淺談中小企業信息安全問題及解決措施

石勇

【摘要】：隨著我國信息技術的飛速發展，中小企業的信息安全的保護問題越來越受到中小企業主的關注，本文以中小企業信息安全為主體，介紹中小企業在信電子商務中遇到的主要安全問題，并找出解決中小企業信息安全問題的解決方案。

【關鍵詞】：信息安全 ；問題；解決方案

【引言】：在中小企業的信息管理系統中存在大量的信息和文件材料，其中有對企業發展至關重要的文件材料，一旦這些信息材料在通過網絡傳送時被不法分子和競爭對手竊聽、泄密、篡改或偽造，將會嚴重威脅中小企業的發展，所以，提出中小企業信息安全問題的解決方案具有重要意義。

1. 中小企業信息安全存在的問題

1.1信息安全管理意識不強。

相對大型企業來說，中小企業信息資產方面的積累相對較為薄弱，并且很多時候這種積累并非企業的有意識行為，所以在正常的信息化應用情況下，往往會忽視對自己信息資產的保護，而只有在信息資產受到破壞，形成了實際的經濟和附加損失的情況下，才會開始意識和重視這信息安全問題。

1.2信息安全管理水平較低信息安全風險較大。

目前的中小企業管理層人員雖然已經認識到了信息化的重要性，但卻沒有認識到企業信息化管理是需要在企業管理念上進行根本變革才能實現的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進行改造，結果造成一種信息化的假象，致使“信息化”走向了徒有其表的誤區，信息安全也沒有得到足夠重視。

1.3人才短缺專業人員匱乏。

中小企業一般很難有足夠的吸引力留住信息化及信息安全這一領域的人才。因此，在這種人才短缺的情況下，自然影響到企業信息化的進程。主要表現為：企業一般沒有自己的信息化建設人才隊伍。信息技術專業人員的知識結構也不能達到要求，掌握技術的不懂管理，懂管理的又不會技術，而且信息安全往往沒有專業人員進行管理。

1.4資金短缺。

中小企業的資金狀況決定了其信息化投入遇到的限制相對較多。企業相對有限的資金，一般要優先投入到直接促進公司業績增長的方向，而無形中就造成了信息資產所面臨的巨大風險；特別是在當今越來越多的企業業務與互聯網有密切的聯系，甚至一些企業的業務完全建立在互聯網之上，以平均不到企業總收入1%的信息安全投入，怎么能保障這些業務的正常運行？盡可能使投入比例接近常規，至少應該使企業核心信息資產的安全得到保證，從實際情況來講，在良好的安全理念指導下，進行細致的規劃和評估，通過適當的投入也是可以達到較好的整體效果，因為在中小企業的應用情境下，信息安全防御廣度是相對容易控制的；設計出體現其規律和特點的真正適合中小企業的信息安全產品，才能從根本上滿足中小企業信息安全需求。

1.5中小企業的信息倫理意識不強。

由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候，企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中員工的信息安全意識往往相對比較落后，對于互聯網上存在的威脅往往缺乏足夠的重視，而企業的管理層對于網絡的使用也沒有很好的管理手段。

2.中小企業信息安全問題的解決措施

2.1從企業的自身情況考慮

要解決中小企業網絡信息安全問題，不能僅依靠企業的安全設施和網絡安全產品，而應該考慮如何提高企業自身的網絡安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現在以下兩個方面：

2.1.1提高安全認識

定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識，企業管理層要制定完整的信息安全策略并貫徹執行，對安全問題要做到預先考慮和防備。

2.2.2要求中小企業在上網的過程中要做到“一做三不要”

首先將存有重要數據的電腦堅決同網絡隔離，同時設置開機密碼，并將軟驅、硬盤加密鎖定，進行三級保護，其次不要在自己的系統之內使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切，同時不在網上的任何場合下隨意透露自己企業的任何安全信息，最后不要啟動系統資源共享功能，要盡量減少企業資源暴露在外部網上的機會和次數，減少黑客進攻的機會【1】。

2.2從網絡安全角度考慮

2.2.1從網絡安全服務商的角度來說，服務商要重視中小企業對網絡安全解決方案的需要，充分考慮中小企業的現實狀況，仔細調查和分析中小企業的安全因素，開發出適合中小企業實際情況的網絡安全綜合解決方案。此外，還應該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。

2.2.2要用防火墻將企業的局域網（Intranet）與互聯網之間進行隔離。由于網絡攻擊不斷升級，對應的防火墻軟件也應該及時跟著升級，這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序，以便進行網絡維護，同時經常掃描整個內部網絡，以發現任何安全隱患并及時更改，才能做到有備無患【2】。

2.2.3企業用戶最好自己學會如何調試和管理自己的局域網系統，不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力，提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。

2.2.4內部網絡系統的密碼要定期修改。動態的密碼有助于防止黑客的攻擊以及來自內部人員的泄密。

2.2.5要經常使用殺毒軟件來維護局域網系統不受病毒攻擊。現在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機的情況下進行檢查和清除。

2.2.6同其它企業進行聯合，共同抵制黑客的入侵，一旦被入侵要及時向有關部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網絡的TCP起時限制在15分鐘以內，減少黑客入侵的機會。并擴大連接表，增加黑客填寫整個連接表的難度【3】。

小結

綜上所述，我國中小企業的信息安全問題日益突出。由于受到管理水平、資金、技術、 意識等幾方面的制約，中小企業完全依靠自己解決所有信息化安全問題是不現實的，它們很難使用大企業中那種復雜的信息安全系統，因此迫切需要適合中小企業自身情況的綜合解決措施。

【參考文獻】：

【1】 楊江；周小玲； 基于企業的危機信息管理[J]；科技情報開發與經濟；2009年32期

【2】 杜向文.中小企業的網絡安全[J]；計算機安全；2006，（08）.

【3】 劉曄. 我國企業網絡安全現狀及解決研究[J]；商場現代化；2007，（08）.