中小企业信息化建设需要信息安全防护体系

 据IDC调查显示，目前我国已有57.7％的中小企业实施了信息化，但这些企业的信息化建设主要集中在财务系统、公司网站、企业邮箱、办公自动化等初级阶段，而未实施信息化建设的企业则普遍认为信息化建设需要先期投入和后期维护的成本比较高。

    目前我国中小企业信息化的现状：

    一、管理水平低　信息管理存在风险

    目前，企业管理层人员在管理观念上对信息化的认识不足，他们虽然认识到了信息化的重要性，却没有认识到企业信息化管理是管理理念上的根本变革，只是按照原有的管理模式进行改造，结果造成一种信息化的假象，致使“信息化”走向了误区，信息安全也没有得到足够重视。

    二、人才短缺　专业人才匮乏

    中小企业很难有足够的吸引力留住这一领域的人才。由于缺乏专业人才，自然影响到企业信息化的进程。主要表现为：没有自己的信息化建设人才队伍。掌握技术的不懂管理，懂管理的不会技术，信息安全缺乏专业人员管理。

    三、资金短缺

    中小企业对信息化资金的投入不足。信息化建设是一个系统工程，从前期硬件设备与必要的软件系统的购置，到信息化系统的管理和维护，都需要大量的资金支持，没有足够的资金投人，企业信息化是不可能开展起来的。中小企业从其本身来看，内部资金有限，而要借助外部融资，又由于其生存率低、资信度差、抵押资产少、信贷风险大，金融机构不大愿意提供资金支持。

    四、信息化需求不明确　眼光看不到那么远

    企业一开始进行信息化建设时，摸不着头绪，不知道自己信息化建设中需要哪些功能，不明确信息化建设到底能给企业的日常生产、经营、办公提供哪些服务、有什么作用。这就必然阻碍企业实施信息化建设。

    中小企业由于自身资本能力有限，不容易完全依靠自己解决所有信息化安全问题，所以企业信息安全问题在中小企业中表现得更明显，对于大企业来讲，信息安全似乎更容易得到保障，比如美国第一数据公司就把很多大企业，包括银行、保险等大量数据进行数据保管，形成这样一个模式，这里面就涉及信用问题，信用体系建设问题，并把安全密钥问题和身份认证问题相结合，对数据进行分级，能够真正做到数据安全，而中小企业无法承担如此巨额的开销。中小企业信息安全要得到解决则是需要全社会的共同参与。如果要建立一个信息安全的防护体系，需要做哪些工作呢？

    一、中小企业自身需加强安全风险防范意识　选择性价比最合适的方案与服务

    对中小企业自身而言，可以咨询一下投资企业，对已有的系统做风险评估。在一般的商业环境中使用局域网，而且一般会用防火墙，从技术角度看可以提供一个解决方案，这样相对会更容易一些。用户需要把握哪些东西对企业是至关重要的，如果数据很关键的，很可能就牵涉到要购买商用的数据融资中心，因此一定要正确识别哪些是关键的应用，业务，哪些东西对企业至关重要的，剩下的服务根据立足点不一样可以酌情购买，选取一些有资质的企业，购买一些正版的杀毒软件等。

    有关安全专家曾经撰文，对于国内的中小企业，首先是要扭转“安全不重要”的错误认识，而后才能对症下药。信息安全体制的建立只是安全的第一步，如何有效地贯彻事先制订的信息安全策略，以及不断深化企业的全员信息安全意识，将处于更加重要的地位。

    换句话说，中小企业信息安全的建立，有赖于企业决策层的大力支持、选择适合自身发展的安全方案，同时做到定期评估和调整安全政策，这样才能保证企业安全体系处于应有的健康状态。

    从投入上看，国内中小企业的首要目标都是生存，因此对于传统大型企业的“防火墙”　＋“IPS／IDS”　＋　“防病毒”　＋　“反垃圾邮件”　＋　“内网安全防御”　＋　“数据／应用级别容灾”的策略，中小企业无力、也不需要如此“奢侈”。

    合理的做法是，通过极为有限的资金，最大程度保护企业的核心信息资产。也就是说，企业要在良好的安全理念指导下，进行细致的规划和评估，利用企业小、防御广度小且集中的优势，展开定点防御。

    二、制定内部安全策略　确保执行

    无论采用何种方案，广大中小企业用户必须认清的一点是，选择安全产品仅仅只是企业信息安全工作的基础，特别是不能够过渡依赖工具，而忽视人为因素。因为从目前的统计来看，内网出问题是最普遍的安全隐患，所以小企业必须要制定公司内部的安全策略，并且确保各个部门与人员能够理解并执行。

    另外，对于几年来流行的P2P的应用，如MSN、Skype、BT，采取什么样的方式处理，也是应当考虑的。虽然这些应用会影响网络性能，但是很多中小企业还在依赖某些应用联系业务。因此，对于这类问题，中小企业必须区别对待。合理的做法是，用户可以利用IPS等设备提供的协议分析过滤功能或配合交换机，有限制地保留业务用应用，如MSN；杜绝非正常应用，如BT；限制某些非必备应用的带宽，如Skype。

    最后，在中小企业用户下决心部署安全方案之前，最好做一个整体评估，分析一下企业目前的核心信息资产是什么。比如，对一家连锁超市而言，其交易服务器的重要性显然高于门户网站，这样才能做到有的放矢进行安全策略匹配。

    三、如采取外包　需健全安全服务体系

    在外包过程当中，每个行业有很多同类的企业在竞争，必须考虑用法律体系来规避风险，需要社会在法律环境下对社会化服务提供保障。同时也需要厂商、外包商等能够在安全体系社会化服务进程中共同努力，建立起社会化的一套安全服务体系，以便使中小企业在进程中依托自己有限的资源去享受安全、完整、有效的安全保障。

(责任编辑:董建伟)