中小企業(yè)信息安全現(xiàn)狀分析及防護(hù)建議

陳 鑫

(上海中鐵通信信號(hào)測(cè)試有限公司，上海 200436)

1 信息安全的定義

信息：作為一種資源，是可以進(jìn)行傳播的一切內(nèi)容。

信息安全：信息安全的含義主要包含信息的保密性、完整性和可用性，保護(hù)各類信息系統(tǒng)及信息資源免受威脅和破壞，即保護(hù)了信息的安全性。

2 中小企業(yè)信息安全現(xiàn)狀

2.1 信息安全意識(shí)薄弱

“信息安全”看似包羅萬(wàn)象，卻又難以找到實(shí)體，在不了解什么是信息安全的前提下，很容易忽視這項(xiàng)安全工作。許多時(shí)候例如“傳份資料給客戶看”、“公司加班發(fā)個(gè)朋友圈”等等一系列小操作，均有可能在不經(jīng)意間就轉(zhuǎn)發(fā)出大量信息，導(dǎo)致企業(yè)重要資產(chǎn)受損。

就中小企業(yè)而言，客戶信息、人員技術(shù)、產(chǎn)品設(shè)備、紙質(zhì)檔案等各類資源，均屬于信息資產(chǎn)范疇。而不少管理者則認(rèn)為“信息安全是大公司的事情”，信息安全等同于網(wǎng)絡(luò)安全，核心業(yè)務(wù)并非依托網(wǎng)絡(luò)，導(dǎo)致安全防范意識(shí)薄弱，信息安全無(wú)法得到重視。

2.2 管理模式簡(jiǎn)陋

通常情況下，中小企業(yè)安排各部門(mén)主管等負(fù)責(zé)其職責(zé)范圍內(nèi)的工作內(nèi)容。但由于流程簡(jiǎn)單、崗位職責(zé)不夠明確，容易導(dǎo)致業(yè)務(wù)交叉、關(guān)聯(lián)性不高，一旦外界或內(nèi)部的威脅出現(xiàn)，其資產(chǎn)的安全性難以得到保障。

2.3 專業(yè)人才匱乏

諸多中小企業(yè)并不具備專業(yè)的信息安全領(lǐng)域人才，無(wú)法建設(shè)信息化人才團(tuán)隊(duì)。而受制于信息化管理理念的重視程度有限，管理者不太愿意將信息安全提升到等同于其他職能的高度。另外，對(duì)于專業(yè)的信息技術(shù)人員個(gè)人而言，中小企業(yè)的吸引力大幅降低，導(dǎo)致中小企業(yè)在信息安全領(lǐng)域的人才短缺。

2.4 資金限制

除去人力成本、物資庫(kù)存等資產(chǎn)，中小企業(yè)內(nèi)部資金有限，容易受到信貸難度高、融資風(fēng)險(xiǎn)大等阻礙。而信息安全防范體系的建設(shè)，不僅需要專業(yè)的人才，或是對(duì)人才技術(shù)的培養(yǎng)，同時(shí)還包括硬件設(shè)備的采購(gòu)、日常的管理與維護(hù)、發(fā)生安全事件時(shí)的應(yīng)急措施等。因此，要投入資金在信息化建設(shè)中，無(wú)疑是中小企業(yè)的一項(xiàng)困難之舉。

2.5 網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單

目前，大部分中小企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單。考慮到與外企業(yè)的溝通，通常中小企業(yè)將用戶終端直連交換機(jī)，再通過(guò)路由器與Internet 互聯(lián)，形成最基礎(chǔ)的上網(wǎng)模式。部分中小企業(yè)雖利用公司內(nèi)網(wǎng)進(jìn)行辦公交流，但依然預(yù)留端口供外部接入。簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)將會(huì)使用戶終端直接暴露在網(wǎng)絡(luò)之中，給不法分子更多可乘之機(jī)。

3 提高和保障企業(yè)信息安全措施

3.1 安全意識(shí)人人有責(zé)

安全問(wèn)題的根源由外部因素和內(nèi)部因素兩部分組成。自然災(zāi)害、木馬入侵等均屬于外部因素，而內(nèi)部因素卻往往是企業(yè)或員工不夠重視造成的。中小企業(yè)從企業(yè)本身到員工個(gè)人，缺乏相關(guān)信息安全意識(shí)的宣貫，因此更容易誘發(fā)安全事件發(fā)生。由此可見(jiàn)，提高信息安全意識(shí)迫在眉睫。

企業(yè)的安全意識(shí)，其中一點(diǎn)體現(xiàn)在是否對(duì)企業(yè)重要資產(chǎn)進(jìn)行過(guò)梳理。對(duì)比大型企業(yè)，盡管中小企業(yè)往往難以細(xì)化部門(mén)分類和工作職責(zé)，但中小企業(yè)的主要業(yè)務(wù)戰(zhàn)略目標(biāo)更為單一，重要資產(chǎn)更易體現(xiàn)。針對(duì)不同行業(yè)，其重要資產(chǎn)也不盡相同，可根據(jù)數(shù)據(jù)、硬件、軟件、服務(wù)、人員等進(jìn)行一一分類，整理出重點(diǎn)保護(hù)對(duì)象，并對(duì)每項(xiàng)重要資產(chǎn)，在保密性、完整性和可用性等級(jí)上進(jìn)行賦值。重要資產(chǎn)的梳理，有助于加強(qiáng)企業(yè)的安全意識(shí)。

一旦企業(yè)開(kāi)始關(guān)注信息安全，員工的安全意識(shí)也將隨之提高。除定期培訓(xùn)外，中小企業(yè)可通過(guò)文件加密、崗位職責(zé)細(xì)化、辦公流程建立等多種方式，以自然的形式給予員工信息安全意識(shí)的灌輸。員工自身也應(yīng)注意個(gè)人信息泄露、消息隨意傳遞等行為或習(xí)慣，以加強(qiáng)人員的安全意識(shí)。

“宜未雨而綢繆，勿臨渴而掘井”，唯有提高意識(shí)，中小企業(yè)才能進(jìn)一步考慮信息安全問(wèn)題，從而采取行動(dòng)進(jìn)行安全防護(hù)。

3.2 人才培養(yǎng)

考慮到重要資產(chǎn)一旦產(chǎn)生安全事故而造成的嚴(yán)重?fù)p失，盡早安排專人把控，有助于預(yù)防更多未知的信息安全事故發(fā)生。

對(duì)中小企業(yè)而言，外部招聘信息安全人才，一方面企業(yè)規(guī)模往往難入專業(yè)人才的“法眼”，并且，企業(yè)對(duì)新進(jìn)人才的信任度也有待時(shí)間證明。因此，從企業(yè)內(nèi)部合理任用員工進(jìn)行信息安全管理，是中小企業(yè)相對(duì)可靠的方式。同時(shí)，條件允許的情況下，應(yīng)從企業(yè)信息系統(tǒng)和企業(yè)管理體系兩方面分派人員進(jìn)行管理。

信息系統(tǒng)人員要求：了解企業(yè)自身物理環(huán)境，如電力配電、機(jī)房布線、機(jī)柜接地等；熟悉企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，主要包括對(duì)外的網(wǎng)絡(luò)邊界防護(hù)、對(duì)內(nèi)的訪問(wèn)控制等；掌握企業(yè)系統(tǒng)軟硬件，包含服務(wù)器、路由器等硬件設(shè)立，專業(yè)應(yīng)用、辦公軟件的安裝管理等。明確企業(yè)信息應(yīng)用機(jī)制，例如登入方式、密碼保護(hù)等。

管理體系人員要求：從企業(yè)組織架構(gòu)、人員分工、各項(xiàng)業(yè)務(wù)訪問(wèn)控制、文檔存儲(chǔ)等角度考慮。

3.3 建立并完善管理體系

管理人員要注意的是，完善的信息安全管理體系，應(yīng)當(dāng)適用于信息安全管理的整個(gè)生命周期。ISMS 是目前一種較為常見(jiàn)的信息安全管理體系，該體系圍繞《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（ISO/IEC 27001）的要求建立，同時(shí)也遵循PDCA 循環(huán)這項(xiàng)基本管理過(guò)程。

PDCA 循環(huán)最早由美國(guó)質(zhì)量管理專家戴明普及，所以又稱戴明環(huán)。PDCA 將安全管理活動(dòng)分為計(jì)劃（Plan）、執(zhí)行（Do）、檢查（Check）、處理（Act）4 個(gè)過(guò)程。

4 個(gè)過(guò)程按順序進(jìn)行，每一個(gè)完整循環(huán)的執(zhí)行，安全質(zhì)量都會(huì)取得一定的提升，從而提出新的目標(biāo)，執(zhí)行下一個(gè)循環(huán)。

基于上述PDCA 循環(huán)，中小企業(yè)應(yīng)用于信息安全管理體系的ISMS 建設(shè)可分為如下幾個(gè)階段。

1）規(guī)劃

在規(guī)劃階段，首要任務(wù)是定義保護(hù)范圍。根據(jù)企業(yè)自身運(yùn)營(yíng)情況，界定出體系建設(shè)所要保護(hù)的組織結(jié)構(gòu)、業(yè)務(wù)范圍、信息系統(tǒng)范圍等，并從中清晰的確定出相關(guān)重要資產(chǎn)。

建立在重要資產(chǎn)的基礎(chǔ)之上，依據(jù)信息系統(tǒng)的特征，制定風(fēng)險(xiǎn)評(píng)估方法并予以實(shí)施，包括識(shí)別風(fēng)險(xiǎn)、風(fēng)險(xiǎn)值計(jì)算、風(fēng)險(xiǎn)分析。

2）實(shí)施并運(yùn)行

該階段主要任務(wù)是通過(guò)管理、執(zhí)行等手段，對(duì)所識(shí)別的信息安全風(fēng)險(xiǎn)進(jìn)行處理。

風(fēng)險(xiǎn)的處理方式分為降低風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)4 大類。

結(jié)合規(guī)劃階段的風(fēng)險(xiǎn)分析結(jié)果，企業(yè)應(yīng)先判定每一項(xiàng)風(fēng)險(xiǎn)是否為可接受風(fēng)險(xiǎn)，可接受風(fēng)險(xiǎn)無(wú)需進(jìn)一步處理。對(duì)于不可接受的風(fēng)險(xiǎn)，采取降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方式，將風(fēng)險(xiǎn)消除或控制在可接受范圍內(nèi)，并且對(duì)處理過(guò)后剩余風(fēng)險(xiǎn)積極維護(hù)。此外，企業(yè)應(yīng)針對(duì)可能存在的風(fēng)險(xiǎn)，加強(qiáng)管理，深入開(kāi)展各專項(xiàng)工作，從而達(dá)到規(guī)避風(fēng)險(xiǎn)的效果。

3）監(jiān)視并評(píng)審

檢查階段是整個(gè)ISMS 體系中非常重要的階段，并且是一個(gè)長(zhǎng)期保持的階段。該階段主要包括如下內(nèi)容。

明確需要被監(jiān)視的內(nèi)容，企業(yè)可通過(guò)測(cè)試、評(píng)價(jià)等方式對(duì)被監(jiān)視的內(nèi)容進(jìn)行檢查，并做好相應(yīng)數(shù)據(jù)的存檔，尤其是對(duì)上述處理過(guò)后的剩余風(fēng)險(xiǎn)，需著重把關(guān)其是否已被控制在可接受范圍內(nèi)。

按計(jì)劃進(jìn)行信息安全風(fēng)險(xiǎn)管理體系的內(nèi)部審核，驗(yàn)證體系是否符合中小企業(yè)自己的信息安全需求，以及整個(gè)信息安全的保護(hù)過(guò)程是否在原先預(yù)期的體系控制范圍之內(nèi)。

中小企業(yè)的最高管理層應(yīng)定期進(jìn)行管理評(píng)審，結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果、處理措施的實(shí)施、監(jiān)測(cè)結(jié)果、審核結(jié)果等，判斷自身企業(yè)是否達(dá)到了信息安全的預(yù)期目標(biāo)，并提出后期持續(xù)改進(jìn)的要求。

4）改進(jìn)

經(jīng)過(guò)計(jì)劃、執(zhí)行、檢查3 個(gè)階段后，信息安全體系的防護(hù)效果得以呈現(xiàn)。企業(yè)根據(jù)體系的運(yùn)行情況，若該輪體系的運(yùn)行完全達(dá)成目標(biāo)且運(yùn)行狀態(tài)良好，可以考慮將該論體系中所采取的處理措施保持并繼續(xù)執(zhí)行；若仍有不符合項(xiàng)，企業(yè)應(yīng)尋找原因并確定有效的措施繼續(xù)整改。

此外，在這個(gè)階段，中小企業(yè)還能采取培訓(xùn)等方式，加強(qiáng)員工的信息安全意識(shí)，有效的遏制某些潛在的安全事件發(fā)生。在此基礎(chǔ)上，將迎來(lái)全新一輪的PDCA 循環(huán)。

3.4 薄弱環(huán)節(jié)補(bǔ)強(qiáng)

如圖1 所示，威脅利用脆弱性造成不良后果的機(jī)會(huì)稱之為安全事件的可能性，資產(chǎn)價(jià)值和該資產(chǎn)所暴露出脆弱性的嚴(yán)重程度決定了安全事件造成的損失，通過(guò)安全事件的可能性和損失可以判定資產(chǎn)所面臨的風(fēng)險(xiǎn)大小。

圖1 信息安全風(fēng)險(xiǎn)分析原理圖Fig.1 Schematic diagram of risk analysis on information security

資產(chǎn)、威脅、脆弱性3 要素中，資產(chǎn)本身無(wú)法替代或消除。威脅則屬于引起風(fēng)險(xiǎn)的外部因素。而作為引起風(fēng)險(xiǎn)的內(nèi)部因素，脆弱性同時(shí)關(guān)聯(lián)到誘發(fā)風(fēng)險(xiǎn)的可能性和損失。因此，降低脆弱性，是中小企業(yè)最為有效的加強(qiáng)安全防護(hù)的方式之一。

各中小企業(yè)現(xiàn)階段的信息安全狀況及所要達(dá)到的預(yù)期效果不盡相同，例如互聯(lián)網(wǎng)公司等在公司網(wǎng)絡(luò)結(jié)構(gòu)上會(huì)相對(duì)其他行業(yè)有更明顯的優(yōu)勢(shì)和防護(hù)措施。并且各中小企業(yè)愿意投入于信息安全的資金也存在差異。為此，提出以下幾項(xiàng)基本安全防護(hù)措施。

1）環(huán)境安全

企業(yè)應(yīng)掌握自身辦公區(qū)域的物理環(huán)境狀況，做到防火、防水、防靜電、機(jī)柜接地、線路排放合理等；企業(yè)員工則應(yīng)自覺(jué)做到不在辦公區(qū)域內(nèi)吸煙、安全用電、水電隔離等常規(guī)操作。

2）網(wǎng)絡(luò)安全

企業(yè)要界定網(wǎng)絡(luò)邊界，設(shè)定相應(yīng)的外部訪問(wèn)策略、內(nèi)部訪問(wèn)策略，配置防火墻，關(guān)閉路由器、交換機(jī)等網(wǎng)絡(luò)中間設(shè)備未啟用的端口；企業(yè)員工按規(guī)定進(jìn)行公司網(wǎng)絡(luò)訪問(wèn)，避免私自利用企業(yè)內(nèi)部終端接入其他不安全網(wǎng)絡(luò)。

3）硬件安全

企業(yè)定期對(duì)各類服務(wù)器、存儲(chǔ)等進(jìn)行檢查維護(hù)，條件允許的情況下應(yīng)配置熱備/冷備；企業(yè)員工妥善保管和使用好筆記本電腦等硬件設(shè)備，如遇故障應(yīng)通過(guò)正規(guī)渠道進(jìn)行修理更換。

4）系統(tǒng)與軟件安全

企業(yè)應(yīng)及時(shí)做好系統(tǒng)和軟件的補(bǔ)丁更新，匯總各類系統(tǒng)設(shè)備日志，加強(qiáng)對(duì)重要資產(chǎn)的訪問(wèn)控制；企業(yè)員工應(yīng)設(shè)定并定期更換常用密碼，重要資料應(yīng)及時(shí)上傳服務(wù)器。

5）管理安全

企業(yè)編制并采用信息安全管理體系，加強(qiáng)文檔類材料的存儲(chǔ)管理，對(duì)重要文件需逐級(jí)批復(fù)后方可授權(quán)交接，對(duì)于市場(chǎng)資源、行業(yè)技術(shù)等重要資產(chǎn)，企業(yè)可考慮安排員工簽署保密協(xié)議，防止機(jī)密泄露；企業(yè)員工要自覺(jué)遵守規(guī)章制度，切忌泄密、偷盜、挪用等不良行為。

以上5 大類安全防護(hù)建議實(shí)施難度小，無(wú)需投入大量資金，且適用于中小企業(yè)信息安全體系的各個(gè)階段，在信息安全脆弱的情況下，能最大程度高效率的提升安全等級(jí)，阻止安全事件發(fā)生。

4 結(jié)束語(yǔ)

信息化為社會(huì)和企業(yè)的發(fā)展提供了極大的便利和效益，但中小企業(yè)信息安全現(xiàn)狀仍需加強(qiáng)。通過(guò)對(duì)信息安全的重視，并采取合理、有效的手段進(jìn)行體系建立及安全防護(hù)，才能更好的保護(hù)企業(yè)信息資產(chǎn)。