中小企業信息安全現狀分析及防護建議

陳 鑫

(上海中鐵通信信號測試有限公司，上海 200436)

1 信息安全的定義

信息：作為一種資源，是可以進行傳播的一切內容。

信息安全：信息安全的含義主要包含信息的保密性、完整性和可用性，保護各類信息系統及信息資源免受威脅和破壞，即保護了信息的安全性。

2 中小企業信息安全現狀

2.1 信息安全意識薄弱

“信息安全”看似包羅萬象，卻又難以找到實體，在不了解什么是信息安全的前提下，很容易忽視這項安全工作。許多時候例如“傳份資料給客戶看”、“公司加班發個朋友圈”等等一系列小操作，均有可能在不經意間就轉發出大量信息，導致企業重要資產受損。

就中小企業而言，客戶信息、人員技術、產品設備、紙質檔案等各類資源，均屬于信息資產范疇。而不少管理者則認為“信息安全是大公司的事情”，信息安全等同于網絡安全，核心業務并非依托網絡，導致安全防范意識薄弱，信息安全無法得到重視。

2.2 管理模式簡陋

通常情況下，中小企業安排各部門主管等負責其職責范圍內的工作內容。但由于流程簡單、崗位職責不夠明確，容易導致業務交叉、關聯性不高，一旦外界或內部的威脅出現，其資產的安全性難以得到保障。

2.3 專業人才匱乏

諸多中小企業并不具備專業的信息安全領域人才，無法建設信息化人才團隊。而受制于信息化管理理念的重視程度有限，管理者不太愿意將信息安全提升到等同于其他職能的高度。另外，對于專業的信息技術人員個人而言，中小企業的吸引力大幅降低，導致中小企業在信息安全領域的人才短缺。

2.4 資金限制

除去人力成本、物資庫存等資產，中小企業內部資金有限，容易受到信貸難度高、融資風險大等阻礙。而信息安全防范體系的建設，不僅需要專業的人才，或是對人才技術的培養，同時還包括硬件設備的采購、日常的管理與維護、發生安全事件時的應急措施等。因此，要投入資金在信息化建設中，無疑是中小企業的一項困難之舉。

2.5 網絡結構簡單

目前，大部分中小企業的網絡結構相對簡單。考慮到與外企業的溝通，通常中小企業將用戶終端直連交換機，再通過路由器與Internet 互聯，形成最基礎的上網模式。部分中小企業雖利用公司內網進行辦公交流，但依然預留端口供外部接入。簡單的網絡結構將會使用戶終端直接暴露在網絡之中，給不法分子更多可乘之機。

3 提高和保障企業信息安全措施

3.1 安全意識人人有責

安全問題的根源由外部因素和內部因素兩部分組成。自然災害、木馬入侵等均屬于外部因素，而內部因素卻往往是企業或員工不夠重視造成的。中小企業從企業本身到員工個人，缺乏相關信息安全意識的宣貫，因此更容易誘發安全事件發生。由此可見，提高信息安全意識迫在眉睫。

企業的安全意識，其中一點體現在是否對企業重要資產進行過梳理。對比大型企業，盡管中小企業往往難以細化部門分類和工作職責，但中小企業的主要業務戰略目標更為單一，重要資產更易體現。針對不同行業，其重要資產也不盡相同，可根據數據、硬件、軟件、服務、人員等進行一一分類，整理出重點保護對象，并對每項重要資產，在保密性、完整性和可用性等級上進行賦值。重要資產的梳理，有助于加強企業的安全意識。

一旦企業開始關注信息安全，員工的安全意識也將隨之提高。除定期培訓外，中小企業可通過文件加密、崗位職責細化、辦公流程建立等多種方式，以自然的形式給予員工信息安全意識的灌輸。員工自身也應注意個人信息泄露、消息隨意傳遞等行為或習慣，以加強人員的安全意識。

“宜未雨而綢繆，勿臨渴而掘井”，唯有提高意識，中小企業才能進一步考慮信息安全問題，從而采取行動進行安全防護。

3.2 人才培養

考慮到重要資產一旦產生安全事故而造成的嚴重損失，盡早安排專人把控，有助于預防更多未知的信息安全事故發生。

對中小企業而言，外部招聘信息安全人才，一方面企業規模往往難入專業人才的“法眼”，并且，企業對新進人才的信任度也有待時間證明。因此，從企業內部合理任用員工進行信息安全管理，是中小企業相對可靠的方式。同時，條件允許的情況下，應從企業信息系統和企業管理體系兩方面分派人員進行管理。

信息系統人員要求：了解企業自身物理環境，如電力配電、機房布線、機柜接地等；熟悉企業網絡結構，主要包括對外的網絡邊界防護、對內的訪問控制等；掌握企業系統軟硬件，包含服務器、路由器等硬件設立，專業應用、辦公軟件的安裝管理等。明確企業信息應用機制，例如登入方式、密碼保護等。

管理體系人員要求：從企業組織架構、人員分工、各項業務訪問控制、文檔存儲等角度考慮。

3.3 建立并完善管理體系

管理人員要注意的是，完善的信息安全管理體系，應當適用于信息安全管理的整個生命周期。ISMS 是目前一種較為常見的信息安全管理體系，該體系圍繞《信息技術 安全技術 信息安全管理體系要求》（ISO/IEC 27001）的要求建立，同時也遵循PDCA 循環這項基本管理過程。

PDCA 循環最早由美國質量管理專家戴明普及，所以又稱戴明環。PDCA 將安全管理活動分為計劃（Plan）、執行（Do）、檢查（Check）、處理（Act）4 個過程。

4 個過程按順序進行，每一個完整循環的執行，安全質量都會取得一定的提升，從而提出新的目標，執行下一個循環。

基于上述PDCA 循環，中小企業應用于信息安全管理體系的ISMS 建設可分為如下幾個階段。

1）規劃

在規劃階段，首要任務是定義保護范圍。根據企業自身運營情況，界定出體系建設所要保護的組織結構、業務范圍、信息系統范圍等，并從中清晰的確定出相關重要資產。

建立在重要資產的基礎之上，依據信息系統的特征，制定風險評估方法并予以實施，包括識別風險、風險值計算、風險分析。

2）實施并運行

該階段主要任務是通過管理、執行等手段，對所識別的信息安全風險進行處理。

風險的處理方式分為降低風險、規避風險、轉移風險和接受風險4 大類。

結合規劃階段的風險分析結果，企業應先判定每一項風險是否為可接受風險，可接受風險無需進一步處理。對于不可接受的風險，采取降低風險、轉移風險等方式，將風險消除或控制在可接受范圍內，并且對處理過后剩余風險積極維護。此外，企業應針對可能存在的風險，加強管理，深入開展各專項工作，從而達到規避風險的效果。

3）監視并評審

檢查階段是整個ISMS 體系中非常重要的階段，并且是一個長期保持的階段。該階段主要包括如下內容。

明確需要被監視的內容，企業可通過測試、評價等方式對被監視的內容進行檢查，并做好相應數據的存檔，尤其是對上述處理過后的剩余風險，需著重把關其是否已被控制在可接受范圍內。

按計劃進行信息安全風險管理體系的內部審核，驗證體系是否符合中小企業自己的信息安全需求，以及整個信息安全的保護過程是否在原先預期的體系控制范圍之內。

中小企業的最高管理層應定期進行管理評審，結合風險評估結果、處理措施的實施、監測結果、審核結果等，判斷自身企業是否達到了信息安全的預期目標，并提出后期持續改進的要求。

4）改進

經過計劃、執行、檢查3 個階段后，信息安全體系的防護效果得以呈現。企業根據體系的運行情況，若該輪體系的運行完全達成目標且運行狀態良好，可以考慮將該論體系中所采取的處理措施保持并繼續執行；若仍有不符合項，企業應尋找原因并確定有效的措施繼續整改。

此外，在這個階段，中小企業還能采取培訓等方式，加強員工的信息安全意識，有效的遏制某些潛在的安全事件發生。在此基礎上，將迎來全新一輪的PDCA 循環。

3.4 薄弱環節補強

如圖1 所示，威脅利用脆弱性造成不良后果的機會稱之為安全事件的可能性，資產價值和該資產所暴露出脆弱性的嚴重程度決定了安全事件造成的損失，通過安全事件的可能性和損失可以判定資產所面臨的風險大小。

圖1 信息安全風險分析原理圖Fig.1 Schematic diagram of risk analysis on information security

資產、威脅、脆弱性3 要素中，資產本身無法替代或消除。威脅則屬于引起風險的外部因素。而作為引起風險的內部因素，脆弱性同時關聯到誘發風險的可能性和損失。因此，降低脆弱性，是中小企業最為有效的加強安全防護的方式之一。

各中小企業現階段的信息安全狀況及所要達到的預期效果不盡相同，例如互聯網公司等在公司網絡結構上會相對其他行業有更明顯的優勢和防護措施。并且各中小企業愿意投入于信息安全的資金也存在差異。為此，提出以下幾項基本安全防護措施。

1）環境安全

企業應掌握自身辦公區域的物理環境狀況，做到防火、防水、防靜電、機柜接地、線路排放合理等；企業員工則應自覺做到不在辦公區域內吸煙、安全用電、水電隔離等常規操作。

2）網絡安全

企業要界定網絡邊界，設定相應的外部訪問策略、內部訪問策略，配置防火墻，關閉路由器、交換機等網絡中間設備未啟用的端口；企業員工按規定進行公司網絡訪問，避免私自利用企業內部終端接入其他不安全網絡。

3）硬件安全

企業定期對各類服務器、存儲等進行檢查維護，條件允許的情況下應配置熱備/冷備；企業員工妥善保管和使用好筆記本電腦等硬件設備，如遇故障應通過正規渠道進行修理更換。

4）系統與軟件安全

企業應及時做好系統和軟件的補丁更新，匯總各類系統設備日志，加強對重要資產的訪問控制；企業員工應設定并定期更換常用密碼，重要資料應及時上傳服務器。

5）管理安全

企業編制并采用信息安全管理體系，加強文檔類材料的存儲管理，對重要文件需逐級批復后方可授權交接，對于市場資源、行業技術等重要資產，企業可考慮安排員工簽署保密協議，防止機密泄露；企業員工要自覺遵守規章制度，切忌泄密、偷盜、挪用等不良行為。

以上5 大類安全防護建議實施難度小，無需投入大量資金，且適用于中小企業信息安全體系的各個階段，在信息安全脆弱的情況下，能最大程度高效率的提升安全等級，阻止安全事件發生。

4 結束語

信息化為社會和企業的發展提供了極大的便利和效益，但中小企業信息安全現狀仍需加強。通過對信息安全的重視，并采取合理、有效的手段進行體系建立及安全防護，才能更好的保護企業信息資產。