论文部分内容阅读
摘要:随着中小企业的信息化建设不断发展,信息安全问题也日益突出,由于受到资金、技术、人才、管理等方面的制约,中小企业很难依靠自身的力量解决所有的信息安全问题,因此迫切需要适合自身情况的综合解决方案。本文结合当前中小企业信息化过程的具体情况,从信息安全技术和管理上因地制宜的提出中小企业信息安全策略。
关键词:中小企业;信息安全;策略
How to strengthen information security management and strategy for SMEs
Lin Xing-feng
(CEPREI,Guangzhou 510610,China)
Abstract: With the development of SME information construction unceasingly, information security issues are also increasingly prominent, due to capital, technology, talent, management, SMEs is very difficult to rely on their own strength to solve all of the information security problems, so the condition of urgent need for integrated solutions. In this paper, the information security management strategy of SMEs is put forward based on information security technology and management.
Key words: SMEs; information security; strategy
0 引言
信息安全是保证企业信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全,主要目的就是保护企业信息不受内部、外部、自然等因素的威胁[1]。目前,我国正在大力推进企业信息化的建设,中小企业的运营越来越依赖于信息技术,大量的数据都以数字化的方式承载于服务器和互联网络之上,因此信息安全保障便显得尤为重要。
1 中小企业信息安全现状分析
1.1 信息安全整体应用水平较低
目前我国国内信息安全行业的整体技术水平较低,安全系统集成与应用水平还不高,不同品牌的安全产品运行使用上甚至会相互冲突,不能对企业信息进行有效防护。
1.2 中小企业容易被攻击
中小企业的财务数据、银行信息、客户数据、知识产权和商业秘密,无论对企业自身运作,还是对“黑客”,都极具价值,但中小企业甚至没有专门的信息部门和技术管理人员,安全防护薄弱,导致了自身信息系统极易被攻击。
1.3 对信息安全缺乏足够重视与投入
中小企业拨给信息化建设的资金不足,对信息安全资金投入更少,而信息安全需要持续的投入,才能形成整体合力。
1.4 信息安全技术人员匮乏
中小企业信息安全技术人员匮乏,其中既懂信息安全技术又懂企业管理的人才更加稀缺。
1.5 信息安全管理制度不健全
企业信息化管理改变了原有的经营管理模式,很多制度和规范不健全,无法保证信息安全。
1.6 计算机病毒与木马
当前计算机病毒的破坏对象非常广泛,利用病毒与木马快速传播和黑客技术相结合的特点,能够造成信息系统大面積瘫痪。例如“熊猫烧香”病毒,近期频发的“勒索”病毒,给许多企业造成不可估量的损失。
1.7 内部人为因素的影响
人员安全观念淡薄、技术不熟练、责任心不强,不严格执行信息安全管理制度,造成软硬件设备损坏、运行故障、数据丢失等事故。用户的某些不当操作,如使用默认账号、弱密码、不注意保密、不及时打补丁等,都会造成不必要的损失。企业内部某些人员恶意攻击、非法盗取核心机密、泄露或更改信息,有些内部泄密甚至存在利益驱动。
2 信息安全技术方面的策略
为了切实保障企业信息的机密性、完整性、可控性和安全性,必须采用一系列相应的技术手段,这是信息安全技术中最直接有效的部分[2]。
2.1 硬件防火墙和入侵检测、漏洞扫描系统
硬件防火墻企业内部网络和外部互联网络之间设置了一道安全壁垒,有效防止外部对内网进行非法访问;入侵检测系统对网络传输进行实时监控,在发现可疑传输时发出报警或者采取主动反应措施;漏洞扫描系统对指定的远程或者本地计算机系统的安全脆弱性进行检测,及早发现可被利用的安全漏洞。它们可以相互配合,增强信息安全管理人员的防范能力。
2.2 信息安全审计
信息安全审计是指按照一定的安全策略,审查和检验操作事件的活动,从而发现系统漏洞、入侵行为。
2.3安装使用网络版杀毒软件
使用网络版杀毒软件,技术管理人员能够对全网电脑进行统一、有效地清除病毒。
2.4关键数据采用加密手段
一些机密数据库、关键数据务必进行加密处理,这也是保护数据在存储和传递过程中不被窃取或修改的一种手段。
2.5事务管理和故障恢复
事务管理和故障恢复主要是针对系统内发生自然因素故障,保证数据和事务的一致性和完整性,其作用是在出现故障时,仍可以把系统还原到正常状态。
2.6定时备份重要数据
企业应使用统一的数据备份系统,由专人对数据进行定时备份与检查,确保数据的完整性、可靠性,并且保证备份介质异地存放、专人管理。 3 信息安全管理方面
俗话说:“三分技术、七分管理”,信息安全保障不是买一堆安全产品部署完毕就可以高枕无忧的,更重要的是建立、健全信息安全管理的方法。
3.1加强安全防范意识,提高人员素质
首先,在思想上要真正重视信息安全,真正加强安全防范意识。其次,要不斷提高员工素质,定期对员工进行安全技能的培训,提高员工的安全防护能力。
3.2加强企业信息安全教育
信息安全实质上是为企业日常安全运营保驾护航的,应多组织召开包括企业领导在内的信息安全宣传教育活动,提高对信息安全的认识,进而提高企业全体员工的重视程度。
3.3加大企业信息安全建设的资金投入
企业应把信息安全建设纳入信息化建设整体规划中,将信息安全建设资金纳入年度预算计划,确保信息安全资金稳定、持续地投入。
3.4加强应急预案与演练
建立健全企业信息安全事件应急预警机制,提高对信息安全事件的应变能力,预防和减少信息安全事件造成的损失和危害,尽量做到未雨绸缪。
3.5重视对信息安全人才的培养
人才是企业信息安全建设中的重点,应由企业高级管理人员直接负责信息化部门,负责企业的信息安全人才培养和信息安全建设的事务。要做到“待遇留人、情感留人、事业留人”,将信息安全人才的发展与企业的发展紧密联系起来。
3.6建立完善的信息安全制度并加大监督执行力度
完善的管理制度可以为信息安全创造
有力的执行环境和条件,信息安全技术又促进了管理更有效的發展;强有力的监督执行,在使用和操作上避免人为因素造成的损失。
4 结束语
信息安全工作是一项系统工程,健全企业信息安全防护体系,夯实物理安全、网络安全、系统安全、应用安全、数据安全和用户安全。企业必须从技术和管理两方面入手,采用较为完善的技术架构和安全手段,同时建立严格的信息安全管理制度和业务操作流程,将信息安全规范执行到位,才能真正保障企业的信息安全。信息安全不应成为企业信息化的瓶颈,而应成为企业发展趋利避害的重要手段。
参考文献:
[1]李拴保.信息安全基础.北京:清华大学出版社,2014。
[2]汤永利.信息安全管理.北京:电子工业出版社,2017。
作者简介:
林兴峰(1976-),男,河南省信阳人,工业和信息化部电子第五研究所赛宝计量检测中心工程师,从事信息化项目技术工作。
关键词:中小企业;信息安全;策略
How to strengthen information security management and strategy for SMEs
Lin Xing-feng
(CEPREI,Guangzhou 510610,China)
Abstract: With the development of SME information construction unceasingly, information security issues are also increasingly prominent, due to capital, technology, talent, management, SMEs is very difficult to rely on their own strength to solve all of the information security problems, so the condition of urgent need for integrated solutions. In this paper, the information security management strategy of SMEs is put forward based on information security technology and management.
Key words: SMEs; information security; strategy
0 引言
信息安全是保证企业信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全,主要目的就是保护企业信息不受内部、外部、自然等因素的威胁[1]。目前,我国正在大力推进企业信息化的建设,中小企业的运营越来越依赖于信息技术,大量的数据都以数字化的方式承载于服务器和互联网络之上,因此信息安全保障便显得尤为重要。
1 中小企业信息安全现状分析
1.1 信息安全整体应用水平较低
目前我国国内信息安全行业的整体技术水平较低,安全系统集成与应用水平还不高,不同品牌的安全产品运行使用上甚至会相互冲突,不能对企业信息进行有效防护。
1.2 中小企业容易被攻击
中小企业的财务数据、银行信息、客户数据、知识产权和商业秘密,无论对企业自身运作,还是对“黑客”,都极具价值,但中小企业甚至没有专门的信息部门和技术管理人员,安全防护薄弱,导致了自身信息系统极易被攻击。
1.3 对信息安全缺乏足够重视与投入
中小企业拨给信息化建设的资金不足,对信息安全资金投入更少,而信息安全需要持续的投入,才能形成整体合力。
1.4 信息安全技术人员匮乏
中小企业信息安全技术人员匮乏,其中既懂信息安全技术又懂企业管理的人才更加稀缺。
1.5 信息安全管理制度不健全
企业信息化管理改变了原有的经营管理模式,很多制度和规范不健全,无法保证信息安全。
1.6 计算机病毒与木马
当前计算机病毒的破坏对象非常广泛,利用病毒与木马快速传播和黑客技术相结合的特点,能够造成信息系统大面積瘫痪。例如“熊猫烧香”病毒,近期频发的“勒索”病毒,给许多企业造成不可估量的损失。
1.7 内部人为因素的影响
人员安全观念淡薄、技术不熟练、责任心不强,不严格执行信息安全管理制度,造成软硬件设备损坏、运行故障、数据丢失等事故。用户的某些不当操作,如使用默认账号、弱密码、不注意保密、不及时打补丁等,都会造成不必要的损失。企业内部某些人员恶意攻击、非法盗取核心机密、泄露或更改信息,有些内部泄密甚至存在利益驱动。
2 信息安全技术方面的策略
为了切实保障企业信息的机密性、完整性、可控性和安全性,必须采用一系列相应的技术手段,这是信息安全技术中最直接有效的部分[2]。
2.1 硬件防火墙和入侵检测、漏洞扫描系统
硬件防火墻企业内部网络和外部互联网络之间设置了一道安全壁垒,有效防止外部对内网进行非法访问;入侵检测系统对网络传输进行实时监控,在发现可疑传输时发出报警或者采取主动反应措施;漏洞扫描系统对指定的远程或者本地计算机系统的安全脆弱性进行检测,及早发现可被利用的安全漏洞。它们可以相互配合,增强信息安全管理人员的防范能力。
2.2 信息安全审计
信息安全审计是指按照一定的安全策略,审查和检验操作事件的活动,从而发现系统漏洞、入侵行为。
2.3安装使用网络版杀毒软件
使用网络版杀毒软件,技术管理人员能够对全网电脑进行统一、有效地清除病毒。
2.4关键数据采用加密手段
一些机密数据库、关键数据务必进行加密处理,这也是保护数据在存储和传递过程中不被窃取或修改的一种手段。
2.5事务管理和故障恢复
事务管理和故障恢复主要是针对系统内发生自然因素故障,保证数据和事务的一致性和完整性,其作用是在出现故障时,仍可以把系统还原到正常状态。
2.6定时备份重要数据
企业应使用统一的数据备份系统,由专人对数据进行定时备份与检查,确保数据的完整性、可靠性,并且保证备份介质异地存放、专人管理。 3 信息安全管理方面
俗话说:“三分技术、七分管理”,信息安全保障不是买一堆安全产品部署完毕就可以高枕无忧的,更重要的是建立、健全信息安全管理的方法。
3.1加强安全防范意识,提高人员素质
首先,在思想上要真正重视信息安全,真正加强安全防范意识。其次,要不斷提高员工素质,定期对员工进行安全技能的培训,提高员工的安全防护能力。
3.2加强企业信息安全教育
信息安全实质上是为企业日常安全运营保驾护航的,应多组织召开包括企业领导在内的信息安全宣传教育活动,提高对信息安全的认识,进而提高企业全体员工的重视程度。
3.3加大企业信息安全建设的资金投入
企业应把信息安全建设纳入信息化建设整体规划中,将信息安全建设资金纳入年度预算计划,确保信息安全资金稳定、持续地投入。
3.4加强应急预案与演练
建立健全企业信息安全事件应急预警机制,提高对信息安全事件的应变能力,预防和减少信息安全事件造成的损失和危害,尽量做到未雨绸缪。
3.5重视对信息安全人才的培养
人才是企业信息安全建设中的重点,应由企业高级管理人员直接负责信息化部门,负责企业的信息安全人才培养和信息安全建设的事务。要做到“待遇留人、情感留人、事业留人”,将信息安全人才的发展与企业的发展紧密联系起来。
3.6建立完善的信息安全制度并加大监督执行力度
完善的管理制度可以为信息安全创造
有力的执行环境和条件,信息安全技术又促进了管理更有效的發展;强有力的监督执行,在使用和操作上避免人为因素造成的损失。
4 结束语
信息安全工作是一项系统工程,健全企业信息安全防护体系,夯实物理安全、网络安全、系统安全、应用安全、数据安全和用户安全。企业必须从技术和管理两方面入手,采用较为完善的技术架构和安全手段,同时建立严格的信息安全管理制度和业务操作流程,将信息安全规范执行到位,才能真正保障企业的信息安全。信息安全不应成为企业信息化的瓶颈,而应成为企业发展趋利避害的重要手段。
参考文献:
[1]李拴保.信息安全基础.北京:清华大学出版社,2014。
[2]汤永利.信息安全管理.北京:电子工业出版社,2017。
作者简介:
林兴峰(1976-),男,河南省信阳人,工业和信息化部电子第五研究所赛宝计量检测中心工程师,从事信息化项目技术工作。