中小企業信息化建設過程中如何保障網絡信息安全

摘要:中小企業總數約占我國企業總數的99%，是國民經濟中一支重要的力量。中小企業信息化對于提升企業競爭力、促進國民經濟發展具有非常重要的意義。目前我國已有超過60%的中小企業實施了信息化，而且企業的信息化建設遍及財務系統、公司網站、企業郵箱、辦公自動化等階段，基本實現無紙化辦公，信息高度共享，給企業帶來了諸多便利。然而，隨著企業的成長和發展，企業信息化程度的提高，相伴而來的各種網絡信息安全問題將會更加明顯。

關鍵詞:信息化建設 保障 網絡信息安全

中小企業由于其在信息化方面管理和網絡安全防范相對薄弱等特點，在各種網絡信息安全災難中往往首當其沖，更容易受到沖擊成為重災區。

1 在中小企業面臨的各類網絡信息安全威脅中我認為應該著重注意以下幾個方面

1.1 病毒的威脅

從目前的趨勢來看，雖然現在中小企業的信息安全意識有所提高，各種殺毒軟件的技術一直在升級，電腦病毒也在升級，讓中小企業難以應付，八成以上的企業局域網電腦帶毒運行。

1.2 惡意軟件

在過去的一年里，90%以上的上網電腦都在未被告知并經許可的情況下安裝或曾經安裝了各類廣告軟件、瀏覽器劫持、間諜軟件、惡意共享軟件、行為記錄軟件或惡作劇程序，有些間諜軟件、行為記錄軟件能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息，為黑客打開方便之門，造成了網絡安全的嚴重隱患。

1.3 網絡欺詐行為

近年來，電子商務迅猛發展，網上銀行業務普及速度加快。與此同時，以盜取用戶資金為目的的各種網絡攻擊和網絡欺詐行為使網銀案件層出不窮，并且呈現攻擊工具和攻擊行為有組織、產業化運作的傾向，有些更發展成為集團化犯罪組織。中小企業在開展信息化進行網上交易時，如果不注意防范，容易造成直接經濟損失。

1.4 黑客入侵攻擊

目前中小企業的電腦已成為黑客散布垃圾郵件和“釣魚”信息、傳播間諜軟件和廣告軟件、集體攻擊組織團體、盜取機密信息的重要手段用于對其他網絡進行攻擊的目標，而絕大多數中小企業對于防火墻等技術非常陌生，面對黑客攻擊束手無策。

1.5 信息失控

由于中小企業普遍缺乏信息資源、信息資產的保護意識和手段，員工流動性也較大，這類問題更容易產生。同時，中小企業員工的信息安全意識相對落后，而企業管理層在大部分情況下也不能很好地對企業信息資產作出鑒別，很多時候，員工某些不經意的行為就會對企業的信息資產造成破壞。

1.6 硬件設備存在的的安全隱患

此類設備包括:服務器設備、路由交換設備、存儲設備、PC機等。如果硬件設備出現故障，從而使數據損壞丟失造成的損失，在中小企業的信息安全問題中，這也是不容忽視的因素。

2 防護措施

建立一套完整的防護措施，防止安全事件的發生，保護中小企業用戶免受各類網絡威脅的騷擾就顯得尤為重要。

2.1 建立計算機信息系統應急預案

所謂計算機應急預案，是指一旦發生重大的計算機安全事件，有關部門緊急啟動預先制定的應對安全事件的處置方案，把因事故造成的損失降到最低限度。在發生計算機安全事件時，有無應急預案，能不能迅速啟動應急預案，完全可以產生兩種截然相反的結果。從這點意義上說，應急預案的制定和在緊急情況下的啟動，正是為了保護中小企業的根本利益，把損失減到最低程度，它是“以人為本”思想的充分體現。因此建立計算機信息系統應急預案刻不容緩。

2.2 網絡病毒的防范

在網絡環境下，病毒傳播速度相比于單機環境下加快了很多，僅用單機防病毒軟件已經很難徹底清除網絡病毒，必須使用合適于局域網的全面防病毒產品，中小企業的網絡既然同樣屬于局域網，就需要一個基于局域網安全的防病毒軟件加強計算機的安全。當然，最好使用全方位的防病毒產品，通過全方位，多成次的防病毒系統的配置，通過定期或者不定期的自動升級，和全網查殺等功能使網絡免受病毒的侵襲。

2.3 建立身份認證

在網絡安全性上，如何確定訪客的身份是網絡安全管理的一個重要方面。最簡單的身份認證方式就是密碼，不過很容易被破解，因此以密碼作為身份認證的方式已經顯得不那么安全了，另外一類身份認證方法是智能卡認證，需要使用者持有確認其身份的智能卡，用于當網絡的認證服務器發出確認請求時作出肯定的應答。

2.4 對重要信息進行加密

信息加密是指通過某種加密算法將信息的明文轉譯誠不可閱讀的密文，解密的核心是一個稱為密鑰的數值，通過它可以將密文轉譯成明文。通過對重要信息進行加密，就可以在發生網絡安全事件丟失信息的時候也不會發生泄密事件。

2.5 配置網絡安全設備

利用防火墻和IDS等系統，在網絡通信時執行一種控制，允許網絡安全設備同意訪問的人和數據進入中小企業網絡的內部，同時將不允許的人和數據擋在門外，最大限度的組織網絡中的黑客來訪問自己的網絡，防止他們隨意更改，移動和刪除內部網絡上的重要信息。防火墻等網絡安全設備是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以這類網絡安全設備是網絡安全的重要一環。

總之，網絡安全不是一個孤立靜止的概念，而是多層面、多因素、綜合的、動態的過程，它是一個系統的工程，中小企業的計算機網絡安全需要通過在內部網絡的每一個環節進行有效部署，通過集中收集內部網絡中的威脅，分析面對的風險，靈活適當的調整安全管理策略，同時兼顧使用環境，提高管理人員和工作人員的素質，將人和各種安全技術結合在一起，才能形成一個高效安全的網絡系統，才能最大限度的降低網絡安全事件的發生，才能最終保證中小企業信息化建設的順利進行。