中小企業(yè)需要信息安全防護(hù)體系

申請免費試用、咨詢電話：400-8352-114

目前我國已有57.7%的中小企業(yè)實施了信息化，但這些企業(yè)的信息化建設(shè)主要集中在財務(wù)系統(tǒng)、公司網(wǎng)站、企業(yè)郵箱、辦公自動化等初級階段，而未實施信息化建設(shè)的企業(yè)則普遍認(rèn)為信息化建設(shè)需要先期投入和后期維護(hù)的成本比較高。

目前我國中小企業(yè)信息化的現(xiàn)狀：

一、管理水平低　信息管理存在風(fēng)險

目前，企業(yè)管理層人員在管理觀念上對信息化的認(rèn)識不足，他們雖然認(rèn)識到了信息化的重要性，卻沒有認(rèn)識到企業(yè)信息化管理是管理理念上的根本變革，只是按照原有的管理模式進(jìn)行改造，結(jié)果造成一種信息化的假象，致使“信息化”走向了誤區(qū)，信息安全也沒有得到足夠重視。

二、人才短缺　專業(yè)人才匱乏

中小企業(yè)很難有足夠的吸引力留住這一領(lǐng)域的人才。由于缺乏專業(yè)人才，自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為：沒有自己的信息化建設(shè)人才隊伍。掌握技術(shù)的不懂管理，懂管理的不會技術(shù)，信息安全缺乏專業(yè)人員管理。

三、資金短缺

中小企業(yè)對信息化資金的投入不足。信息化建設(shè)是一個系統(tǒng)工程，從前期硬件設(shè)備與必要的軟件系統(tǒng)的購置，到信息化系統(tǒng)的管理和維護(hù)，都需要大量的資金支持，沒有足夠的資金投人，企業(yè)信息化是不可能開展起來的。中小企業(yè)從其本身來看，內(nèi)部資金有限，而要借助外部融資，又由于其生存率低、資信度差、抵押資產(chǎn)少、信貸風(fēng)險大，金融機構(gòu)不大愿意提供資金支持。

四、信息化需求不明確　眼光看不到那么遠(yuǎn)

企業(yè)一開始進(jìn)行信息化建設(shè)時，摸不著頭緒，不知道自己信息化建設(shè)中需要哪些功能，不明確信息化建設(shè)到底能給企業(yè)的日常生產(chǎn)、經(jīng)營、辦公提供哪些服務(wù)、有什么作用。這就必然阻礙企業(yè)實施信息化建設(shè)。

中小企業(yè)由于自身資本能力有限，不容易完全依靠自己解決所有信息化安全問題，所以企業(yè)信息安全問題在中小企業(yè)中表現(xiàn)得更明顯，對于大企業(yè)來講，信息安全似乎更容易得到保障，比如美國第一數(shù)據(jù)公司就把很多大企業(yè)，包括銀行、保險等大量數(shù)據(jù)進(jìn)行數(shù)據(jù)保管，形成這樣一個模式，這里面就涉及信用問題，信用體系建設(shè)問題，并把安全密鑰問題和身份認(rèn)證問題相結(jié)合，對數(shù)據(jù)進(jìn)行分級，能夠真正做到數(shù)據(jù)安全，而中小企業(yè)無法承擔(dān)如此巨額的開銷。中小企業(yè)信息安全要得到解決則是需要全社會的共同參與。如果要建立一個信息安全的防護(hù)體系，需要做哪些工作呢？

一、中小企業(yè)自身需加強安全風(fēng)險防范意識　選擇性價比最合適的方案與服務(wù)

對中小企業(yè)自身而言，可以咨詢一下投資企業(yè)，對已有的系統(tǒng)做風(fēng)險評估。在一般的商業(yè)環(huán)境中使用局域網(wǎng)，而且一般會用防火墻，從技術(shù)角度看可以提供一個解決方案，這樣相對會更容易一些。用戶需要把握哪些東西對企業(yè)是至關(guān)重要的，如果數(shù)據(jù)很關(guān)鍵的，很可能就牽涉到要購買商用的數(shù)據(jù)融資中心，因此一定要正確識別哪些是關(guān)鍵的應(yīng)用，業(yè)務(wù)，哪些東西對企業(yè)至關(guān)重要的，剩下的服務(wù)根據(jù)立足點不一樣可以酌情購買，選取一些有資質(zhì)的企業(yè)，購買一些正版的殺毒軟件等。

有關(guān)安全專家曾經(jīng)撰文，對于國內(nèi)的中小企業(yè)，首先是要扭轉(zhuǎn)“安全不重要”的錯誤認(rèn)識，而后才能對癥下藥。信息安全體制的建立只是安全的第一步，如何有效地貫徹事先制訂的信息安全策略，以及不斷深化企業(yè)的全員信息安全意識，將處于更加重要的地位。

換句話說，中小企業(yè)信息安全的建立，有賴于企業(yè)決策層的大力支持、選擇適合自身發(fā)展的安全方案，同時做到定期評估和調(diào)整安全政策，這樣才能保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

從投入上看，國內(nèi)中小企業(yè)的首要目標(biāo)都是生存，因此對于傳統(tǒng)大型企業(yè)的“防火墻”　+“IPS/IDS”　+　“防病毒”　+　“反垃圾郵件”　+　“內(nèi)網(wǎng)安全防御”　+　“數(shù)據(jù)/應(yīng)用級別容災(zāi)”的策略，中小企業(yè)無力、也不需要如此“奢侈”。

合理的做法是，通過極為有限的資金，最大程度保護(hù)企業(yè)的核心信息資產(chǎn)。也就是說，企業(yè)要在良好的安全理念指導(dǎo)下，進(jìn)行細(xì)致的規(guī)劃和評估，利用企業(yè)小、防御廣度小且集中的優(yōu)勢，展開定點防御。

二、制定內(nèi)部安全策略　確保執(zhí)行

無論采用何種方案，廣大中小企業(yè)用戶必須認(rèn)清的一點是，選擇安全產(chǎn)品僅僅只是企業(yè)信息安全工作的基礎(chǔ)，特別是不能夠過渡依賴工具，而忽視人為因素。因為從目前的統(tǒng)計來看，內(nèi)網(wǎng)出問題是最普遍的安全隱患，所以小企業(yè)必須要制定公司內(nèi)部的安全策略，并且確保各個部門與人員能夠理解并執(zhí)行。

另外，對于幾年來流行的P2P的應(yīng)用，如MSN、Skype、BT，采取什么樣的方式處理，也是應(yīng)當(dāng)考慮的。雖然這些應(yīng)用會影響網(wǎng)絡(luò)性能，但是很多中小企業(yè)還在依賴某些應(yīng)用聯(lián)系業(yè)務(wù)。因此，對于這類問題，中小企業(yè)必須區(qū)別對待。合理的做法是，用戶可以利用IPS等設(shè)備提供的協(xié)議分析過濾功能或配合交換機，有限制地保留業(yè)務(wù)用應(yīng)用，如MSN；杜絕非正常應(yīng)用，如BT；限制某些非必備應(yīng)用的帶寬，如Skype。

最后，在中小企業(yè)用戶下決心部署安全方案之前，最好做一個整體評估，分析一下企業(yè)目前的核心信息資產(chǎn)是什么。比如，對一家連鎖超市而言，其交易服務(wù)器的重要性顯然高于門戶網(wǎng)站，這樣才能做到有的放矢進(jìn)行安全策略匹配。

三、如采取外包　需健全安全服務(wù)體系

在外包過程當(dāng)中，每個行業(yè)有很多同類的企業(yè)在競爭，必須考慮用法律體系來規(guī)避風(fēng)險，需要社會在法律環(huán)境下對社會化服務(wù)提供保障。同時也需要廠商、外包商等能夠在安全體系社會化服務(wù)進(jìn)程中共同努力，建立起社會化的一套安全服務(wù)體系，以便使中小企業(yè)在進(jìn)程中依托自己有限的資源去享受安全、完整、有效的安全保障。（支點網(wǎng)）