大數據背景下中小企業信息安全問題研究

云穎

關鍵詞大數據：中小企業：信息安全

1信息安全對中小企業發展的重要意義

隨著我國經濟水平的不斷提升，中小企業的數量越來越多，中小企業為推動我國市場經濟的發展發揮了十分重要的作用，同時為社會提供了大量的就業崗位和機會。但是，很多中小企業受到規模小、資金少、抵御風險能力差的限制，其生存時間是非常短的。我國向來重視中小企業信息化建設與發展，切實推動中小企業信息化發展，幫助其有效優化信息化服務，降低信息技術應用成本。大數據時代，加強信息化安全管理也是中小企業信息化建設和發展的重要組成部分[1]。中小企業開展信息化管理，企業有關重要信息包括客戶資料、訂單詳情、生產工藝以及技術流程等都會在互聯網中存儲，這些數據信息對中小企業是至關重要的，一旦被泄露、篡改、刪除或者丟失，都將影響企業的正常運行，甚至給中小企業帶來致命的打擊。因此，有效維護中小企業信息安全，提升其信息安全管理水平，是推動和維持中小企業健康長遠發展的關鍵要素。

2大數據背景下中小企業信息安全管理的內涵

2.1中小企業信息安全管理更加多元化

信息技術的蓬勃發展使信息全球化發展速度不斷加快，也使信息在社會和經濟發展中所占據的地位越來越重要。事實上，信息技術已經融人我們日常生活的方方面面，同時成為社會生產過程中最為重要的生產要素之一。

本文所介紹的中小企業信息安全是指中小企業在利用互聯網信息技術開展經營業務時，所涉及的各種網絡設備、軟件系統以及保存在系統中的所有數據受到應有的保障，不會因為意外或者惡意而遭到破壞、攻擊或者竊取，進而確保中小企業可以維持正常的經營秩序，信息服務可以正常運轉。中小企業信息安全管理多元化表現在以下幾個層面，分別是：數據安全、系統應用安全、用戶信息安全、網絡安全以及硬件設備安全。中小企業信息安全管理各個層次之間相互聯系、互相影響。任何一個層次出現問題，都會造成不同的信息安全隱患。因此，為了提升企業信息安全管理能力，中小企業必須對不同層次采用區別化的應用措施。事實上，中小企業開展信息安全工作是一個動靜結合的維護過程。一方面，需要利用靜態的防火墻、登錄認證以及系統加密等手段進行系統加固：另一方面，利用動態的監測手段，比如定期的漏洞監測，系統入侵檢測或者系統安全監測等對企業網絡系統進行實時監管，及時發現問題并反饋給企業維護人員，從而構建系統化、機構化的動態網絡系統安全模式。

2.2中小企業需要的安全服務更加豐富

當前，中小企業所需要的安全服務主要有：（1）判斷信息的真實性，即對訪問系統的信息來源進行判斷，進而甄別其真實性。（2）對信息進行保密性處理。中小企業涉及的信息內容包括企業自身的信息、企業機密以及用戶信息等，這些資料是中小企業賴以生存和發展的基礎。因此，中小企業要采取必要的保密措施，確保企業的這些信息不被竊取、破壞或者篡改。（3）確保數據信息的完整性。（4）保證信息的可用性。確保企業自身和用戶可以對數據資源進行合理的利用。（5）強化對信息的可控性。主要體現在企業對數據信息的傳播和使用具有一定的控制能力。

3大數據對中小企業信息安全的挑戰

3.1網絡社區化使中小企業數據極易成為攻擊目標

隨著互聯網技術的不斷發展，網絡社區化趨勢越發明顯，為不同行業領域的信息資源共享提供了更為便捷的網絡空間。同時，以云計算、大數據為特點的網絡社區也為中小企業提供了更為開放、數據整合更加快速的數據集合[2]。但是，由于互聯網的共享性和暴露性，導致中小企業被黑客攻擊的現象時有發生。換言之，在開放性更強的網絡環境中，數據和數據之間的聯系更加密切，對于黑客來說，可以用更低的成本去獲得和破壞更多的數據。近年來，從互聯網上發生的企業泄密事件可以看出，在大數據環境下，企業信息更容易受到黑客的攻擊，從而造成嚴重的后果。

3.2非結構化數據對中小企業數據存儲提出更高要求

在此之前，數據存儲分為2種，分別是關系型數據庫以及文件服務器。進人大數據時代，數據類型的種類越加豐富。在互聯網中，有超過80％的數據為非結構化數據[3]。盡管NoSQL數據庫具有可擴展性和可應用性等特點，但是在數據存儲方面依然存在較多問題：（1） SQL技術的訪問控制和隱私管理比較嚴苛，NoSQL還沒有辦法使用SQL的模式；（2）由于NoSQL使用的是新的代碼，但是依然存在很多漏洞。更重要的是，軟件服務器的安全性能有待提升，這對于人才、資金都十分短缺的中小企業來說，無疑增加了成本輸出。由于中小企業并未在客戶端建立必要的安全措施，產生了大量的安全隱患，給企業信息安全帶來了巨大的風險。

3.3新技術的應用增加了中小企業安全管理風險

隨著科技的不斷發展，人工智能、防火墻、無線路由等網絡技術、網絡設備得到了人們的廣泛應用，極大地方便了數據的收集、整理和分析。但是，我們也應該注意到，信息技術的不斷發展使中小企業信息安全管理難度不斷提升。從大數據層面分析，大數據安全防護不到位。盡管大數據給企業發展帶來了很多便利，但是，大數據在數據控制、安全防護、訪問限制、存儲管理等方面的不足，使數據泄密成為家常便飯。另外，大數據本身就是一個可以被連續攻擊的載體，可能引發大數據內容中各種病毒以及惡意軟件的長期攻擊。對中小企業而言，由于其在資本、專業人才以及技術能力上的短板，造成其沒有更多的手段和措施應對大數據時代帶來的風險。更重要的是，中小企業的領導者、管理層缺乏信息安全管理意識，對企業信息安全的內容知之甚少，更談不上如何對企業自身信息資源和數據進行保護。

4存在的問題

4.1軟硬件漏洞情況嚴重

中小企業信息安全軟硬件漏洞問題主要體現在：一方面，硬件安裝隱患。包括路由器、防火墻等安全設備性能較低，不能及時發現互聯網中的木馬及病毒。此外，中小企業由于人員和資金的限制，并沒有專門設置信息安全管理部門，沒有專業的人員對企業硬件進行定期的維護，這也在一定程度上削弱了硬件設備的安全性能。另一方面，系統軟件存在漏洞，容易受到病毒或者木馬等惡意軟件的攻擊。中小企業在日常經營過程中，必然會用到各種應用軟件、操作系統等，如果軟件或者系統中存在安全漏洞，極易成為外界攻擊的關鍵點。與此同時，很多中小企業的應用軟件及系統都交由第三方軟件公司進行設計，軟件公司為了后期維護方便，經常在系統內部設置所謂的“后門”，這些“后門”的存在也為黑客提供了便利，惡意攻擊者往往會通過其進行數據的竊取或者破壞，甚至造成中小企業整個信息系統的癱瘓。

4.2缺少信息安全管理制度

通過調研發現，很多企業在信息安全領域并沒有構建完善的管理機制，這種情況在中小企業十分普遍，也嚴重影響了中小企業信息安全的最終效果。由于中小企業缺少完備的網絡維護機制，不能對企業信息進行有效的保護，信息丟失、被竊取和破壞的情況時有發生，給中小企業長遠發展造成巨大的安全隱患。

5大數據背景下中小企業信息安全優化策略

5.1構建完善的中小企業大數據信息安全管理體系

大數據背景下，中小企業信息安全面臨更大的挑戰，單一、片面的信息管理已經難以滿足中小企業信息安全的需求。因此，對于中小企業而言，需要構建更加全面和完善的信息安全管理體系來應對復雜多變的網絡環境。一方面，中小企業要提前預警。以往，中小企業通常都是在受到安全威脅之后，才會根據受攻擊情況制定對應的解決策略。大數據環境下，必須主動轉變信息安全防護思維，擺脫傳統以問題為基礎制定信息安全防護策略的束縛，中小企業要強化企業信息安全機制，應該著眼于大數據本身，通過數據收集、整理以及分析發現可能存在的安全隱患，進而提前制定安全防護方案。針對中小企業信息安全管理體系，需要構建完善的組織機構和管理機構，包括企業信息安全監管機制、信息安全響應機制、大數據備份機制、訪問機制等。需要注意的是，對于中小企業的關鍵信息，應該設置一定范圍內的共享，減少非必要人員的接觸次數，尤其嚴禁將企業內部信息在企業外部進行傳播。另一方面，建立大數據管理制度。數據在中小企業內部傳遞的過程中依然存在較大風險，原因在于，企業數據在傳輸過程中有可能被竊取或者被破壞。因此，制定大數據管理制度，可以提高數據存儲、管理、分析和應用的規范性和安全性。此外，中小企業應該推動企業組織結構的扁平化管理，從而提高企業相關信息在各個部門之間的流轉速度。

5.2提升中小企業員工的信息安全能力

（1）要不斷提升全體員工信息安全意識。大數據時代，企業信息安全管理已經成為企業管理的重要組成部分。為了不斷提升中小企業信息安全等級，強化企業信息安全管理，對于中小企業而言，必須提升全體員工對信息管理的重視程度。一方面，在領導層面，要從思想上認識到企業信息安全管理的重要性，從人才儲備、技術投入和設備選取等方面加大投入力度，為企業信息安全管理奠定良好的硬件和軟件基礎。另一方面，在法律層面，加強對員工的法制教育，強化企業內部各種制度的制定和實施，有效維護企業的合法權益，不損害企業利益，不泄露企業機密。

（2）加大員工信息安全培訓力度。中小企業在發展過程中，要不斷提升企業員工信息安全能力和信息安全素養，這就要求中小企業結合發展實際定期對員工進行信息安全培訓。企業需要制定符合企業現狀的安全培訓制度，按照制度安排安全培訓課程，并進行課程結業考核。為了提升員工對信息安全培訓的重視程度，建議將安全培訓考核與員工績效進行一定的關聯，從而有效提升信息安全培訓的效果。需要注意的是，對于企業內部涉及機密信息的崗位，要加大對其安全培訓力度，明晰崗位職責，不斷提升關鍵崗位員工的信息安全管理能力。

5.3以大數據技術為支撐

（1）利用病毒防控技術，提升企業信息安全保護等級。加強對互聯網病毒的預防，通過對企業各類電子計算機和服務器等硬件設備的定期掃描，強化對企業信息安全的管理，從源頭上切斷病毒傳播的途徑，規避企業被網絡黑客攻擊的危險。另外，為了防止企業機密被木馬或者黑客惡意攻擊，中小企業可以通過各種技術，實現對各類信息數據的加密管理，并通過定期的巡查和漏洞、補丁修復，對企業信息安全管理進行技術整改。

（2）利用大數據分析技術構建企業信息管理平臺。以大數據分析技術為基礎的企業信息安全管理平臺，圍繞企業總資產，通過對影響企業信息安全的因素進行分析，構建實時風險模型。利用該平臺可以幫助企業對可能存在的風險進行預警、評估和響應。企業利用大數據技術構建信息管理平臺，可以實時監控來自企業內部和外部的各種信息，明確企業信息安全管理的漏洞和不足，提前預警可能存在的危險，從而不斷提升中小企業信息安全管理水平。