石勇

【摘要】：隨著我國信息技術(shù)的飛速發(fā)展，中小企業(yè)的信息安全的保護(hù)問題越來越受到中小企業(yè)主的關(guān)注，本文以中小企業(yè)信息安全為主體，介紹中小企業(yè)在信電子商務(wù)中遇到的主要安全問題，并找出解決中小企業(yè)信息安全問題的解決方案。

【關(guān)鍵詞】：信息安全 ；問題；解決方案

【引言】：在中小企業(yè)的信息管理系統(tǒng)中存在大量的信息和文件材料，其中有對(duì)企業(yè)發(fā)展至關(guān)重要的文件材料，一旦這些信息材料在通過網(wǎng)絡(luò)傳送時(shí)被不法分子和競爭對(duì)手竊聽、泄密、篡改或偽造，將會(huì)嚴(yán)重威脅中小企業(yè)的發(fā)展，所以，提出中小企業(yè)信息安全問題的解決方案具有重要意義。

1. 中小企業(yè)信息安全存在的問題

1.1信息安全管理意識(shí)不強(qiáng)。

相對(duì)大型企業(yè)來說，中小企業(yè)信息資產(chǎn)方面的積累相對(duì)較為薄弱，并且很多時(shí)候這種積累并非企業(yè)的有意識(shí)行為，所以在正常的信息化應(yīng)用情況下，往往會(huì)忽視對(duì)自己信息資產(chǎn)的保護(hù)，而只有在信息資產(chǎn)受到破壞，形成了實(shí)際的經(jīng)濟(jì)和附加損失的情況下，才會(huì)開始意識(shí)和重視這信息安全問題。

1.2信息安全管理水平較低信息安全風(fēng)險(xiǎn)較大。

目前的中小企業(yè)管理層人員雖然已經(jīng)認(rèn)識(shí)到了信息化的重要性，但卻沒有認(rèn)識(shí)到企業(yè)信息化管理是需要在企業(yè)管理念上進(jìn)行根本變革才能實(shí)現(xiàn)的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進(jìn)行改造，結(jié)果造成一種信息化的假象，致使“信息化”走向了徒有其表的誤區(qū)，信息安全也沒有得到足夠重視。

1.3人才短缺專業(yè)人員匱乏。

中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此，在這種人才短缺的情況下，自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為：企業(yè)一般沒有自己的信息化建設(shè)人才隊(duì)伍。信息技術(shù)專業(yè)人員的知識(shí)結(jié)構(gòu)也不能達(dá)到要求，掌握技術(shù)的不懂管理，懂管理的又不會(huì)技術(shù)，而且信息安全往往沒有專業(yè)人員進(jìn)行管理。

1.4資金短缺。

中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對(duì)較多。企業(yè)相對(duì)有限的資金，一般要優(yōu)先投入到直接促進(jìn)公司業(yè)績?cè)鲩L的方向，而無形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險(xiǎn)；特別是在當(dāng)今越來越多的企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)有密切的聯(lián)系，甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上，以平均不到企業(yè)總收入1%的信息安全投入，怎么能保障這些業(yè)務(wù)的正常運(yùn)行？盡可能使投入比例接近常規(guī)，至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證，從實(shí)際情況來講，在良好的安全理念指導(dǎo)下，進(jìn)行細(xì)致的規(guī)劃和評(píng)估，通過適當(dāng)?shù)耐度胍彩强梢赃_(dá)到較好的整體效果，因?yàn)樵谥行∑髽I(yè)的應(yīng)用情境下，信息安全防御廣度是相對(duì)容易控制的；設(shè)計(jì)出體現(xiàn)其規(guī)律和特點(diǎn)的真正適合中小企業(yè)的信息安全產(chǎn)品，才能從根本上滿足中小企業(yè)信息安全需求。

1.5中小企業(yè)的信息倫理意識(shí)不強(qiáng)。

由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時(shí)候，企業(yè)的員工都會(huì)因?yàn)槟承┎唤?jīng)意的行為對(duì)企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識(shí)往往相對(duì)比較落后，對(duì)于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視，而企業(yè)的管理層對(duì)于網(wǎng)絡(luò)的使用也沒有很好的管理手段。

2.中小企業(yè)信息安全問題的解決措施

2.1從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識(shí)，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個(gè)方面：

2.1.1提高安全認(rèn)識(shí)

定期對(duì)企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識(shí)，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對(duì)安全問題要做到預(yù)先考慮和防備。

2.2.2要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”

首先將存有重要數(shù)據(jù)的電腦堅(jiān)決同網(wǎng)絡(luò)隔離，同時(shí)設(shè)置開機(jī)密碼，并將軟驅(qū)、硬盤加密鎖定，進(jìn)行三級(jí)保護(hù)，其次不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因?yàn)檫@些程序不但能記錄用戶的擊鍵動(dòng)作甚至能以快照的形式記錄到屏幕上發(fā)生的一切，同時(shí)不在網(wǎng)上的任何場(chǎng)合下隨意透露自己企業(yè)的任何安全信息，最后不要啟動(dòng)系統(tǒng)資源共享功能，要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會(huì)和次數(shù)，減少黑客進(jìn)攻的機(jī)會(huì)【1】。

2.2從網(wǎng)絡(luò)安全角度考慮

2.2.1從網(wǎng)絡(luò)安全服務(wù)商的角度來說，服務(wù)商要重視中小企業(yè)對(duì)網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實(shí)狀況，仔細(xì)調(diào)查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅(jiān)實(shí)的保證。

2.2.2要用防火墻將企業(yè)的局域網(wǎng)（Intranet）與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級(jí)，對(duì)應(yīng)的防火墻軟件也應(yīng)該及時(shí)跟著升級(jí)，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序，以便進(jìn)行網(wǎng)絡(luò)維護(hù)，同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時(shí)更改，才能做到有備無患【2】。

2.2.3企業(yè)用戶最好自己學(xué)會(huì)如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請(qǐng)別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。

2.2.4內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。動(dòng)態(tài)的密碼有助于防止黑客的攻擊以及來自內(nèi)部人員的泄密。

2.2.5要經(jīng)常使用殺毒軟件來維護(hù)局域網(wǎng)系統(tǒng)不受病毒攻擊?，F(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除。

2.2.6同其它企業(yè)進(jìn)行聯(lián)合，共同抵制黑客的入侵，一旦被入侵要及時(shí)向有關(guān)部門匯報(bào)，并共同查找入侵來源，鎖定黑客IP地址。將網(wǎng)絡(luò)的TCP起時(shí)限制在15分鐘以內(nèi)，減少黑客入侵的機(jī)會(huì)。并擴(kuò)大連接表，增加黑客填寫整個(gè)連接表的難度【3】。

小結(jié)

綜上所述，我國中小企業(yè)的信息安全問題日益突出。由于受到管理水平、資金、技術(shù)、 意識(shí)等幾方面的制約，中小企業(yè)完全依靠自己解決所有信息化安全問題是不現(xiàn)實(shí)的，它們很難使用大企業(yè)中那種復(fù)雜的信息安全系統(tǒng)，因此迫切需要適合中小企業(yè)自身情況的綜合解決措施。

【參考文獻(xiàn)】：

【1】 楊江；周小玲； 基于企業(yè)的危機(jī)信息管理[J]；科技情報(bào)開發(fā)與經(jīng)濟(jì)；2009年32期

【2】 杜向文.中小企業(yè)的網(wǎng)絡(luò)安全[J]；計(jì)算機(jī)安全；2006，（08）.

【3】 劉曄. 我國企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及解決研究[J]；商場(chǎng)現(xiàn)代化；2007，（08）.