中小企業(yè)信息化建設如何設防安全體系

申請免費試用、咨詢電話：400-8352-114

據(jù)IDC調查顯示，目前我國已有57.7%的中小企業(yè)實施了信息化，但這些企業(yè)的信息化建設主要集中在財務系統(tǒng)、公司網站、企業(yè)郵箱、辦公自動化等初級階段，而未實施信息化建設的企業(yè)則普遍認為信息化建設需要先期投入和后期維護的成本比較高。

目前我國中小企業(yè)信息化的現(xiàn)狀：

一、管理水平低　信息管理存在風險

目前，企業(yè)管理層人員在管理觀念上對信息化的認識不足，他們雖然認識到了信息化的重要性，卻沒有認識到企業(yè)信息化管理是管理理念上的根本變革，只是按照原有的管理模式進行改造，結果造成一種信息化的假象，致使“信息化”走向了誤區(qū)，信息安全也沒有得到足夠重視。

二、人才短缺　專業(yè)人才匱乏

中小企業(yè)很難有足夠的吸引力留住這一領域的人才。由于缺乏專業(yè)人才，自然影響到企業(yè)信息化的進程。主要表現(xiàn)為：沒有自己的信息化建設人才隊伍。掌握技術的不懂管理，懂管理的不會技術，信息安全缺乏專業(yè)人員管理。

三、資金短缺

中小企業(yè)對信息化資金的投入不足。信息化建設是一個系統(tǒng)工程，從前期硬件設備與必要的軟件系統(tǒng)的購置，到信息化系統(tǒng)的管理和維護，都需要大量的資金支持，沒有足夠的資金投人，企業(yè)信息化是不可能開展起來的。中小企業(yè)從其本身來看，內部資金有限，而要借助外部融資，又由于其生存率低、資信度差、抵押資產少、信貸風險大，金融機構不大愿意提供資金支持。

四、信息化需求不明確　眼光看不到那么遠

企業(yè)一開始進行信息化建設時，摸不著頭緒，不知道自己信息化建設中需要哪些功能，不明確信息化建設到底能給企業(yè)的日常生產、經營、辦公提供哪些服務、有什么作用。這就必然阻礙企業(yè)實施信息化建設。

中小企業(yè)由于自身資本能力有限，不容易完全依靠自己解決所有信息化安全問題，所以企業(yè)信息安全問題在中小企業(yè)中表現(xiàn)得更明顯，對于大企業(yè)來講，信息安全似乎更容易得到保障，比如美國第一數(shù)據(jù)公司就把很多大企業(yè)，包括銀行、保險等大量數(shù)據(jù)進行數(shù)據(jù)保管，形成這樣一個模式，這里面就涉及信用問題，信用體系建設問題，并把安全密鑰問題和身份認證問題相結合，對數(shù)據(jù)進行分級，能夠真正做到數(shù)據(jù)安全，而中小企業(yè)無法承擔如此巨額的開銷。中小企業(yè)信息安全要得到解決則是需要全社會的共同參與。如果要建立一個信息安全的防護體系，需要做哪些工作呢?

一、中小企業(yè)自身需加強安全風險防范意識　選擇性價比最合適的方案與服務

對中小企業(yè)自身而言，可以咨詢一下投資企業(yè)，對已有的系統(tǒng)做風險評估。在一般的商業(yè)環(huán)境中使用局域網，而且一般會用防火墻，從技術角度看可以提供一個解決方案，這樣相對會更容易一些。用戶需要把握哪些東西對企業(yè)是至關重要的，如果數(shù)據(jù)很關鍵的，很可能就牽涉到要購買商用的數(shù)據(jù)融資中心，因此一定要正確識別哪些是關鍵的應用，業(yè)務，哪些東西對企業(yè)至關重要的，剩下的服務根據(jù)立足點不一樣可以酌情購買，選取一些有資質的企業(yè)，購買一些正版的殺毒軟件等。

有關安全專家曾經撰文，對于國內的中小企業(yè)，首先是要扭轉“安全不重要”的錯誤認識，而后才能對癥下藥。信息安全體制的建立只是安全的第一步，如何有效地貫徹事先制訂的信息安全策略，以及不斷深化企業(yè)的全員信息安全意識，將處于更加重要的地位。

換句話說，中小企業(yè)信息安全的建立，有賴于企業(yè)決策層的大力支持、選擇適合自身發(fā)展的安全方案，同時做到定期評估和調整安全政策，這樣才能保證企業(yè)安全體系處于應有的健康狀態(tài)。

從投入上看，國內中小企業(yè)的首要目標都是生存，因此對于傳統(tǒng)大型企業(yè)的“防火墻”+“IPS/IDS”+“防病毒”+“反垃圾郵件”+“內網安全防御”+“數(shù)據(jù)/應用級別容災”的策略，中小企業(yè)無力、也不需要如此“奢侈”。

合理的做法是，通過極為有限的資金，最大程度保護企業(yè)的核心信息資產。也就是說，企業(yè)要在良好的安全理念指導下，進行細致的規(guī)劃和評估，利用企業(yè)小、防御廣度小且集中的優(yōu)勢，展開定點防御。

二、制定內部安全策略　確保執(zhí)行

無論采用何種方案，廣大中小企業(yè)用戶必須認清的一點是，選擇安全產品僅僅只是企業(yè)信息安全工作的基礎，特別是不能夠過渡依賴工具，而忽視人為因素。因為從目前的統(tǒng)計來看，內網出問題是最普遍的安全隱患，所以小企業(yè)必須要制定公司內部的安全策略，并且確保各個部門與人員能夠理解并執(zhí)行。

另外，對于幾年來流行的P2P的應用，如MSN、Skype、BT，采取什么樣的方式處理，也是應當考慮的。雖然這些應用會影響網絡性能，但是很多中小企業(yè)還在依賴某些應用聯(lián)系業(yè)務。因此，對于這類問題，中小企業(yè)必須區(qū)別對待。合理的做法是，用戶可以利用IPS等設備提供的協(xié)議分析過濾功能或配合交換機，有限制地保留業(yè)務用應用，如MSN;杜絕非正常應用，如BT;限制某些非必備應用的帶寬，如Skype。

最后，在中小企業(yè)用戶下決心部署安全方案之前，最好做一個整體評估，分析一下企業(yè)目前的核心信息資產是什么。比如，對一家連鎖超市而言，其交易服務器的重要性顯然高于門戶網站，這樣才能做到有的放矢進行安全策略匹配。

三、如采取外包　需健全安全服務體系

在外包過程當中，每個行業(yè)有很多同類的企業(yè)在競爭，必須考慮用法律體系來規(guī)避風險，需要社會在法律環(huán)境下對社會化服務提供保障。同時也需要廠商、外包商等能夠在安全體系社會化服務進程中共同努力，建立起社會化的一套安全服務體系，以便使中小企業(yè)在進程中依托自己有限的資源去享受安全、完整、有效的安全保障。（IT168）