客服热线:
手机版
二维码
我国小微企业信息安全管理问题的原因分析
小微企业不仅在信息安全技术与大企业有较大的差距,更重要的是信息安全管理状况也不容乐观,普遍有重视安全技术,轻视安全管理的现象存在。国家发展改革委小微企业司在年前曾发表一项《二零零六年中国小微企业信息化调查报告》, 结果显示有80%的被访小微企业只配有5名以下的信息技术人员。随着全球信息化的发展,信息安全对小微企业将会变得越加重要, 其内部组织管理、相关技术力量却任然薄弱。总结我国小微企业信息安全安全问题的原因主要有一些几个方面:
1、信息安全管理意识不强。
相对大型企业而言,小微企业信息资产方面的积累相对较为薄弱,并且许多情况下这种积累并非企业的有意识行为,因此在正常的信息化应用情况下,往往会忽视对自己信息资产的保护,而仅有在信息资产受到破坏,形成了实际的经济和附加损失的情况下,才会开始意识和重视这信息安全问题,能够说,这种小微企业的信息资产管理现状,是造成小微企业信息安全问题的主要内因之一。受社会文化环境等综合因素的影响,国人往往对于安全防范存在一种惰性和漠视,而联络到实际,小微企业员工甚至管理者普遍都存在着安全意识薄弱的问题,例如:在实施信息安全项目的过程中,经常能够遇到企业员工安装公司不容许使用的软件、中止安装在自己个人电脑上的安全产品顾客端等诸如此类的事件,造成这些问题的原因是多种多样的,但发生这种情况的最核心因素,是这些员工没有足够的信息安全意识,他们往往由于自己的便利而违反信息安全规章,也往往意识不到自己的这种行为,会将其他同事甚至整个企业的信息资产推向危险的境地。这给我们1个最重要的启示:安全设施的建立只是企业信息安全的第1步,而怎样在构建完成的信息安全体系中有效彻底的贯彻事先制订的信息安全策略以及不断提高新技术企业业的全员信息安全意识是信息安全管理工作工作更重要的部分。要达到这样的目标,必须企业决策层的大力支持、定期实施安全培训教育以及定期评估和调整安全政策,这样才能保证企业安全体系处于积极活跃的健康状态。
2、信息安全管理水平较低信息安全风险较大。
目前的小微企业管理层人员尽管已经认识到了信息化的重要性,但却没有认识到企业信息化管理是必须在企业管理念上进行根本变革才能实现的。尽管有一些小微企业采用了现代通信、计算机、网络技术来构建信息系统,以提高新技术企业业的效率与竞争能力,但相应的管理措施没有到位,如系统的运行、开发等岗位不清、维护、职责不分,经常一人身兼数职。信息安全大约70%以上的问题都是由管理方面的原因造成的。他们大多是按照原有的管理模式进行改造,结果造成一种信息化的假象,致使“信息化走向了徒有其表的误区,信息安全也没有得到足够重视。
3、人才短缺专业人员匮乏。
小微企业通常很难有足够的吸引力留住信息化及信息安全这一领域的人才。因此,在这种人才短缺的情况下,自然影响到企业信息化的进程。主要表现为:企业通常没有自己的信息化建设人才队伍。
信息技术专业人员的知识结构也不能达到要求,掌握技术的不懂管理,懂管理的又不会技术,并且信息安全往往没有专业人员进行管理。
客观的说信息安全领域的知识和技能在信息技术领域应归类于高阶层面,由于信息安全从业人员不只纵向上要对各项工作有精深的理解,横向上还必须对信息系统的整体逻辑乃至企业的业务逻辑有深刻的认知,特别对于信息安全管理的经验有很高的要求,这从很大程度上造成了小微企业难以具备足够的技术力量来保障信息安全设施的运行;其实抛开信息安全技术力量储备不论,即使是应用层面的信息技术力量,在小微企业中也经常出现不敷使用的情况,即使许多较大规模的中型企业,往往也只能做到保证有专人负责信息化工作而已,而越向更小规模的企业探究,愈会发现这种技术力量不足的情况所造成影响,并且在没有专职信息技术人员的情况下,信息化事务所必须的时间和资源往往与公司正常业务运营发生正面冲突,使具体情况更趋恶化,并且这个问题往往会造成恶性循环,即信息安全专业人员的缺乏,不仅造成了信息安全理念的传播无法形成内部源头,也导致了在评估投入时难于做出正确决策。
4、资金短缺。
小微企业的资金状况决定了其信息化投入遇到的限制相对较多。企业相对有限的资金,通常要优先投入到直接促进公司业绩增长的方向,而无形中就造成了信息资产所面临的巨大风险;特别是在当今越来越多的企业业务与互联网有密切的联络,甚至一些企业的业务完全建立在互联网之上,以平均不到企业总收入1%的信息安全投入,怎么能保障这些业务的正常运行?尽管小微企业不可能动辄拿出几十万乃至上百万的资金用于信息安全系统建设,但还是应该针对自身情况,尽可能使投入占比接近常规,至少应该使企业核心信息资产的安全得到保证,从具体情况来讲,在良好的安全理念指导下,进行细致的规划和评估,通过适当的投入也是能够达到较好的整体效果,由于在小微企业的应用情境下,信息安全防御广度是相对容易控制的;小微企业对信息安全产品的要求也不是简约版产品这么简单,在达到基本性能和功能要求的基础之上,还必须充分考虑小微企业的应用方式及习惯,设计出体现其规律和特点的真正适合小微企业的信息安全产品,才能从根本上满足小微企业信息安全需求。此外不得不重申的是,购置安全产品仅仅只是企业信息安全工作的步骤之一,我们不能只将眼光放在产品的选择上,相关的安全政策制订、培训计划的选择以及实施等问题也是信息安全投入不可或缺的组成部分,这些“软性投入对企业信息安全的影响往往更加深远,更加必须企业决策者仔细考量,由于在投入受限的情况下,往往会造成决策层只注重硬件设施投入而不注重管理实施的开展,以及将有限的投入支出在局部问题上,从而造成信息安全“短板效应,进而无法保证信息安全设施的完整性,最终造成信息安全实施的失败。
5、小微企业的信息伦理意识不强。
由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。在许多情况下,企业的员工都会由于某些不经意的行为对企业的信息资产造成破坏。尤其是在小微企业中员工的信息安全意识往往相对比较落后,对于互联网上存在的威胁往往缺乏足够的重视,而企业的管理层对于网络的使用也没有很好的管理手段。因此,员工对企业网络的误用滥用行为常使安全情况更加恶化,误用滥用网络带来了恶意攻击、企业机密数据泄露、感染病毒木马、员工工作效能大幅下降等问题。
从上述分析能够看出企业不但要重视外来防范, 更要注意内部的信息安全保护。企业的信息安全包含安全策略、技术、管理等等复杂的因素, 而非技术、产品就能解决的。小微企业的信息安全保护, 必须一整套从内部核心到边界再到边界外的完整的信息安全管理机制。由于小微企业自身规模小、资金有限,安全建设必须特别考虑经济问题, 力求成本低、可靠性高和实用性强的安全解决方案。
ISO27001是一套全面严谨的信息安全管理体系,旨在协助各种不同类型和规模的组织实施并运行有效的信息安全管理,从而增强企业识别、防止、减少和控制组织信息安全风险的能力。小微企业也能够运用 ISO27001信息安全管理系统的一些方法和措施提高自己的信息安全管理水平。
我国小微企业信息安全面临的主要威胁
我国小微企业信息安全管理的现状和原因分析
小微企业在中国经济发展中占有十分重要的地位,在20世纪90年 代以来的经济快速增长中,超过76%工业新增产值的以上是由小微企业创造的,我国小微企业总产值和实现利税已分别约占全国的60%和40%,在近几年的出 口总额中约占60%。与此同时,小微企业还提供了大约75%的城镇就业机会,特别是近些年经济结构调整和国有企业改组力度加大,小微企业吸纳就业的作用更 加明显。
截止二零零六年十月底,我国小微企业数已达到4200多万户,占全国企业总数的99.8%;小微企业创造的最终产品和服务的价值占我国GDP的58.5%,生产的商品占社会销售额的59%,上缴税收占48.2%,提供的城镇就业岗位已占到75%。小微企业在国民经济发展中所处的重要地位和作用已逐步显现。
随着在经济活动中扮演的角色越来越重要,小微企业对网络和信息技术的依赖程度也越来越强。据IDC(International Data Corperation)的一项调查数据显示,我国目前已有57.7%的 小微企业已经实施了信息化。从我国企业目前的信息安全现状来看,无论是软硬件系统本身,还是组织和管理方面,都存在着各式各样安全隐患,面临的威胁越来越 多样化和频繁化,攻击频率越来越高,我国企业信息安全问题十分严峻。面对严峻的信息安全安全形势,信息安全防护越来越受到企业的关注,许多企业开始在信息 安全管理上投入大量的人力、物力和财力。目前,国内大型企业由于企业信息化起步早、资金和相关技术力量充足、安全管理规范较为完善,因此信息安全体系成熟 度也相对较高,可是大部分小微企业的信息安全状况却十分令人担忧。
我国小微企业信息安全面临的主要威胁
由于管理、资金和技术等方面的原因,小微企业的安全问题一直隐患重重。小微企业的信息安全管理在安全性方面普遍存没有严格的规范和制度,存在着严重漏洞,人 员的素质和技术水平与大型企业相比,有较大的差距,因此在企业信息安全的内部脆弱性比大型企业存在更多的漏洞和不足。由于企业内部威胁也为外部威胁提供了 可能,在企业的信息安全的外部威胁上,小微企业更容易受到网络病毒的侵害。由于网络维护、运行、升级等事务性工作繁重并且成本较高,这也使得善于精打细算 的小微企业在信息安全管理问题上进退两难。小微企业用户的局域网通常而言网络结构不太复杂,主机数量不太多,服务器提供的服务相对较少。这样的网络通常很 少甚至没有专门的管理员来维护网络的安全,这就给黑客和非法访问提供了可乘之机。
国内反病毒厂商江民科技进行了一项针对我国小微企业信息安全状况的调查,调查对象包含北京、广东、武汉等十余个城市的小微企业。报告显示全国有 78.04%的中小型企业信息安全中都存在威胁,仅有 21.96%的小微企业拥有良好的信息安全环境,在所有参与调查的企业中,有15.75%的企业信息安全中没有任何的防护措施,81.48%的企业只安装 了单机版杀毒软件,而网络版杀毒软件的使用率不到两成。
此外,由于资金、技术等方面的原因,大部分中小型企业并没有自己专职的信息安全管理员,对电脑软硬件的使用也几乎毫无管理措拖,这都使得中小型企业在网络管理的安全性方面存在严重漏洞,与大型企业、行业用户相比,更容易受到网络病毒的侵害,造成的损失同样严重。
1、内部威胁
企业信息系统不可避免地存在着多种脆弱性。这些脆弱性可能是人为故意制造的,也有可能是由于某些偶然因素造成的。偶然的脆弱性是指信息系统的软硬件、运行环 境、网络协议、安全策略或者操作规程等在规定、设计、开发或运行期间,由于非故意的失误而造成的漏洞和弱点。故意的脆弱性是有预谋的行为结果,根据有预谋 行为的动机,故意的脆弱性又可分为善意和恶意两种。信息系统有时可能由于善意的目的而存在故意脆弱性,例如:硬件设备厂商在设备出厂时会预设默认的管理该 设备的账号和密码,以供设备管理人员维护和使用,假如不对这种默认帐号和密码进行及时更改,就会被不法分子利用侵入信息系统。故意的脆弱性也可能因恶意目 的而形成,病毒和特洛伊木马就是两种恶意脆弱性的典型例子。按照脆弱性所处的位置,信息系统脆弱性可分为以下六类:
(1) 硬件脆弱性,指硬件设备中存在的漏洞和弱点,主要包含:硬件设备的电磁泄漏、电子设备之间相互电磁干扰、硬件温敏效应过大、存储介质的剩磁效应、硬件可靠 性故障以及有线通信介质易串音、架空明线载波辐射容易导致泄密、无线通信内容容易被截获和破译、无线通信设备容易被电子侦察技术侦察等等。信息系统硬件脆 弱性多来源于硬件的设计和设备材质本身的特性,这些脆弱性往往会导致物理安全方面的问题。
(2) 信息系统软件的脆弱性,指由软件规范、开发和配置过程中的错误所导致的漏洞。基于软件脆弱性的引入原因,软件脆弱性又可分为输入验证脆弱性、竞争条件脆弱性、访问验证脆弱性、配置错误脆弱性、意外情况处置脆弱性、环境错误脆弱性以及软件设计错误脆弱性等七类脆弱性。
(3) 网络通信协议脆弱性,指由于通信协议设计所导致的漏洞。基于TCP/IP 协议栈的因特网以及通信协议存在着不可忽略的脆弱性。TCP/IP 协议是在美国国防系统内部的互相信任的网络这一应用环境设计的,当其推广到全社会的应用环境之后,就会导致因信任假设条件不满足而产生的安全隐患。概括起 来,因特网协议具有以下几种重要的脆弱性:1.用户身份鉴别脆弱性;2.路由协议鉴别认证脆弱性;3.TCP/UDP 脆弱性,如 TCP“三次握手脆弱性,TCP连接初始序列号脆弱性,UDP 无连接控制脆弱性,以及 TCP/IP 应用服务协议脆弱性等等。
(4) 信息系统运行环境的脆弱性,办公室、湿控、电力、机房、照明、温控、防盗、防火、防雷、防震、防电磁辐射、抗电磁干扰等等设施,楼寓建筑结构及布线情况等方面,以及户外传输介质、公共网络区域等存在的漏洞和不足。
(5) 信息安全策略脆弱性,就是指与保护信息系统资源相关的法规、政策、制度和安全指导方针方面的不足,主要能够分为物理安全策略脆弱性、数据安全策略脆弱性以及人员安全策略脆弱性等等。
(6) 管理的脆弱性,就是信息系统在日常安全管理和应急措施方面的不足,根据ISO27001信息安全管理体系的标准,管理脆弱性又包含机构安全管理脆弱性、信 息资产控制管理脆弱性、人员安全管理脆弱性、物理与环境管理脆弱性、通信与操作安全管理脆弱性、系统开发和维护管理脆弱性以及业务连续性管理脆弱性等。
值得注意的是,脆弱性尽管是信息系统本身具有的,但它本身不会造成信息系统的损失,它只是一种可能被外部的攻击者利用而造成损失的一种条件或环境。假如没有相应的威胁发生,单纯的脆弱性并不会造成对信息系统的破坏。
2、外部威胁
二零零八年全国信息安全状况与计算机病毒调查中,二零零七年五月至二零零八年 五月,62.7%的被调查单位发生过信息网络安全事件,比去年减少3%。感染计算机病毒、蠕虫和木马程序的情况任然最为突出,其次是网络攻击、端口扫描、 垃圾邮件和网页篡改。在问及小微企业使用电脑时最头疼的问题时,33%的企业回答是总受病毒干扰;垃圾邮件,电子邮件是中国网民最常用的互联网功能之一, 特别是对一些小微企业而言,没有自己的邮件服务器,通常是租用网上邮箱,对垃圾邮件更是不胜其扰,产生许多信息安全隐患;恶意软件,许多上网电脑都会在未 被告知并经许可的情况下安装或者曾经安装了各类广告软件、间谍软件、浏览器劫持、恶意共享软件、行为记录软件或者恶作剧程序,有些间谍软件、行为记录软件 能够在用户不知情的情况下,在其电脑上安装后门,为黑客打开方便之门,造成了信息安全的严重隐患;入侵攻击,由于入侵者在网络上的入侵行为往往混杂于正常 的网络活动中,并且也没有地域和时间的限制,因而其隐蔽性很强,除此之外,入侵的手段和工具正趋向复杂化和多样化。
企业信息安全威胁主要包含内部和外部两个方面,其中内部威胁主要是指系统自身的脆弱性和内部人员的攻击,人的行为是内部威胁之源头。而人的因素,主要包含潜 在威胁者的动机以及专业技术水平。动机因素主要来源于经济、政治、个人情绪和其他因素。研究人的行为,规范人的行为,防范人的行为是抵御信息安全威胁的核 心。从企业角度来看,规范人的行为主要通过企业的组织制度和管理手段上来体现,因此,对于小微企业信息安全问题主要从企业的组织制度和管理方法来解决。同 时也不能忽视企业在信息安全技术上的投入,系统自身的缺陷和脆弱性是产生外部威胁的重要原因,由于小微企业的财力有限所有在信息系统自身的投入要以尽可能 低的成本保证信息系统的安全和可靠。
