中小型企业信息安全管理问题与对策分析研究计算机专业.doc

目 录 中文摘要 1 前言 3 1 绪论 3 1.1 概念界定 3 1.2 国内研究现状 3 1.3 问题提出 4 2 中小企业信息安全问题研究 6 2.1 中小型企业的界定与特点 6 2.2 中小型企业的信息安全问题 6 3 中小企业信息安全问题研究对策 8 3.1 研究对策 8 4 研究创新、不足与展望 11 结论 12 参考文献 13 致谢 14 中文摘要 21世纪以来，2000人及以下的中小型企业飞速发展。由于我们目前正处于信息化的时代，信息安全对于中小型的企业发展尤为重要。任何硬件，软件，系统，上的重要信息泄露，都会给企业造成巨大的损失。但同时又由于中小企业在资金，人员，技术上存在的问题，无法拥有大型企业那么完善的信息安全管理对策以及信息安全系统。本文就目前的现状对中小心企业的实际情况，提出了其相应的经营管理制度以及满足其发展需求的安全防护的建设要点。 关键词：中小企业，信息安全，研究对策 Abstract Since Twenty-first Century, small and medium enterprises rapid growed. As we are in the information age, information safety is very important to medium enterprises. Any information leakage from software and hardware will cause huge losses to enterprises. However, enterperises have problem in the cash flow and people, they can not have the same information management system like large enterprise. Keywords: Medium-size enterprises, information safety, research program. 2 前言 目前我国大部分企业日常工作都需要用到电脑，为了提高工作效率，人们更愿意通过网络进行实时的数据传输，和资源共享。但这也引起了许多不法分子的注意，信息安全（例如信息泄露，非法窃取）的问题愈发严重。中小企业每年因为信息安全管理的问题而导致的经济损失无法估算，于是构建一个适合中小企业的信息安全系统，以及拟定一个合适的管理对策是其健康发展的关键。 1 绪论 1.1 概念界定 关于信息安全，不同组织有不同的定义，国际标准化组织对信息学安全的定义是：在技术上和管理上为书记处理系统建立的安全保护，保护计算机硬件软件和数据不因偶然和恶意的原因而遭到破坏，更改和泄露。信息安全的内涵已从传统的机密性，完整心和可用性三个方面扩展到机密性，完整性，可用性，真实性，可核查性，可靠性等更多领域。同时，信息安全在技术发展和应用的过程中，表现出以下几个重要特点： 1必然性， 2配角特性 3动态性。 1.2 国内研究现状 目前我国中小企业的信息安全管理现状基本有以下几点 一、 是中小心企业的信息安全管理水平较低， 中小型企业大都没有信息安全风险评估的意识，信息安全风险较大。如今的中小企业管理人员虽然逐步已经认识到了信息安全的重要性，但却没有认识到企业信息化管理是需要在企业员工的认知理念的基础上才能实现的。大多数人是按照原有的管理模式进行改造，结果造成一种信息化的假象，致使信息安全管理走向了徒有其表的误区，信息安全也没有得到足够重视。 风险评估对信息系统的关键主要是“后果”及“可能性”这两个基本因素。大型企业和中小型企业的总资产不同也使得他们在投入以及应对信息安全问题是出现明显差异。同事随着威胁以及资产存在的弱点的数量增加会让风险提高，随着弱点严重级别的提高会增加信息面临风险的后果。 就本文来说，风险值=信息价值x威胁可能性x信息脆弱性 因考虑到该公式的数值取得并不完全精确，所以需要加入经验的判断。中小型企业实时信息风险评估分析可以从风险信息和数据，进行不同程度的改进。并根据计算出的数值来确定风险等级。 二、 是人才短缺专业人员匮乏。 我国各地政府没有大力宣传和提倡信息安全的重要性，因此很多企业的管理人员甚至不知道信息安全管理这个专业，中小企业一般很难有能力留住信息化及信息安全这些领域的人才。所以，在这种刚性需求人才极度匮乏的情况下，自然影响到企业信息化的进程，同时让中小型信息安全得不到保障。这主要表现为： （1）企业一般没有自己的信息化建设人才队伍。 （2）专业人员的知识结构也不能达到要求，掌握技术的不懂管理，懂管理的又不会技术， （3）信息安全往往没有业人员进行管理。 三、是资金短缺。 中小型企业对信息安全管理的资金的投入不足。信息化建设是一个复杂庞大而又与时俱进的系统工程，从前期硬件设备与必要的软件系统的购置，到信息安全管理系统的管理和维护，人员的培养，都需要大量的资金支持，没有足够的资金投人，企业信息化是不可能发展起来的。中小企业从其本身来看，内部资金有限，而要借助外部融资，又由于其生存牢低、资信度差、抵押资产少、信贷风险大，金融机构不大愿意提供资金支持 1.3 问题提出 如前文所说，在当今信息化时代中，信息是一个企业最重要最宝贵的资产，无论其企业的大小，是最需要保护的，例如淘宝店的客户群体客户资料，技术化企业的设备工程说明，人事的数据等等。这些种种信息都关系一个中小企业在市场上的生存与发展。伴随着网络的发展，信息安全面临的挑战也日益严峻。 CTO企业信息安全调查报告显示：超过90%的企业完全或高度依靠互联网开展业务。超过45%的企业在过去三年曾发生过不同量级的信息安全事故，仅有15%的企业认为自己的安全措施完全可以防范风险。近80%的公司管理层认为信息安全的事故责任应由安全团队承担，其中有20%管理层甚至直接归咎于企业CTO。有57%以上的安全从业者并未参加过相关的信息安全培训或沙龙。近一半企业认为信息安全隐患是动态的、存在于各个环节的，并且更加隐蔽，单凭一个两个人或企业难以完全防范。近7成企业认为“应该引起高度重视，让信息安全服务于互联网+”。35%的企业认为“行业交流与合作的机制”是更有效保障“生态”安全的重要手段。 中小企业在信息安全方面主要存在一下几个问题。 （1） 理念认识不足，对信息安全没有足够的重视 （2） 资金问题 （3） 现在有对信息安全管理监控的产品平台只能满足某一个方面的需求。 （4） 中小企业的信息安全系统不稳定，没有统一管理 （5） 大多数安全产品依赖于特定的平台，灵活性差。 而对于中小企业来说，信息安全所面临的外部风险主要有一下几个方面 （1） 黑客通过特殊手段对信息安全的窃取 （2） 计算机病毒带来的安全威胁 （3） 中小企业自身信息安全保护措施不到位，内部人员的信息泄露 （4） 自身的信息安全系统不完善，存在安全隐患。 15 2 中小企业信息安全问题研究 2.1 中小型企业的界定与特点 据资料显示，我国划分中小型企业和大型企业的标准主要由以下几点。 （1） 人员数量 其中2000人一下的企业归为中小型企业，2000人以上的归为大型企业 （2） 资产 资产总额为4亿人民币一下的企业归为中小企业，资产总额为4亿人民币以上的归为大型企业 （3） 营业额 年营业额为3亿人民币以下的归为中小型企业，年营业额为3亿人民币以上的归为大型企业 从中小型企业和大型企业的划分标准我们不难看出，中小型企业在其管理，组织，技术，以及信息资源，信息安全管理上必然存在相当大的区别。 2.2 中小型企业的信息安全问题 1现状 如今，多数中小企业对信息安全的问题毫无安全意识。 本人与2016年10月就苏州市工业园区（1）苏州欧美来信息咨询服务有限公司（2）苏州广译贸易有限公司（3）苏州申度物流公司等5家公司就其每年对信息安全的投入进行调研。其结果让人大跌眼镜，5家中小型企业每年对信息安全的投资只占其年利润的3%。有数据表明，多数企业每年划拨给信息安全的资金占总年度IT投资的8%左右，可是事实并非如此。我认为对信息安全的投资就好比买车险，一个人十年开车没有出过事故，并不意味着可以不买车险。一个企业的信息安全的保障是一种防患于未然的做法，当信息没有泄露的时候万事大吉，一旦出现信息泄露，必然后悔莫及。 同时，调查结果还发现5家企业中有4家企业发生过信息安全事件，其中发生信息安全时间次数超过5次的有3家！近一年时间内，5家企业都遭受过网络病毒的程序破坏,1家企业遭受过黑客的攻击，5家企业都遭受过来自内部人员的信息泄露。 以我实习过的外贸公司为例，外贸公司最重要的信息资源有两点，1是客户信息，2是供应商信息。恰好就在我在公司实习的第二个月，一名在公司工作了4年的员工带着手上3名月营业额超30万美金的客户消失了，尽管公司要求员工必须使用公司内部邮箱，由公司的邮箱同客户进行业务往来。但本应受到保护的客户信息，包括邮箱，Fedex运单全部被带走。这也正面反应了中小企业管理层人员虽然已经认识到了信息安全管理的重要性，但却没有认识到企业信息管理是需要从理念上进行根本改革的道理。 2中小型企业和大型企业信息安全管理的区别 中小型企业的人力财力相对大型企业较为薄弱，其管理人员和手段都由于自身抓专业知识水平也随之相对较弱。尽管中小型企业的发展前景更好，对市场的适应力更强，应对信息安全问题时也能更快的应对。但由于其特点，也更容易引发由于资源薄弱问题而带来的信息安全问题。中小型企业缺乏充分的安全控制，组织需要保护的信息资产或者系统存在着可能被威胁所利用的弱点，也就是在管理，人员，程序上的缺陷等等。 更快速的应对不代表更好的应对。大型企业往往对于信息安全的投入更大，也就是说信息安全更有保障。可口可乐公司是全球知名的一家大型饮料企业。从创办成立到如今的120年来，从来没有任何一家饮料公司破解过其饮料的配方。据报道，为了保守这个秘密，可口可乐的CEO在1923年，不惜花费大量财力把保密当最公司的首要任务。当时，可口可乐公司饮料的发明人发表声明，如果有人要查询这个配方必须申请信托投资公司批准，知道今天，这个配方仍然锁在可口可乐公司总部的大型保险柜中，而开启这扇大门必须由2人合作输入指纹才能开启。也就是说目前全球只有两个人知道可口可乐最原始的配方。数据说明一切，120年不被同行的竞争者破解其配方，可见大型企业从整个工厂的结构，设计人员，加工人员，材料获取以及工艺等等方面的信息安全管理工作都做的非常到位，这无疑是让可口可乐成为当今全球最大的饮料公司的重要原因之一! 3 中小企业信息安全问题研究对策 3.1 研究对策 (1) 加强企业信息管理的意识 其包括两个方面，一是企业管理人员的意识，二是企业员工的信息安全意识。要解决国内中小型企业的信息安全管理问题，我认为，首当其中最基本的是要加强企业管理人员对信息安全的认知。正如前文所提到的，信息安全管理相当于一份保险，建立完善的信息安全管理体系无疑是企业健康发展的重要因素之一。进而管理人员将带动整个公司员工的信息安全意识，提高整体管理水平，等同与加强了整个公司的信息安全体系。为何中小型企业和大型企业的信息安全管理会有不同，最重要的原因是对其投入的资金大小。管理人员的安全意识强了，就会更愿意加大信息安全管理的投入。其次，通过信息安全管理体系的建设，可以有效的提高对信息安全风险的管控能力，通过风险评估和等级保护等衔接起来，使得信息安全管理更加科学有效。只有不断深化中小型企业员工的安全意识，才能保证整个企业体系处于一个健康的状态。 （2）法律层面 我国目前的信息化立法，尤其是信息安全立法，尚