企業(yè)研究論文-關(guān)于我國中小企業(yè)的信息安全.doc

企業(yè)研究論文-關(guān)于我國中小企業(yè)的信息安全論文關(guān)鍵詞：信息化信息安全網(wǎng)絡(luò)安全論文摘要：信息是一種資產(chǎn)，具有一定的價(jià)值，那么信息安全就是保護(hù)這種有價(jià)值的資產(chǎn)避免受到威脅和損失，針對(duì)我國中小企業(yè)信息安全面臨的現(xiàn)狀，存在的問題，文章從管理、人員和網(wǎng)絡(luò)安全上提出了解決問題的方案。根據(jù)國家統(tǒng)計(jì)局年初公布的數(shù)字顯示，國內(nèi)企業(yè)總體的99都是中小企業(yè)，他們貢獻(xiàn)了超過一半的國內(nèi)GDP。但截止到目前，這些中小企業(yè)的信息化水平仍然比較落后，其中針對(duì)信息安全的投人，更是鳳毛麟角。對(duì)于國內(nèi)占大多數(shù)的中小企業(yè)來說，如何在充分利用信息化優(yōu)勢(shì)的同時(shí)，更好地保護(hù)自身的信息資產(chǎn)，已經(jīng)成為一個(gè)嚴(yán)峻的挑戰(zhàn)。特別是近兩年來，網(wǎng)絡(luò)上的病毒、攻擊事件頻發(fā)，信息安全問題正在日益成為中小企業(yè)信息化進(jìn)程中的難題。一、什么是信息安全信息是一種資產(chǎn)，與其它重要的資產(chǎn)一樣，它對(duì)一個(gè)組織而言具有一定的價(jià)值，因此需要適當(dāng)?shù)募右员Ｗo(hù)，而信息又可以以多種形式存在。如可以打印或者寫在紙上，以數(shù)字化的方式存儲(chǔ)，通過郵局郵寄或電子手段發(fā)送，表現(xiàn)在膠片上或以談話的方式說出來?？傊畔o論以什么形式存在，以什么方式存儲(chǔ)、傳輸或共享，都應(yīng)得到恰當(dāng)?shù)谋Ｗo(hù)。所謂信息安全是指信息具有如下特征：安全性：確保信息僅可讓授權(quán)獲取的人士訪問；完整性：保護(hù)信息和處理方法的準(zhǔn)確和完善；可用性：確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報(bào)。它主要涉及到信息傳輸?shù)陌踩?、信息存?chǔ)的安全、以及網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三個(gè)方面，它可以通過實(shí)施一整套恰當(dāng)?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂，隨著政府上網(wǎng)和企業(yè)信息化的推進(jìn)，越來越多的企業(yè)的日常業(yè)務(wù)已經(jīng)無法脫離網(wǎng)絡(luò)和信息技術(shù)的支持，那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?二、我國企業(yè)信息安全的現(xiàn)狀(一)企業(yè)的重視程度隨著信息化的加快，企業(yè)信息安全越來越受到重視，而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級(jí)階段。在推進(jìn)企業(yè)信息化的進(jìn)程中，有些中小企業(yè)對(duì)于信息化概念的認(rèn)識(shí)遠(yuǎn)遠(yuǎn)不夠，它們認(rèn)為購置幾臺(tái)電腦放到公司，日常用來打打字，將單個(gè)機(jī)器連結(jié)到網(wǎng)上企業(yè)就信息化了，遠(yuǎn)遠(yuǎn)沒有認(rèn)識(shí)到信息技術(shù)給企業(yè)所能帶來的巨大的變化，對(duì)于網(wǎng)絡(luò)安全更是沒有意識(shí)。據(jù)調(diào)查，目前國內(nèi)90的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識(shí)。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小，不會(huì)成為黑客的攻擊目標(biāo)。如此態(tài)度，網(wǎng)絡(luò)安全更是無從談起。(二)資金、技術(shù)、人員方面情況已建立了企業(yè)內(nèi)部信息化平臺(tái)的企業(yè)，由于資金、技術(shù)等方面的原因，還沒有把重點(diǎn)放到網(wǎng)絡(luò)安全管理上，尤其是中小企業(yè)的安全問題一直隱患重重。據(jù)了解，許多中小企業(yè)沒有專門的網(wǎng)絡(luò)管理員，一般采用兼職管理方式，這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴(yán)重的漏洞，與大型企業(yè)相比，它們更容易受到網(wǎng)絡(luò)病毒的侵害，損失也比較嚴(yán)重。根據(jù)IDC對(duì)2005年我國政府、企業(yè)用戶的信息安全狀況分析，約有348的企業(yè)因內(nèi)部雇員的行為(包括對(duì)內(nèi)部資源的不合理使用和對(duì)內(nèi)部數(shù)據(jù)缺乏有效保護(hù))而造成企業(yè)出現(xiàn)安全問題。(三)網(wǎng)絡(luò)維護(hù)、運(yùn)行、升級(jí)方面的情況在網(wǎng)絡(luò)的維護(hù)、運(yùn)行、升級(jí)等事務(wù)性工作方面，由于工作繁重而且成本較高，一些善于精打細(xì)算的中小企業(yè)在防范黑客及病毒方面舍不得投入，據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計(jì)，國內(nèi)七成以上的中小企業(yè)，一是缺乏基本的企業(yè)防毒知識(shí)，購買一些單機(jī)版防毒產(chǎn)品來防護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)的安全。二是采購了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品，因此留下許多安全隱患。三是技術(shù)力量薄弱，雖然部署了企業(yè)防毒產(chǎn)品，但是這些產(chǎn)品操作難度大、使用復(fù)雜，最終導(dǎo)致很難全面發(fā)揮效用，甚至成了擺設(shè)，這樣一來企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒有什么安全而言。三、如何保證我國中小企業(yè)的信息安全(一)從企業(yè)的自身情況考慮要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識(shí)，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個(gè)方面：1提高安全認(rèn)識(shí)定期對(duì)企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識(shí)，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對(duì)安全問題要做到預(yù)先考慮和防備。2要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”(1)將存有重要數(shù)據(jù)的電腦堅(jiān)決同網(wǎng)絡(luò)隔離，同時(shí)設(shè)置開機(jī)密碼，并將軟驅(qū)、硬盤加密鎖定，進(jìn)行三級(jí)保護(hù)。(2)不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因?yàn)檫@些程序不但能記錄用戶的擊鍵動(dòng)作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。(3)不在網(wǎng)上的任何場(chǎng)合下隨意透露自己企業(yè)的任何安全信息。(4)不要啟動(dòng)系統(tǒng)資源共享功能，最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會(huì)和次數(shù)，減少黑客進(jìn)攻的機(jī)會(huì)。(二)從網(wǎng)絡(luò)安全角度考慮1從網(wǎng)絡(luò)安全服務(wù)商的角度來說，服務(wù)商要重視中小企業(yè)對(duì)網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實(shí)狀況，仔細(xì)調(diào)查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅(jiān)實(shí)的保證。2要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級(jí)，對(duì)應(yīng)的防火墻軟件也應(yīng)該及時(shí)跟著升級(jí)，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序，以便進(jìn)行網(wǎng)絡(luò)維護(hù)，同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時(shí)更改，才能做到有備無患。3企業(yè)用戶最好自己學(xué)會(huì)如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請(qǐng)別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。4內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。由于許多黑客利用窮舉法來破解密碼，像John這一類的密碼破解程序可從因特網(wǎng)上免費(fèi)下載，只要加上一個(gè)足夠大的字典在足夠快的機(jī)器上沒日沒夜地運(yùn)行，就可以獲得需要的賬號(hào)及密碼，因此，經(jīng)常修改密碼對(duì)付這種盜用就顯得十分奏效。當(dāng)然，設(shè)定密碼也有很深的學(xué)問，只有隨意性強(qiáng)、有足夠的長(zhǎng)度并及時(shí)更新的密碼才能算是比較安全的密碼。5要經(jīng)常使用殺毒軟件來維護(hù)局域網(wǎng)系統(tǒng)不受病毒攻擊?，F(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除。另外，有的殺毒軟件還提供網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控功能，這一功能可以在黑客從遠(yuǎn)端執(zhí)行用戶機(jī)器上的文件時(shí)，提供報(bào)警或讓執(zhí)行失敗，使黑客向用戶機(jī)器上載可執(zhí)行文件后無法正確執(zhí)行，從而避免了進(jìn)一步的損失。6同其它企業(yè)進(jìn)行聯(lián)合，共同抵制黑客的入侵，一旦被入侵要及時(shí)向有關(guān)部門匯報(bào)，并共同查找入侵來源，鎖定黑客IP地址。將網(wǎng)絡(luò)的TCP起時(shí)限制在15分鐘以內(nèi)，減少黑客入侵的機(jī)會(huì)。并擴(kuò)大連接表，增加黑客填寫整個(gè)連接表的難度。四、結(jié)束語綜上所述，我國中小企業(yè)的信息安全問題日益突出。由于受到資金、技術(shù)、管理、人員等幾方面的制約，中小企業(yè)基本上無法完全依靠自己解決所有信息化安全問題，它們很難使用大企業(yè)中那種復(fù)雜的信息安全系統(tǒng)，因此迫切需要適合自身情況的綜合解決方案。企業(yè)信息安全問題是一個(gè)不斷持續(xù)發(fā)展的過程，還要求信息安全廠商只有對(duì)系統(tǒng)進(jìn)行不斷的創(chuàng)新，通過先進(jìn)的技術(shù)才能確保企業(yè)的安全。信息安全作為企業(yè)的生命線，在企業(yè)信息安全中占有十