn)行改造，結(jié)果造成一種信息化的假象，致使“信息化”走向了誤區(qū)，信息安全也沒(méi)有得到足夠重視。

二、人才短缺　專(zhuān)業(yè)人才匱乏

中小企業(yè)很難有足夠的吸引力留住這一領(lǐng)域的人才。由于缺乏專(zhuān)業(yè)人才，自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為：沒(méi)有自己的信息化建設(shè)人才隊(duì)伍。掌握技術(shù)的不懂管理，懂管理的不會(huì)技術(shù)，信息安全缺乏專(zhuān)業(yè)人員管理。

三、資金短缺

中小企業(yè)對(duì)信息化資金的投入不足。信息化建設(shè)是一個(gè)系統(tǒng)工程，從前期硬件設(shè)備與必要的軟件系統(tǒng)的購(gòu)置，到信息化系統(tǒng)的管理和維護(hù)，都需要大量的資金支持，沒(méi)有足夠的資金投人，企業(yè)信息化是不可能開(kāi)展起來(lái)的。中小企業(yè)從其本身來(lái)看，內(nèi)部資金有限，而要借助外部融資，又由于其生存率低、資信度差、抵押資產(chǎn)少、信貸風(fēng)險(xiǎn)大，金融機(jī)構(gòu)不大愿意提供資金支持。

四、信息化需求不明確　眼光看不到那么遠(yuǎn)

企業(yè)一開(kāi)始進(jìn)行信息化建設(shè)時(shí)，摸不著頭緒，不知道自己信息化建設(shè)中需要哪些功能，不明確信息化建設(shè)到底能給企業(yè)的日常生產(chǎn)、經(jīng)營(yíng)、辦公提供哪些服務(wù)、有什么作用。這就必然阻礙企業(yè)實(shí)施信息化建設(shè)。

中小企業(yè)由于自身資本能力有限，不容易完全依靠自己解決所有信息化安全問(wèn)題，所以企業(yè)信息安全問(wèn)題在中小企業(yè)中表現(xiàn)得更明顯，對(duì)于大企業(yè)來(lái)講，信息安全似乎更容易得到保障，比如美國(guó)第一數(shù)據(jù)公司就把很多大企業(yè)，包括銀行、保險(xiǎn)等大量數(shù)據(jù)進(jìn)行數(shù)據(jù)保管，形成這樣一個(gè)模式，這里面就涉及信用問(wèn)題，信用體系建設(shè)問(wèn)題，并把安全密鑰問(wèn)題和身份認(rèn)證問(wèn)題相結(jié)合，對(duì)數(shù)據(jù)進(jìn)行分級(jí)，能夠真正做到數(shù)據(jù)安全，而中小企業(yè)無(wú)法承擔(dān)如此巨額的開(kāi)銷(xiāo)。中小企業(yè)信息安全要得到解決則是需要全社會(huì)的共同參與。如果要建立一個(gè)信息安全的防護(hù)體系，需要做哪些工作呢？

一、中小企業(yè)自身需加強(qiáng)安全風(fēng)險(xiǎn)防范意識(shí)　選擇性?xún)r(jià)比最合適的方案與服務(wù)

對(duì)中小企業(yè)自身而言，可以咨詢(xún)一下投資企業(yè)，對(duì)已有的系統(tǒng)做風(fēng)險(xiǎn)評(píng)估。在一般的商業(yè)環(huán)境中使用局域網(wǎng)，而且一般會(huì)用防火墻，從技術(shù)角度看可以提供一個(gè)解決方案，這樣相對(duì)會(huì)更容易一些。用戶(hù)需要把握哪些東西對(duì)企業(yè)是至關(guān)重要的，如果數(shù)據(jù)很關(guān)鍵的，很可能就牽涉到要購(gòu)買(mǎi)商用的數(shù)據(jù)融資中心，因此一定要正確識(shí)別哪些是關(guān)鍵的應(yīng)用，業(yè)務(wù)，哪些東西對(duì)企業(yè)至關(guān)重要的，剩下的服務(wù)根據(jù)立足點(diǎn)不一樣可以酌情購(gòu)買(mǎi)，選取一些有資質(zhì)的企業(yè)，購(gòu)買(mǎi)一些正版的殺毒軟件等。

有關(guān)安全專(zhuān)家曾經(jīng)撰文，對(duì)于國(guó)內(nèi)的中小企業(yè)，首先是要扭轉(zhuǎn)“安全不重要”的錯(cuò)誤認(rèn)識(shí)，而后才能對(duì)癥下藥。信息安全體制的建立只是安全的第一步，如何有效地貫徹事先制訂的信息安全策略，以及不斷深化企業(yè)的全員信息安全意識(shí)，將處于更加重要的地位。

換句話(huà)說(shuō)，中小企業(yè)信息安全的建立，有賴(lài)于企業(yè)決策層的大力支持、選擇適合自身發(fā)展的安全方案，同時(shí)做到定期評(píng)估和調(diào)整安全政策，這樣才能保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

從投入上看，國(guó)內(nèi)中小企業(yè)的首要目標(biāo)都是生存，因此對(duì)于傳統(tǒng)大型企業(yè)的“防火墻”　+“IPS/IDS”　+　“防病毒”　+　“反垃圾郵件”　+　“內(nèi)網(wǎng)安全防御”　+　“數(shù)據(jù)/應(yīng)用級(jí)別容災(zāi)”的策略，中小企業(yè)無(wú)力、也不需要如此“奢侈”。

合理的做法是，通過(guò)極為有限的資金，最大程度保護(hù)企業(yè)的核心信息資產(chǎn)。也就是說(shuō)，企業(yè)要在良好的安全理念指導(dǎo)下，進(jìn)行細(xì)致的規(guī)劃和評(píng)估，利用企業(yè)小、防御廣度小且集中的優(yōu)勢(shì)，展開(kāi)定點(diǎn)防御。

二、制定內(nèi)部安全策略　確保執(zhí)行

無(wú)論采用何種方案，廣大中小企業(yè)用戶(hù)必須認(rèn)清的一點(diǎn)是，選擇安全產(chǎn)品僅僅只是企業(yè)信息安全工作的基礎(chǔ)，特別是不能夠過(guò)渡依賴(lài)工具，而忽視人為因素。因?yàn)閺哪壳暗慕y(tǒng)計(jì)來(lái)看，內(nèi)網(wǎng)出問(wèn)題是最普遍的安全隱患，所以小企業(yè)必須要制定公司內(nèi)部的安全策略，并且確保各個(gè)部門(mén)與人員能夠理解并執(zhí)行。

另外，對(duì)于幾年來(lái)流行的P2P的應(yīng)用，如MSN、Skype、BT，采取什么樣的方式處理，也是應(yīng)當(dāng)考慮的。雖然這些應(yīng)用會(huì)影響網(wǎng)絡(luò)性能，但是很多中小企業(yè)還在依賴(lài)某些應(yīng)用聯(lián)系業(yè)務(wù)。因此，對(duì)于這類(lèi)問(wèn)題，中小企業(yè)必須區(qū)別對(duì)待。合理的做法是，用戶(hù)可以利用IPS等設(shè)備提供的協(xié)議分析過(guò)濾功能或配合交換機(jī)，有限制地保留業(yè)務(wù)用應(yīng)用，如MSN；杜絕非正常應(yīng)用，如BT；限制某些非必備應(yīng)用的帶寬，如Skype。

最后，在中小企業(yè)用戶(hù)下決心部署安全方案之前，最好做一個(gè)整體評(píng)估，分析一下企業(yè)目前的核心信息資產(chǎn)是什么。比如，對(duì)一家連鎖超市而言，其交易服務(wù)器的重要性顯然高于門(mén)戶(hù)網(wǎng)站，這樣才能做到有的放矢進(jìn)行安全策略匹配。

三、如采取外包　需健全安全服務(wù)體系

在外包過(guò)程當(dāng)中，每個(gè)行業(yè)有很多同類(lèi)的企業(yè)在競(jìng)爭(zhēng)，必須考慮用法律體系來(lái)規(guī)避風(fēng)險(xiǎn)，需要社會(huì)在法律環(huán)境下對(duì)社會(huì)化服務(wù)提供保障。同時(shí)也需要廠商、外包商等能夠在安全體系社會(huì)化服務(wù)進(jìn)程中共同努力，建立起社會(huì)化的一套安全服務(wù)體系，以便使中小企業(yè)在進(jìn)程中依托自己有限的資源去享受安全、完整、有效的安全保障。（支點(diǎn)網(wǎng)）