中小企业信息化安全管理盲区探析Word文档格式.docx
《中小企业信息化安全管理盲区探析Word文档格式.docx》由会员分享,可在线阅读,更多相关《中小企业信息化安全管理盲区探析Word文档格式.docx(5页珍藏版)》请在冰豆网上搜索。
(江西赣州341000)
面对经济全球化的竞争环境,信息化已经成为中小企业生存、发展、创新和提升竞争能力的必然要求。
党的“十六大”提出“信息化带动工业化、工业化促进信息化”,党的“十七大”提出“信息化与工业化融合”,进一步明确了信息化在建立现代产业体系,加快结构调整,转变发展方式中的重要地位和作用。
中小企业是市场经济的主体,在促进经济社会发展、保障就业、保持社会稳定等方面发挥着重要作用。
目前,经工商部门注册的中小企业数量达到4300多万户,个体经营户达到3800多万户。
因此,关注中小企业信息化,加快中小企业信息化发展速度,通过信息化手段来快速提升中小企业的管理水平、技术现状、竞争力,是我国信息化与工业化融合、走新型工业化道路的迫切需要,对于实现全面建设小康社会、建设创新型国家的宏伟目标具有重要的战略意义。
当前,世界经济发达国家中小企业的信息化正在向深度发展,开展电子商务的企业已达到较高比例,信息技术的应用已融入企业的生产、研发、运营和管理活动。
近几年来,我国中小企业信息化取得了较大发展,但与发达国家相比存在一定的差距,信息化水平仍处于初级阶段,还存在着许多问题亟待解决,如:
投入资金不足、信息专业技术人员缺乏、法规与政策环境不完善、社会化服务体系不健全、信息化安全管理存在盲区等等,其中信息化安全管理存在的问题关系到中小企业信息化的成败。
据统计,我国商业秘密刑事案件中有60%与人才跳槽有关,80%以上的商业秘密外流案件由内部员工引起,而泄密的渠道多与电脑有关,计算机信息安全监管如今已成为关注的焦点。
目前,我国有些中小企业对信息化安全隐患感到担忧,而有的中小企业对于信息化安全问题明显重视不够。
因此,探讨中小企业信息化存在的安全隐患,分析其原因,研究加强安全管理措施,对于提升信息化效益、保证企业资产安全、推进中小企业信息化发展将起到重要作用。
一、信息化安全管理存在的盲区
中小企业信息化涉及到企业的核心业务,业务数据的安全问题是企业信息化建设首先应重视的问题。
但是,不幸的是,许多中小企业信息化安全管理非常薄弱,在信息化安全管理中存在诸多盲区,导致信息很容易被泄露,企业资产受到严重威胁。
(一)移动设备使用泛滥。
许多企业对移动存储设备(笔记本电脑、智能手机、u盘、移动硬盘、MP3等)的使用没有任何规定,即使有规定,执行也不严格。
在企业内部,员工可以随意使用任何移动存储设备对文件进行存储备份,随身带离企业,殊不知这将给企业的信息安全带来重大隐患。
企业的客户信息、产品设计信息、财务信息等高度机密信息是严禁外传的,但是,员工可以通过移动存储设备向外泄露。
更有居心不良者,可能把这些信息资源作为他们跳槽的资本。
此外,员工在企业内外部滥用移动存储设备,导致病毒漏过企业设置的病毒防火墙,而直接在企业内部传播。
(二)密码设置过于简单。
企业员工对于密码的认识不足,认为只要设置了密码且不被泄露就平安无事了。
因此,员工为了方便和记忆,设置密码时,太简单且有规律可循,如密码采用生日年月日,或采用电话号码,或与用户名相同等等。
其实,在企业内部,用户名是很容易获得的,若密码太简单且有规律可循,是很容易被破解的。
此外,很多办公软件的重要文档,若只设置数字密码,那么,利用一些密码破解工具,就很容易被破解。
其实,密码的破解难度一般不跟密码长度成正比,而是跟密码的复杂度成正比,加入一些英文字符,密码破解的难度将大大增加。
(三)权限管理混乱。
通常对于企业机密信息,可能发生的安全问题主要是非授权访问。
一般通过加强权限管理及设置必要的密码来防止非授权访问。
因此,权限管理是信息化安全管理中非常重要的工作,必须明确界定“谁能做什么事”、“谁不能做什么事”。
许多企业对操作权限有一定的设置要求,但现实中出现很多混乱的现象:
1 员工享有的操作权限重复,导致责任不明。
2 在企业使用的Windows操作系统中,用户具有管理员的权限,既可以随意地下载和安装软件,也可修改系统的配置,甚至可以擅自修改IP地址,造成IP地址的冲突等。
3 公司辞退员工,没有及时变更计算机登录权限。
4 企业在手工过渡到信息化时,为了不对现有的利益分配产生不良反应,在权限分配上基本模拟手工方式,出现“穿新鞋,走老路”的现象,这对信息化效率与安全都造成一定的影响。
(四)上网“畅通无阻”。
网络带来的好处不言而喻,但网络容易引起病毒泛滥、黑客攻击、间谍软件侵犯等,使得在用户不知情的情况下,信息被泄露,造成企业资产损失。
目前,企业在上网管理方面存在的主要问题:
1 企业员工在上班时间,无限制地利用网络聊天、炒股、玩网络游戏等,使用QQ、MSN等传送、接收文件,导致很多病毒从企业的外部传到企业的内部网络上,并迅速扩散,引起企业内部网络瘫痪,影响企业正常工作。
2 由于员工在家里下载电影、游戏等,速度非常慢,但是,现在企业带宽比较大,在企业下载速度较快。
因此,员工上班时下载电影、游戏,占用带宽资源,导致其他员工有时向服务器上传文件时速度缓慢,影响工作效率。
3.企业利用网站免费邮箱以邮件附件形式传递电子文档的现象较为普遍,由于电子文档是病毒的温床,容易导致病毒传播蔓延。
(五)员工出售机密信息。
一些企业的员工,尤其是手中掌握大量机密信息的特权员工,例如数据库管理员、网络管理员、营销管理员手中握有大量的客户资料,技术研发人员掌握企业技术核心数据。
他们可能将手中的机密信息出信给企业的竞争对手,以此获得非法的利益,利用自身特权违反企业数据保护管理制度,致使企业遭受损失。
(六)内部信息共享失控。
许多公司为了提高工作效率,内部网络上实行文件共享策略,没有采取任何防护措施。
如销售部门的客户信息文件、销售计划文件,生产部门的生产计划文件等,其他部门人员通过企业内部网络可以访问。
由于中小企业员工流动性较大,很容易把重要信息泄露出去。
有些时候,员工某些不经意的操作可能对企业的文件造成损坏。
(七)第三方社会服务体系稳定性难以保证。
目前,中小企业信息化的一种重要模式就是采用第三方社会服务体系开展信息化建设,但第三方社会服务体系稳定性无法保障,第三方社会服务提供商可以随便停止服务、退出、倒闭,这对于租用第三方服务商的中小企业可能是一个灭顶之灾。
二、中小企业信息化安全管理问题分析
为了更好地保护中小企业信息资产,将信息安全隐患降到最低,我们必须对中小企业信息化安全管理存在的问题进行分析,找出其深层原因,为企业加强信息化安全管理,制定有关管理措施与机制提供依据。
(一)信息化安全意识淡漠。
目前,在管理观念上对信息化认识不足,中小企业虽然认识到了信息化的重要性,却没有认识到企业信息化安全管理的重视性,没有把信息化安全管理工作作为日常工作的重点,将它上升到企业生产安全的高度来对待,更没有意识到信息是企业的重要资产。
要像对待资金一样重视与保护,对不同重要程度的信息需要按照不同要求进行保护。
由于对信息化安全管理认识不到位,许多中小企业在信息化安全管理方面投入的资金严重不足,电子邮箱使用免费邮箱,杀毒软件下载免费的,根本谈不上投入资金构建防火墙,无法保证中小企业的信息安全。
(二)信息化安全管理无章可循、有章不循。
信息化安全工作缺乏统一的依据和准则,安全管理制度不完善,制度间存在内容交叉、业务流程割裂、边界定义不明确,导致同一行为被多个角色实施,安全职责模糊不清,安全追究制无从落实,无章可循现象普遍存在。
有章不循问题同样严重,部门责任和岗位责任制得不到真正落实,已有的规章制度在执行层面还缺乏强制性,执行监督机制薄弱,忽视信息安全的监督作用,信息化安全管理尚未完全纳入到企业风险管理中。
(三)缺乏信息化安全技术人才。
在中小企业信息化建设中,吸引企业目光的往往是需要什么样的硬件,怎样搭建网络平台,而对信息化人才的培养与引进关注不够。
大多数中小企业缺乏信息技术人才,更缺少信息化安全专业技术人才。
根据安全要求,一个系统应该由多个人员来共同管理,但是受人员及技术的限制,往往一个管理员既要负责系统的配置,又要负责系统安全管理,安全设置和安全监督都是“一肩挑”。
这种情况使得管理权限过于集中,一旦管理员的权限失控,极易导致重要信息泄露。
(四)缺乏统一的安全体系规划和安全防范机制。
中小企业在信息化安全方面,虽然企业网络内安装了一定的安全设备,但缺乏统一的安全策略和有效的安全体系规划方案,“头痛医头,脚痛医脚,缺乏整体规划”成为众多中小企业信息化安全管理的真实写照。
在信息化建设过程中,由于急需开展业务,往往出现“先业务,后安全”的现象,安全管理严重滞后于业务的发展。
由于安全建设缺乏规划和整体设计,安全事件发生后才去解决,信管员变成“救火员”,安全建设只能是“亡羊补牢”。
三、加强中小企业信息化安全管理的措施
随着中小企业信息化的不断深入,中小企业信息化安全管理问题日显突出,如果不采取有效措施,将会严重制约中小企业信息化的发展,并且会对企业造成严重的损失。
只有构筑一个管理高效、安全可靠的信息化安全管理体系,才能提高信息化安全保障水平。
(一)加强信息化安全管理教育,提高信息安全意识。
信息化安全管理是企业及每个员工都要面对的问题,“信息安全,人人有责”。
真正的安全是一种意识,并非技术,不存在一种技术能真正保证绝对的安全。
因此,必须加强信息安全宣传工作,营造安全风险防范从我做起的氛围,增强所有员工对信息安全重要性的认识,扭转“信息安全不重要”的错误认识。
要把信息化安全教育列入企业员工教育培训计划,加强互联网和信息安全知识的普及工作,增强员工信息安全意识,提高员工的信息安全防范能力。
(二)健全用户权限和上网管理制度,加强制度执行监控力度。
建立健全用户权限和上网管理制度并严格执行,是信息化安全管理的重点工作,并且,随着业务系统的发展,还要不断补充和修改相关制度。
1完善用户权限管理。
要改变个个员工都是管理员的现状,在不影响工作的情况下,要把员工权限设置成最小,最大限度地保障个人操作系统的安全性,以减少越权操作的现象。
2加强上网限制与管理。
在信息化管理工作中,通过技术与管理两个方面手段,加强众多员工上网行为的控制。
同时,对于外部传来的文件要严格控制,以防止携带病毒进入企业内部网络。
(三)建立、健全信息安全防范体系。
完善信息安全管理机制和防范体系,可以提高企业对关键信息资产的防护能力,在信息系统受到侵袭时,确保业务持续开展,并将损失降到最低程度。
1.建立安全事件应急管理机制,制订信息化安全应急预案,提高信息安全应急响应速度。
2.建立网络与信息安全管理平台,在内外阿部署一系列网络与信息安全设施,加强计算机场所的安全管理,制定相应的访问控制策略,规范网络应用安全,如:
网络防病毒软件、入侵检测系统、高性能防火墙等。
3.建立集中化管理控制机制。
将数据安全控制进行集中化管理,以确保安全防范策略能够由上至下全面贯彻执行。
将加密密钥进行集中化管理,可以防止由于人为错误而造成加密密钥的丢失带来的数据安全风险,也可防止与其他的加密策略相互冲突和不兼容。
4.强化重要信息异地数据备份与灾难恢复机制,为信息系统的安全可靠运行提供保障。
5.加强信息安全风险评估工作,定期对信息系统进行安全风险评估,提高安全风险预防能力。
(四)健全、监管第三方服务体系。
众多中小企业难以下决心选择第三方服务体系的重要原因是对信息安全及服务质量的担忧,信息安全关系到企业的生存,重要资料的泄露将会给企业带来灾难性的破坏,政府必须完善信息技术第三方服务市场的法律、法规及行业标准,用法律体系来规避风险,解除中小企业选择第三方服务体系的种种安全顾虑与隐患。
同时,中小企业和服务商必须在安全体系社会化服务进程中共同努力,建立起社会化的一套安全服务体系,以便使中小企业依托有限的资源去享受有效的安全保障。