云穎

關(guān)鍵詞大數(shù)據(jù)：中小企業(yè)：信息安全

1信息安全對(duì)中小企業(yè)發(fā)展的重要意義

隨著我國(guó)經(jīng)濟(jì)水平的不斷提升，中小企業(yè)的數(shù)量越來(lái)越多，中小企業(yè)為推動(dòng)我國(guó)市場(chǎng)經(jīng)濟(jì)的發(fā)展發(fā)揮了十分重要的作用，同時(shí)為社會(huì)提供了大量的就業(yè)崗位和機(jī)會(huì)。但是，很多中小企業(yè)受到規(guī)模小、資金少、抵御風(fēng)險(xiǎn)能力差的限制，其生存時(shí)間是非常短的。我國(guó)向來(lái)重視中小企業(yè)信息化建設(shè)與發(fā)展，切實(shí)推動(dòng)中小企業(yè)信息化發(fā)展，幫助其有效優(yōu)化信息化服務(wù)，降低信息技術(shù)應(yīng)用成本。大數(shù)據(jù)時(shí)代，加強(qiáng)信息化安全管理也是中小企業(yè)信息化建設(shè)和發(fā)展的重要組成部分[1]。中小企業(yè)開(kāi)展信息化管理，企業(yè)有關(guān)重要信息包括客戶資料、訂單詳情、生產(chǎn)工藝以及技術(shù)流程等都會(huì)在互聯(lián)網(wǎng)中存儲(chǔ)，這些數(shù)據(jù)信息對(duì)中小企業(yè)是至關(guān)重要的，一旦被泄露、篡改、刪除或者丟失，都將影響企業(yè)的正常運(yùn)行，甚至給中小企業(yè)帶來(lái)致命的打擊。因此，有效維護(hù)中小企業(yè)信息安全，提升其信息安全管理水平，是推動(dòng)和維持中小企業(yè)健康長(zhǎng)遠(yuǎn)發(fā)展的關(guān)鍵要素。

2大數(shù)據(jù)背景下中小企業(yè)信息安全管理的內(nèi)涵

2.1中小企業(yè)信息安全管理更加多元化

信息技術(shù)的蓬勃發(fā)展使信息全球化發(fā)展速度不斷加快，也使信息在社會(huì)和經(jīng)濟(jì)發(fā)展中所占據(jù)的地位越來(lái)越重要。事實(shí)上，信息技術(shù)已經(jīng)融人我們?nèi)粘Ｉ畹姆椒矫婷?，同時(shí)成為社會(huì)生產(chǎn)過(guò)程中最為重要的生產(chǎn)要素之一。

本文所介紹的中小企業(yè)信息安全是指中小企業(yè)在利用互聯(lián)網(wǎng)信息技術(shù)開(kāi)展經(jīng)營(yíng)業(yè)務(wù)時(shí)，所涉及的各種網(wǎng)絡(luò)設(shè)備、軟件系統(tǒng)以及保存在系統(tǒng)中的所有數(shù)據(jù)受到應(yīng)有的保障，不會(huì)因?yàn)橐馔饣蛘邜阂舛獾狡茐?、攻擊或者竊取，進(jìn)而確保中小企業(yè)可以維持正常的經(jīng)營(yíng)秩序，信息服務(wù)可以正常運(yùn)轉(zhuǎn)。中小企業(yè)信息安全管理多元化表現(xiàn)在以下幾個(gè)層面，分別是：數(shù)據(jù)安全、系統(tǒng)應(yīng)用安全、用戶信息安全、網(wǎng)絡(luò)安全以及硬件設(shè)備安全。中小企業(yè)信息安全管理各個(gè)層次之間相互聯(lián)系、互相影響。任何一個(gè)層次出現(xiàn)問(wèn)題，都會(huì)造成不同的信息安全隱患。因此，為了提升企業(yè)信息安全管理能力，中小企業(yè)必須對(duì)不同層次采用區(qū)別化的應(yīng)用措施。事實(shí)上，中小企業(yè)開(kāi)展信息安全工作是一個(gè)動(dòng)靜結(jié)合的維護(hù)過(guò)程。一方面，需要利用靜態(tài)的防火墻、登錄認(rèn)證以及系統(tǒng)加密等手段進(jìn)行系統(tǒng)加固：另一方面，利用動(dòng)態(tài)的監(jiān)測(cè)手段，比如定期的漏洞監(jiān)測(cè)，系統(tǒng)入侵檢測(cè)或者系統(tǒng)安全監(jiān)測(cè)等對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)管，及時(shí)發(fā)現(xiàn)問(wèn)題并反饋給企業(yè)維護(hù)人員，從而構(gòu)建系統(tǒng)化、機(jī)構(gòu)化的動(dòng)態(tài)網(wǎng)絡(luò)系統(tǒng)安全模式。

2.2中小企業(yè)需要的安全服務(wù)更加豐富

當(dāng)前，中小企業(yè)所需要的安全服務(wù)主要有：（1）判斷信息的真實(shí)性，即對(duì)訪問(wèn)系統(tǒng)的信息來(lái)源進(jìn)行判斷，進(jìn)而甄別其真實(shí)性。（2）對(duì)信息進(jìn)行保密性處理。中小企業(yè)涉及的信息內(nèi)容包括企業(yè)自身的信息、企業(yè)機(jī)密以及用戶信息等，這些資料是中小企業(yè)賴以生存和發(fā)展的基礎(chǔ)。因此，中小企業(yè)要采取必要的保密措施，確保企業(yè)的這些信息不被竊取、破壞或者篡改。（3）確保數(shù)據(jù)信息的完整性。（4）保證信息的可用性。確保企業(yè)自身和用戶可以對(duì)數(shù)據(jù)資源進(jìn)行合理的利用。（5）強(qiáng)化對(duì)信息的可控性。主要體現(xiàn)在企業(yè)對(duì)數(shù)據(jù)信息的傳播和使用具有一定的控制能力。

3大數(shù)據(jù)對(duì)中小企業(yè)信息安全的挑戰(zhàn)

3.1網(wǎng)絡(luò)社區(qū)化使中小企業(yè)數(shù)據(jù)極易成為攻擊目標(biāo)

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)社區(qū)化趨勢(shì)越發(fā)明顯，為不同行業(yè)領(lǐng)域的信息資源共享提供了更為便捷的網(wǎng)絡(luò)空間。同時(shí)，以云計(jì)算、大數(shù)據(jù)為特點(diǎn)的網(wǎng)絡(luò)社區(qū)也為中小企業(yè)提供了更為開(kāi)放、數(shù)據(jù)整合更加快速的數(shù)據(jù)集合[2]。但是，由于互聯(lián)網(wǎng)的共享性和暴露性，導(dǎo)致中小企業(yè)被黑客攻擊的現(xiàn)象時(shí)有發(fā)生。換言之，在開(kāi)放性更強(qiáng)的網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)和數(shù)據(jù)之間的聯(lián)系更加密切，對(duì)于黑客來(lái)說(shuō)，可以用更低的成本去獲得和破壞更多的數(shù)據(jù)。近年來(lái)，從互聯(lián)網(wǎng)上發(fā)生的企業(yè)泄密事件可以看出，在大數(shù)據(jù)環(huán)境下，企業(yè)信息更容易受到黑客的攻擊，從而造成嚴(yán)重的后果。

3.2非結(jié)構(gòu)化數(shù)據(jù)對(duì)中小企業(yè)數(shù)據(jù)存儲(chǔ)提出更高要求

在此之前，數(shù)據(jù)存儲(chǔ)分為2種，分別是關(guān)系型數(shù)據(jù)庫(kù)以及文件服務(wù)器。進(jìn)人大數(shù)據(jù)時(shí)代，數(shù)據(jù)類型的種類越加豐富。在互聯(lián)網(wǎng)中，有超過(guò)80％的數(shù)據(jù)為非結(jié)構(gòu)化數(shù)據(jù)[3]。盡管NoSQL數(shù)據(jù)庫(kù)具有可擴(kuò)展性和可應(yīng)用性等特點(diǎn)，但是在數(shù)據(jù)存儲(chǔ)方面依然存在較多問(wèn)題：（1） SQL技術(shù)的訪問(wèn)控制和隱私管理比較嚴(yán)苛，NoSQL還沒(méi)有辦法使用SQL的模式；（2）由于NoSQL使用的是新的代碼，但是依然存在很多漏洞。更重要的是，軟件服務(wù)器的安全性能有待提升，這對(duì)于人才、資金都十分短缺的中小企業(yè)來(lái)說(shuō)，無(wú)疑增加了成本輸出。由于中小企業(yè)并未在客戶端建立必要的安全措施，產(chǎn)生了大量的安全隱患，給企業(yè)信息安全帶來(lái)了巨大的風(fēng)險(xiǎn)。

3.3新技術(shù)的應(yīng)用增加了中小企業(yè)安全管理風(fēng)險(xiǎn)

隨著科技的不斷發(fā)展，人工智能、防火墻、無(wú)線路由等網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)設(shè)備得到了人們的廣泛應(yīng)用，極大地方便了數(shù)據(jù)的收集、整理和分析。但是，我們也應(yīng)該注意到，信息技術(shù)的不斷發(fā)展使中小企業(yè)信息安全管理難度不斷提升。從大數(shù)據(jù)層面分析，大數(shù)據(jù)安全防護(hù)不到位。盡管大數(shù)據(jù)給企業(yè)發(fā)展帶來(lái)了很多便利，但是，大數(shù)據(jù)在數(shù)據(jù)控制、安全防護(hù)、訪問(wèn)限制、存儲(chǔ)管理等方面的不足，使數(shù)據(jù)泄密成為家常便飯。另外，大數(shù)據(jù)本身就是一個(gè)可以被連續(xù)攻擊的載體，可能引發(fā)大數(shù)據(jù)內(nèi)容中各種病毒以及惡意軟件的長(zhǎng)期攻擊。對(duì)中小企業(yè)而言，由于其在資本、專業(yè)人才以及技術(shù)能力上的短板，造成其沒(méi)有更多的手段和措施應(yīng)對(duì)大數(shù)據(jù)時(shí)代帶來(lái)的風(fēng)險(xiǎn)。更重要的是，中小企業(yè)的領(lǐng)導(dǎo)者、管理層缺乏信息安全管理意識(shí)，對(duì)企業(yè)信息安全的內(nèi)容知之甚少，更談不上如何對(duì)企業(yè)自身信息資源和數(shù)據(jù)進(jìn)行保護(hù)。

4存在的問(wèn)題

4.1軟硬件漏洞情況嚴(yán)重

中小企業(yè)信息安全軟硬件漏洞問(wèn)題主要體現(xiàn)在：一方面，硬件安裝隱患。包括路由器、防火墻等安全設(shè)備性能較低，不能及時(shí)發(fā)現(xiàn)互聯(lián)網(wǎng)中的木馬及病毒。此外，中小企業(yè)由于人員和資金的限制，并沒(méi)有專門設(shè)置信息安全管理部門，沒(méi)有專業(yè)的人員對(duì)企業(yè)硬件進(jìn)行定期的維護(hù)，這也在一定程度上削弱了硬件設(shè)備的安全性能。另一方面，系統(tǒng)軟件存在漏洞，容易受到病毒或者木馬等惡意軟件的攻擊。中小企業(yè)在日常經(jīng)營(yíng)過(guò)程中，必然會(huì)用到各種應(yīng)用軟件、操作系統(tǒng)等，如果軟件或者系統(tǒng)中存在安全漏洞，極易成為外界攻擊的關(guān)鍵點(diǎn)。與此同時(shí)，很多中小企業(yè)的應(yīng)用軟件及系統(tǒng)都交由第三方軟件公司進(jìn)行設(shè)計(jì)，軟件公司為了后期維護(hù)方便，經(jīng)常在系統(tǒng)內(nèi)部設(shè)置所謂的“后門”，這些“后門”的存在也為黑客提供了便利，惡意攻擊者往往會(huì)通過(guò)其進(jìn)行數(shù)據(jù)的竊取或者破壞，甚至造成中小企業(yè)整個(gè)信息系統(tǒng)的癱瘓。

4.2缺少信息安全管理制度

通過(guò)調(diào)研發(fā)現(xiàn)，很多企業(yè)在信息安全領(lǐng)域并沒(méi)有構(gòu)建完善的管理機(jī)制，這種情況在中小企業(yè)十分普遍，也嚴(yán)重影響了中小企業(yè)信息安全的最終效果。由于中小企業(yè)缺少完備的網(wǎng)絡(luò)維護(hù)機(jī)制，不能對(duì)企業(yè)信息進(jìn)行有效的保護(hù)，信息丟失、被竊取和破壞的情況時(shí)有發(fā)生，給中小企業(yè)長(zhǎng)遠(yuǎn)發(fā)展造成巨大的安全隱患。

5大數(shù)據(jù)背景下中小企業(yè)信息安全優(yōu)化策略

5.1構(gòu)建完善的中小企業(yè)大數(shù)據(jù)信息安全管理體系

大數(shù)據(jù)背景下，中小企業(yè)信息安全面臨更大的挑戰(zhàn)，單一、片面的信息管理已經(jīng)難以滿足中小企業(yè)信息安全的需求。因此，對(duì)于中小企業(yè)而言，需要構(gòu)建更加全面和完善的信息安全管理體系來(lái)應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。一方面，中小企業(yè)要提前預(yù)警。以往，中小企業(yè)通常都是在受到安全威脅之后，才會(huì)根據(jù)受攻擊情況制定對(duì)應(yīng)的解決策略。大數(shù)據(jù)環(huán)境下，必須主動(dòng)轉(zhuǎn)變信息安全防護(hù)思維，擺脫傳統(tǒng)以問(wèn)題為基礎(chǔ)制定信息安全防護(hù)策略的束縛，中小企業(yè)要強(qiáng)化企業(yè)信息安全機(jī)制，應(yīng)該著眼于大數(shù)據(jù)本身，通過(guò)數(shù)據(jù)收集、整理以及分析發(fā)現(xiàn)可能存在的安全隱患，進(jìn)而提前制定安全防護(hù)方案。針對(duì)中小企業(yè)信息安全管理體系，需要構(gòu)建完善的組織機(jī)構(gòu)和管理機(jī)構(gòu)，包括企業(yè)信息安全監(jiān)管機(jī)制、信息安全響應(yīng)機(jī)制、大數(shù)據(jù)備份機(jī)制、訪問(wèn)機(jī)制等。需要注意的是，對(duì)于中小企業(yè)的關(guān)鍵信息，應(yīng)該設(shè)置一定范圍內(nèi)的共享，減少非必要人員的接觸次數(shù)，尤其嚴(yán)禁將企業(yè)內(nèi)部信息在企業(yè)外部進(jìn)行傳播。另一方面，建立大數(shù)據(jù)管理制度。數(shù)據(jù)在中小企業(yè)內(nèi)部傳遞的過(guò)程中依然存在較大風(fēng)險(xiǎn)，原因在于，企業(yè)數(shù)據(jù)在傳輸過(guò)程中有可能被竊取或者被破壞。因此，制定大數(shù)據(jù)管理制度，可以提高數(shù)據(jù)存儲(chǔ)、管理、分析和應(yīng)用的規(guī)范性和安全性。此外，中小企業(yè)應(yīng)該推動(dòng)企業(yè)組織結(jié)構(gòu)的扁平化管理，從而提高企業(yè)相關(guān)信息在各個(gè)部門之間的流轉(zhuǎn)速度。

5.2提升中小企業(yè)員工的信息安全能力

（1）要不斷提升全體員工信息安全意識(shí)。大數(shù)據(jù)時(shí)代，企業(yè)信息安全管理已經(jīng)成為企業(yè)管理的重要組成部分。為了不斷提升中小企業(yè)信息安全等級(jí)，強(qiáng)化企業(yè)信息安全管理，對(duì)于中小企業(yè)而言，必須提升全體員工對(duì)信息管理的重視程度。一方面，在領(lǐng)導(dǎo)層面，要從思想上認(rèn)識(shí)到企業(yè)信息安全管理的重要性，從人才儲(chǔ)備、技術(shù)投入和設(shè)備選取等方面加大投入力度，為企業(yè)信息安全管理奠定良好的硬件和軟件基礎(chǔ)。另一方面，在法律層面，加強(qiáng)對(duì)員工的法制教育，強(qiáng)化企業(yè)內(nèi)部各種制度的制定和實(shí)施，有效維護(hù)企業(yè)的合法權(quán)益，不損害企業(yè)利益，不泄露企業(yè)機(jī)密。

（2）加大員工信息安全培訓(xùn)力度。中小企業(yè)在發(fā)展過(guò)程中，要不斷提升企業(yè)員工信息安全能力和信息安全素養(yǎng)，這就要求中小企業(yè)結(jié)合發(fā)展實(shí)際定期對(duì)員工進(jìn)行信息安全培訓(xùn)。企業(yè)需要制定符合企業(yè)現(xiàn)狀的安全培訓(xùn)制度，按照制度安排安全培訓(xùn)課程，并進(jìn)行課程結(jié)業(yè)考核。為了提升員工對(duì)信息安全培訓(xùn)的重視程度，建議將安全培訓(xùn)考核與員工績(jī)效進(jìn)行一定的關(guān)聯(lián)，從而有效提升信息安全培訓(xùn)的效果。需要注意的是，對(duì)于企業(yè)內(nèi)部涉及機(jī)密信息的崗位，要加大對(duì)其安全培訓(xùn)力度，明晰崗位職責(zé)，不斷提升關(guān)鍵崗位員工的信息安全管理能力。

5.3以大數(shù)據(jù)技術(shù)為支撐

（1）利用病毒防控技術(shù)，提升企業(yè)信息安全保護(hù)等級(jí)。加強(qiáng)對(duì)互聯(lián)網(wǎng)病毒的預(yù)防，通過(guò)對(duì)企業(yè)各類電子計(jì)算機(jī)和服務(wù)器等硬件設(shè)備的定期掃描，強(qiáng)化對(duì)企業(yè)信息安全的管理，從源頭上切斷病毒傳播的途徑，規(guī)避企業(yè)被網(wǎng)絡(luò)黑客攻擊的危險(xiǎn)。另外，為了防止企業(yè)機(jī)密被木馬或者黑客惡意攻擊，中小企業(yè)可以通過(guò)各種技術(shù)，實(shí)現(xiàn)對(duì)各類信息數(shù)據(jù)的加密管理，并通過(guò)定期的巡查和漏洞、補(bǔ)丁修復(fù)，對(duì)企業(yè)信息安全管理進(jìn)行技術(shù)整改。

（2）利用大數(shù)據(jù)分析技術(shù)構(gòu)建企業(yè)信息管理平臺(tái)。以大數(shù)據(jù)分析技術(shù)為基礎(chǔ)的企業(yè)信息安全管理平臺(tái)，圍繞企業(yè)總資產(chǎn)，通過(guò)對(duì)影響企業(yè)信息安全的因素進(jìn)行分析，構(gòu)建實(shí)時(shí)風(fēng)險(xiǎn)模型。利用該平臺(tái)可以幫助企業(yè)對(duì)可能存在的風(fēng)險(xiǎn)進(jìn)行預(yù)警、評(píng)估和響應(yīng)。企業(yè)利用大數(shù)據(jù)技術(shù)構(gòu)建信息管理平臺(tái)，可以實(shí)時(shí)監(jiān)控來(lái)自企業(yè)內(nèi)部和外部的各種信息，明確企業(yè)信息安全管理的漏洞和不足，提前預(yù)警可能存在的危險(xiǎn)，從而不斷提升中小企業(yè)信息安全管理水平。