中小企業(yè)信息化安全管理盲區(qū)探析

1、中小企業(yè)信息化安全管理盲區(qū)探析 摘要 中小企業(yè)信息化是我國信息化建設(shè)的重要組成部分。與發(fā)達國家相比，我國中小企業(yè)信息化水平仍處于初級階段，還存在著許多制約中小企業(yè)信息化發(fā)展的因素，信息化安壘管理因素將關(guān)系到中小企業(yè)信息化的成敗。本文探討了中小企業(yè)信息化管理中存在的安全隱患，分析了導致安全問題的主要原因，并提出了防范措施。 關(guān)鍵詞 中小企業(yè)信息化；安全管理；措施 中圖分類號F49 文獻標識碼A 文章編號1006-5024(2010)01-0042-03 基金項目 江西省高校人文社科研究項目“工業(yè)園區(qū)企業(yè)信息資源共建共享問題研究” 作者簡介 劉福來，贛南師范學院數(shù)計學院院長，教授，碩士生導師，研究

2、方向為企業(yè)信息化、 工作流建模技術(shù)。(江西贛州 341000)面對經(jīng)濟全球化的競爭環(huán)境，信息化已經(jīng)成為中小企業(yè)生存、發(fā)展、創(chuàng)新和提升競爭能力的必然要求。黨的“十六大”提出“信息化帶動工業(yè)化、工業(yè)化促進信息化” ，黨的“十七大”提出“信息化與工業(yè)化融合” ，進一步明確了信息化在建立現(xiàn)代產(chǎn)業(yè)體系，加快結(jié)構(gòu)調(diào)整，轉(zhuǎn)變發(fā)展方式中的重要地位和作用中小企業(yè)是市場經(jīng)濟的主體，在促進經(jīng)濟社會發(fā)展、保障就業(yè)、保持社會穩(wěn)定等方面發(fā)揮著重要作用。目前，經(jīng)工商部門注冊的中小企業(yè)數(shù)量達到 4300 多萬戶，個體經(jīng)營戶達到 3800 多萬戶。因此，關(guān)注中小企業(yè)信息化，加快中小企業(yè)信息化發(fā)展速度，通過信息化手段來快速提升中

3、小企業(yè)的管理水平、技術(shù)現(xiàn)狀、競爭力，是我國信息化與工業(yè)化融合、走新型工業(yè)化道路的迫切需要，對于實現(xiàn)全面建設(shè)小康社會、建設(shè)創(chuàng)新型國家的宏偉目標具有重要的戰(zhàn)略意義。當前，世界經(jīng)濟發(fā)達國家中小企業(yè)的信息化正在向深度發(fā)展，開展電子商務的企業(yè)已達到較高比例，信息技術(shù)的應用已融入企業(yè)的生產(chǎn)、研發(fā)、運營和管理活動。近幾年來，我國中小企業(yè)信息化取得了較大發(fā)展，但與發(fā)達國家相比存在一定的差距，信息化水平仍處于初級階段，還存在著許多問題亟待解決， 如： 投入資金不足、 信息專業(yè)技術(shù)人員缺乏、法規(guī)與政策環(huán)境不完善、社會化服務體系不健全、信息化安全管理存在盲區(qū)等等，其中信息化安全管理存在的問題關(guān)系到中小企業(yè)信息化的成

4、敗。據(jù)統(tǒng)計，我國商業(yè)秘密刑事案件中有 60 與人才跳槽有關(guān)， 80 以上的商業(yè)秘密外流案件由內(nèi)部員工引起，而泄密的渠道多與電腦有關(guān)，計算機信息安全監(jiān)管如今已成為關(guān)注的焦點。目前，我國有些中小企業(yè)對信息化安全隱患感到擔憂，而有的中小企業(yè)對于信息化安全問題明顯重視不夠。因此，探討中小企業(yè)信息化存在的安全隱患，分析其原因，研究加強安全管理措施，對于提升信息化效益、保證企業(yè)資產(chǎn)安全、推進中小企業(yè)信息化發(fā)展將起到重要作用。一、信息化安全管理存在的盲區(qū)中小企業(yè)信息化涉及到企業(yè)的核心業(yè)務，業(yè)務數(shù)據(jù)的安全問題是企業(yè)信息化建設(shè)首先應重視的問題。但是，不幸的是，許多中小企業(yè)信息化安全管理非常薄弱，在信息化安全管理

5、中存在諸多盲區(qū)，導致信息很容易被泄露，企業(yè)資產(chǎn)受到嚴重威脅。（一 ）移動設(shè)備使用泛濫。許多企業(yè)對移動存儲設(shè)備（筆記本電腦、智能手機、 u 盤、移動硬盤、 MP3 等） 的使用沒有任何規(guī)定，即使有規(guī)定，執(zhí)行也不嚴格。在企業(yè)內(nèi)部，員工可以隨意使用任何移動存儲設(shè)備對文件進行存儲備份，隨身帶離企業(yè)，殊不知這將給企業(yè)的信息安全帶來重大隱患。企業(yè)的客戶信息、產(chǎn)品設(shè)計信息、財務信息等高度機密信息是嚴禁外傳的，但是，員工可以通過移動存儲設(shè)備向外泄露。更有居心不良者，可能把這些信息資源作為他們跳槽的資本。此外，員工在企業(yè)內(nèi)外部濫用移動存儲設(shè)備，導致病毒漏過企業(yè)設(shè)置的病毒防火墻，而直接在企業(yè)內(nèi)部傳播。（二 ）密碼

6、設(shè)置過于簡單。 企業(yè)員工對于密碼的認識不足，認為只要設(shè)置了密碼且不被泄露就平安無事了。因此，員工為了方便和記憶，設(shè)置密碼時，太簡單且有規(guī)律可循，如密碼采用生日年月日， 或采用電話號碼， 或與用戶名相同等等。其實，在企業(yè)內(nèi)部，用戶名是很容易獲得的，若密碼太簡單且有規(guī)律可循，是很容易被破解的。此外，很多辦公軟件的重要文檔，若只設(shè)置數(shù)字密碼，那么，利用一些密碼破解工具，就很容易被破解。其實，密碼的破解難度一般不跟密碼長度成正比，而是跟密碼的復雜度成正比，加入一些英文字符，密碼破解的難度將大大增加。（三）權(quán)限管理混亂。通常對于企業(yè)機密信息，可能發(fā)生的安全問題主要是非授權(quán)訪問。一般通過加強權(quán)限管理及設(shè)置

7、必要的密碼來防止非授權(quán)訪問。因此，權(quán)限管理是信息化安全管理中非常重要的工作，必須明確界定“誰能做什么事” 、 “誰不能做什么事” 。許多企業(yè)對操作權(quán)限有一定的設(shè)置要求，但現(xiàn)實中出現(xiàn)很多混亂的現(xiàn)象： 1 員工享有的操作權(quán)限重復，導致責任不明。 2 在企業(yè)使用的 Windows 操作系統(tǒng)中，用戶具有管理員的權(quán)限，既可以隨意地下載和安裝軟件，也可修改系統(tǒng)的配置，甚至可以擅自修改 IP 地址，造成 IP 地址的沖突等。 3 公司辭退員工，沒有及時變更計算機登錄權(quán)限。 4 企業(yè)在手工過渡到信息化時，為了不對現(xiàn)有的利益分配產(chǎn)生不良反應，在權(quán)限分配上基本模擬手工方式，出現(xiàn)“穿新鞋，走老路”的現(xiàn)象，這對信息化

8、效率與安全都造成一定的影響。（ 四 ）上網(wǎng)“暢通無阻” 。網(wǎng)絡帶來的好處不言而喻，但網(wǎng)絡容易引起病毒泛濫、黑客攻擊、間諜軟件侵犯等，使得在用戶不知情的情況下，信息被泄露，造成企業(yè)資產(chǎn)損失。目前，企業(yè)在上網(wǎng)管理方面存在的主要問題： 1 企業(yè)員工在上班時間，無限制地利用網(wǎng)絡聊天、炒股、玩網(wǎng)絡游戲等，使用 QQ 、 MSN 等傳送、接收文件，導致很多病毒從企業(yè)的外部傳到企業(yè)的內(nèi)部網(wǎng)絡上，并迅速擴散，引起企業(yè)內(nèi)部網(wǎng)絡癱瘓，影響企業(yè)正常工作。 2 由于員工在家里下載電影、游戲等，速度非常慢，但是，現(xiàn)在企業(yè)帶寬比較大，在企業(yè)下載速度較快。因此，員工上班時下載電影、游戲，占用帶寬資源，導致其他員工有時向服務

9、器上傳文件時速度緩慢，影響工作效率。 3. 企業(yè)利用網(wǎng)站免費郵箱以郵件附件形式傳遞電子文檔的現(xiàn)象較為普遍，由于電子文檔是病毒的溫床，容易導致病毒傳播蔓延。（五 ）員工出售機密信息。一些企業(yè)的員工，尤其是手中掌握大量機密信息的特權(quán)員工，例如數(shù)據(jù)庫管理員、網(wǎng)絡管理員、營銷管理員手中握有大量的客戶資料，技術(shù)研發(fā)人員掌握企業(yè)技術(shù)核心數(shù)據(jù)。他們可能將手中的機密信息出信給企業(yè)的競爭對手，以此獲得非法的利益，利用自身特權(quán)違反企業(yè)數(shù)據(jù)保護管理制度，致使企業(yè)遭受損失。（六 ） 內(nèi)部信息共享失控。許多公司為了提高工作效率，內(nèi)部網(wǎng)絡上實行文件共享策略，沒有采取任何防護措施。如銷售部門的客戶信息文件、銷售計劃文件，生

10、產(chǎn)部門的生產(chǎn)計劃文件等，其他部門人員通過企業(yè)內(nèi)部網(wǎng)絡可以訪問。由于中小企業(yè)員工流動性較大，很容易把重要信息泄露出去。有些時候，員工某些不經(jīng)意的操作可能對企業(yè)的文件造成損壞。（七 ）第三方社會服務體系穩(wěn)定性難以保證。目前，中小企業(yè)信息化的一種重要模式就是采用第三方社會服務體系開展信息化建設(shè)，但第三方社會服務體系穩(wěn)定性無法保障，第三方社會服務提供商可以隨便停止服務、退出、倒閉，這對于租用第三方服務商的中小企業(yè)可能是一個滅頂之災。二、中小企業(yè)信息化安全管理問題分析到最低，我們必須對中小企業(yè)信息化安全管理存在的問題進行分析，找出其深層原因，為企業(yè)加強信息化安全管理，制定有關(guān)管理措施與機制提供依據(jù)。（一

11、 ）信息化安全意識淡漠。目前，在管理觀念上對信息化認識不足，中小企業(yè)雖然認識到了信息化的重要性，卻沒有認識到企業(yè)信息化安全管理的重視性，沒有把信息化安全管理工作作為日常工作的重點，將它上升到企業(yè)生產(chǎn)安全的高度來對待，更沒有意識到信息是企業(yè)的重要資產(chǎn)。要像對待資金一樣重視與保護，對不同重要程度的信息需要按照不同要求進行保護。由于對信息化安全管理認識不到位，許多中小企業(yè)在信息化安全管理方面投入的資金嚴重不足，電子郵箱使用免費郵箱，殺毒軟件下載免費的，根本談不上投入資金構(gòu)建防火墻，無法保證中小企業(yè)的信息安全。（二 ）信息化安全管理無章可循、有章不循。信息化安全工作缺乏統(tǒng)一的依據(jù)和準則，安全管理制度不

12、完善，制度間存在內(nèi)容交叉、業(yè)務流程割裂、邊界定義不明確，導致同一行為被多個角色實施，安全職責模糊不清，安全追究制無從落實，無章可循現(xiàn)象普遍存在。有章不循問題同樣嚴重，部門責任和崗位責任制得不到真正落實，已有的規(guī)章制度在執(zhí)行層面還缺乏強制性，執(zhí)行監(jiān)督機制薄弱，忽視信息安全的監(jiān)督作用，信息化安全管理尚未完全納入到企業(yè)風險管理中。（三）缺乏信息化安全技術(shù)人才。在中小企業(yè)信息化建設(shè)中，吸引企業(yè)目光的往往是需要什么樣的硬件，怎樣搭建網(wǎng)絡平臺，而對信息化人才的培養(yǎng)與引進關(guān)注不夠。大多數(shù)中小企業(yè)缺乏信息技術(shù)人才，更缺少信息化安全專業(yè)技術(shù)人才。根據(jù)安全要求，一個系統(tǒng)應該由多個人員來共同管理，但是受人員及技術(shù)的

13、限制，往往一個管理員既要負責系統(tǒng)的配置， 又要負責系統(tǒng)安全管理， 安全設(shè)置和安全監(jiān)督都是 “一肩挑” 。這種情況使得管理權(quán)限過于集中，一旦管理員的權(quán)限失控，極易導致重要信息泄露。（ 四 ）缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機制。中小企業(yè)在信息化安全方面，雖然企業(yè)網(wǎng)絡內(nèi)安裝了一定的安全設(shè)備， 但缺乏統(tǒng)一的安全策略和有效的安全體系規(guī)劃方案， “頭痛醫(yī)頭，腳痛醫(yī)腳，缺乏整體規(guī)劃”成為眾多中小企業(yè)信息化安全管理的真實寫照。在信息化建設(shè)過程中，由于急需開展業(yè)務，往往出現(xiàn)“先業(yè)務，后安全”的現(xiàn)象，安全管理嚴重滯后于業(yè)務的發(fā)展。由于安全建設(shè)缺乏規(guī)劃和整體設(shè)計，安全事件發(fā)生后才去解決，信管員變成“救火員” ，安

14、全建設(shè)只能是“亡羊補牢”三、加強中小企業(yè)信息化安全管理的措施隨著中小企業(yè)信息化的不斷深入，中小企業(yè)信息化安全管理問題日顯突出，如果不采取有效措施，將會嚴重制約中小企業(yè)信息化的發(fā)展，并且會對企業(yè)造成嚴重的損失。只有構(gòu)筑一個管理高效、安全可靠的信息化安全管理體系，才能提高信息化安全保障水平。（一 ）加強信息化安全管理教育，提高信息安全意識。信息化安全管理是企業(yè)及每個員工都要面對的問題， “信息安全，人人有責” 。真正的安全是一種意識，并非技術(shù)，不存在一種技術(shù)能真正保證絕對的安全。因此，必須加強信息安全宣傳工作，營造安全風險防范從我做起的氛圍，增強所有員工對信息安全重要性的認識，扭轉(zhuǎn)“信息安全不重要

15、”的錯誤認識。要把信息化安全教育列入企業(yè)員工教育培訓計劃，加強互聯(lián)網(wǎng)和信息安全知識的普及工作，增強員工信息安全意識，提高員工的信息安全防范能力。（二 ）健全用戶權(quán)限和上網(wǎng)管理制度，加強制度執(zhí)行監(jiān)控力度。建立健全用戶權(quán)限和上網(wǎng)管理制度并嚴格執(zhí)行，是信息化安全管理的重點工作，并且，隨著業(yè)務系統(tǒng)的發(fā)展，還 要不斷補充和修改相關(guān)制度。 1 完善用戶權(quán)限管理。要改變個個員工都是管理員的現(xiàn)狀，在不影響工作的情況下，要把員工權(quán)限設(shè)置成最小，最大限度地保障個人操作系統(tǒng)的安全性，以減少越權(quán)操作的現(xiàn)象。 2 加強上網(wǎng)限制與管理。在信息化管理工作中，通過技術(shù)與管理兩個方面手段，加強眾多員工上網(wǎng)行為的控制。同時，對于

16、外部傳來的文件要嚴格控制，以防止攜帶病毒進入企業(yè)內(nèi)部網(wǎng)絡。（三）建立、健全信息安全防范體系。完善信息安全管理機制和防范體系，可以提高企業(yè)對關(guān)鍵信息資產(chǎn)的防護能力，在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展，并將損失降到最低程度。 1. 建立安全事件應急管理機制，制訂信息化安全應急預案，提高信息安全應急響應速度。 2.建立網(wǎng)絡與信息安全管理平臺，在內(nèi)外阿部署一系列網(wǎng)絡與信息安全設(shè)施， 加強計算機場所的安全管理， 制定相應的訪問控制策略，規(guī)范網(wǎng)絡應用安全，如：網(wǎng)絡防病毒軟件、入侵檢測系統(tǒng)、高性能防火墻等。 3.建立集中化管理控制機制。將數(shù)據(jù)安全控制進行集中化管理，以確保安全防范策略能夠由上至下全面貫徹執(zhí)行。將加密密鑰進行集中化管理，可以防止由于人為錯誤而造成加密密鑰的丟失帶來的數(shù)據(jù)安全風險，也可防止與其他的加密策略相互沖突和不兼容。 4.強化重要信息異地數(shù)據(jù)備份與災難恢復機制，為信息系統(tǒng)的安全可靠運行提供保障。 5.加強信息安全風險評估工