中小企业需要信息安全防护体系

  目前我国已有57.7%的中小企业实施了信息化,但这些企业的信息化建设主要集中在财务系统、公司网站、企业邮箱、办公自动化等初级阶段,而未实施信息化建设的企业则普遍认为信息化建设需要先期投入和后期维护的成本比较高。

  目前我国中小企业信息化的现状:

  一、管理水平低 信息管理存在风险

  目前,企业管理层人员在管理观念上对信息化的认识不足,他们虽然认识到了信息化的重要性,却没有认识到企业信息化管理是管理理念上的根本变革,只是按照原有的管理模式进行改造,结果造成一种信息化的假象,致使“信息化”走向了误区,信息安全也没有得到足够重视。

  二、人才短缺 专业人才匮乏

  中小企业很难有足够的吸引力留住这一领域的人才。由于缺乏专业人才,自然影响到企业信息化的进程。主要表现为:没有自己的信息化建设人才队伍。掌握技术的不懂管理,懂管理的不会技术,信息安全缺乏专业人员管理。

  三、资金短缺

  中小企业对信息化资金的投入不足。信息化建设是一个系统工程,从前期硬件设备与必要的软件系统的购置,到信息化系统的管理和维护,都需要大量的资金支持,没有足够的资金投人,企业信息化是不可能开展起来的。中小企业从其本身来看,内部资金有限,而要借助外部融资,又由于其生存率低、资信度差、抵押资产少、信贷风险大,金融机构不大愿意提供资金支持。

  四、信息化需求不明确 眼光看不到那么远

  企业一开始进行信息化建设时,摸不着头绪,不知道自己信息化建设中需要哪些功能,不明确信息化建设到底能给企业的日常生产、经营、办公提供哪些服务、有什么作用。这就必然阻碍企业实施信息化建设。

  中小企业由于自身资本能力有限,不容易完全依靠自己解决所有信息化安全问题,所以企业信息安全问题在中小企业中表现得更明显,对于大企业来讲,信息安全似乎更容易得到保障,比如美国第一数据公司就把很多大企业,包括银行、保险等大量数据进行数据保管,形成这样一个模式,这里面就涉及信用问题,信用体系建设问题,并把安全密钥问题和身份认证问题相结合,对数据进行分级,能够真正做到数据安全,而中小企业无法承担如此巨额的开销。中小企业信息安全要得到解决则是需要全社会的共同参与。如果要建立一个信息安全的防护体系,需要做哪些工作呢?

  一、中小企业自身需加强安全风险防范意识 选择性价比最合适的方案与服务

  对中小企业自身而言,可以咨询一下投资企业,对已有的系统做风险评估。在一般的商业环境中使用局域网,而且一般会用防火墙,从技术角度看可以提供一个解决方案,这样相对会更容易一些。用户需要把握哪些东西对企业是至关重要的,如果数据很关键的,很可能就牵涉到要购买商用的数据融资中心,因此一定要正确识别哪些是关键的应用,业务,哪些东西对企业至关重要的,剩下的服务根据立足点不一样可以酌情购买,选取一些有资质的企业,购买一些正版的杀毒软件等。

  有关安全专家曾经撰文,对于国内的中小企业,首先是要扭转“安全不重要”的错误认识,而后才能对症下药。信息安全体制的建立只是安全的第一步,如何有效地贯彻事先制订的信息安全策略,以及不断深化企业的全员信息安全意识,将处于更加重要的地位。

  换句话说,中小企业信息安全的建立,有赖于企业决策层的大力支持、选择适合自身发展的安全方案,同时做到定期评估和调整安全政策,这样才能保证企业安全体系处于应有的健康状态。

  从投入上看,国内中小企业的首要目标都是生存,因此对于传统大型企业的“防火墙” +“IPS/IDS” + “防病毒” + “反垃圾邮件” + “内网安全防御” + “数据/应用级别容灾”的策略,中小企业无力、也不需要如此“奢侈”。

  合理的做法是,通过极为有限的资金,最大程度保护企业的核心信息资产。也就是说,企业要在良好的安全理念指导下,进行细致的规划和评估,利用企业小、防御广度小且集中的优势,展开定点防御。

  二、制定内部安全策略 确保执行

  无论采用何种方案,广大中小企业用户必须认清的一点是,选择安全产品仅仅只是企业信息安全工作的基础,特别是不能够过渡依赖工具,而忽视人为因素。因为从目前的统计来看,内网出问题是最普遍的安全隐患,所以小企业必须要制定公司内部的安全策略,并且确保各个部门与人员能够理解并执行。

  另外,对于几年来流行的P2P的应用,如MSN、Skype、BT,采取什么样的方式处理,也是应当考虑的。虽然这些应用会影响网络性能,但是很多中小企业还在依赖某些应用联系业务。因此,对于这类问题,中小企业必须区别对待。合理的做法是,用户可以利用IPS等设备提供的协议分析过滤功能或配合交换机,有限制地保留业务用应用,如MSN;杜绝非正常应用,如BT;限制某些非必备应用的带宽,如Skype。

  最后,在中小企业用户下决心部署安全方案之前,最好做一个整体评估,分析一下企业目前的核心信息资产是什么。比如,对一家连锁超市而言,其交易服务器的重要性显然高于门户网站,这样才能做到有的放矢进行安全策略匹配。

  三、如采取外包 需健全安全服务体系

  在外包过程当中,每个行业有很多同类的企业在竞争,必须考虑用法律体系来规避风险,需要社会在法律环境下对社会化服务提供保障。同时也需要厂商、外包商等能够在安全体系社会化服务进程中共同努力,建立起社会化的一套安全服务体系,以便使中小企业在进程中依托自己有限的资源去享受安全、完整、有效的安全保障。(支点网)

时间: 2024-10-18 19:03:53

中小企业需要信息安全防护体系的相关文章

深度:应用安全是信息安全防护的短板

一.赛博空间的安全问题不是"新"社会问题 本文讲的是 深度:应用安全是信息安全防护的短板,从社会管理角度看,网络空间与现实空间的关系,实际上是基本对应的映射关系,例如现实空间的参与主体"人",其在网络空间的形式则表现为一个具体的"进程",现实生活中的组织,在网络空间的映射则为一个"应用系统"或"一组应用系统",这些思想在美国NSA及FBI最早的信息安全管理制度中都可以看到其痕迹.既然参与主体没有新变化,其相

浅谈信息安全保障体系建设整体思路

信息安全体系是企业业务持续性发展的保障,在一定程度上安全管理平台(SOC)的建设方式就体现了信息安全体系的搭建的思路,因为用户直接操作的.见到的就是安全管理平台. 一.SOC的建设思路:"花瓶"模型 从SOC的功能发展上可分为三个维度:防护.监控与审计,包含了安全事件管理的事前.事中.事后整个过程.但信息安全包含的内容非常多,SOC究竟应该管理那些内容,各部分功能如何协调一致是SOC建设者不可回避的问题.根据SOC功能扩展的三个维度,我们提出了适合SOC建设规划的"花瓶&qu

天融信助力国产化,构建基于国产化技术的安全防护体系

2015年12月20日,第二届国家信息安全与国产化战略高层论坛在北京举行.中央国家机关.科研院所专家.国家重要行业的信息化主管.国内知名IT企业的领导,就"国家信息安全与国产化战略"这一主题,采取主题演讲.专题报告.问答互动等形式进入了深入研讨.交流. 会上,中国科学院中国工程院两院士王越资深院士,对信息社会"赛博空间"导引下,"互联网+"信息安全国产化发展思考进行了阐述.国内知名IT安全企业分别对我国信息安全面临的形式,如何建设信息系统安全,推

中国工程院院士沈昌祥:构建多层次、高质量的多重防御大数据防护体系

ZD至顶网CIO与应用频道 01月16日 北京消息:近日,由中国信息技术服务产业联盟主办,工业和信息化部软件与集成电路促进中心承办的第六届中国信息技术服务产业年会召开,探讨新常态和互联网+下信息技术服务产业的发展思路. 中国工程院院士沈昌祥认为,等级保护完全适合于大数据的处理,不同重要程度采取不同的管理安全措施来达到保障,全过程增加信息安全保障能力的. 中国工程院院士沈昌祥 以下为演讲实录: 大家已经知道了没有网络安全就没有国家安全.大数据已经成为信息行业的热题,大家都以大数据来处理各种问题.大

网店如何针对这些趋势做好信息安全防护呢?

早前,海洋科技曾在<中小企业信息"防灾"意识不足 商机损耗严重>一文中提出,企业预防信息灾害,加强信息安全,需要监控网络安全趋势,针对趋势做针对性的监控报告,以此调整信息防护的重点. 当前网络安全趋势是什么?网店如何针对这些趋势做好信息安全防护呢? 据调查了解,近些年以来,整个网络安全状况已经日益严峻,原因在于其中涉及到巨大的经济利益--利用网络安全漏洞正在成为一项利益巨大的投资活动,而这种行为吸引了越来越多的有经验的黑客以及组织不断参与进来,这些人已经不再以破坏系统和网站

廖仁斌:加快建设个人信息安全保护体系

(全国人大代表.中国电信股份有限公司湖南分公司总经理廖仁斌就"加快建设大数据时代个人信息安全保护体系"提出建议.) 随着云计算.移动互联网.智慧城市和物联网的快速发展,"大数据时代"已经到来.然而当用户面对如"棱镜计划"."支付宝安全门事件"等层出不穷的个人信息及敏感隐私数据泄露时,不禁担心--大数据时代,我们还有隐私可言吗? "日益尖锐的个人信息安全问题不仅给我国大数据产业发展带来严重威胁,还时刻影响着国家安全和社

敢问银行信息安全防护之路在何方?

互联网的放大效应使公众的容忍度越来越低,尤其是信息安全事件的影响,让银行面临的声誉风险压力倍增.不容乐观的是,在数据大集中已经成为潮流的今天,信息安全风险也在急剧集中,银行重要客户的数据一旦被不法分子利用,产生身份冒充.钓鱼诈骗等违法事件将极难防范.如何既守住信息安全底线,又保障业务健康发展,是摆在众多银行面前的一道难题. 这也是为什么在银行的IT基础设施里几乎看到安全产品的"全家福"的原因,各种防火墙.WAF.IDS.IPS.DLP应接不暇.但在这样的情况下,依然没能避免数据泄露.钓

大数据时代 如何构建个人信息安全保障体系?

在当前的大数据时代下,面对日益严峻的个人信息安全问题,在深入剖析网络搜索引发个人信息安全危机成因的基础上,下文重点从意识培养.立法监管.技术应用三方面提出构建个人信息安全保障体系的构想. 1.培养个人信息安全保护自律意识 大数据时代保护个人信息安全,既需要相关企业和部门强化自律,加强监督和管理,同时也需要公众整体提高个人信息安全保护的意识和能力,一旦发现个人信息遭到泄露,要积极向信息管理部门提出投诉. 同时,为了遏制"人肉搜索"产生的信息失控和价值乱序现象,需要大力加强文化传播和道德培

大数据在人防综合防护体系中的定位和作用

党的十九大报告中指出"坚持总体国家安全观.统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则."习近平主席在第七次全国人防会议上指出"贯彻总体国家安全观,为建设强大巩固的现代人民防空体系作出新贡献." 人防综合防护建设是国家安全的重要组成部分.城市作为一个地区的政治.经济.文化.交通中心,具有人口密度大,重要经济目标多,交通路网复杂等特点,是未来高技术战争中遭敌空袭的主要目标,是极容易在各种自然灾害.人为灾害中造成重大损失的区域.因此,城市人