我国中小企业信息安全管理的现状和原因分析

中小企业在我国经济发展中占有十分重要的地位，在20世纪90年 代以来的经济快速增长中，超过76%工业新增产值的以上是由中小企业创造的，我国中小企业总产值和实现利税已分别约占全国的60%和40%，在近几年的出 口总额中约占60%。与此同时，中小企业还提供了大约75%的城镇就业机会，特别是近年来经济结构调整和国有企业改组力度加大，中小企业吸纳就业的作用更 加明显。

截止二零一六年十月底，我国中小企业数已达到4200多万户，占全国企业总数的99.8%；中小企业创造的最终产品和服务的价值占我国GDP的58.5%，生产的商品占社会销售额的59%，上缴税收占48.2%，提供的城镇就业岗位已占到75%。中小企业在国民经济发展中所处的重要地位和作用已逐步显现。

随着在经济活动中扮演的角色越来越重要，中小企业对网络和信息技术的依赖程度也越来越强。据IDC（International Data Corperation）的一项调查数据显示，我国目前已有57.7%的 中小企业已经实施了信息化。从我国企业目前的信息安全现状来看，无论是软硬件系统本身，还是组织和管理方面，都存在着各种各样安全隐患，面临的威胁越来越 多样化和频繁化，攻击频率越来越高，我国企业信息安全问题十分严峻。面对严峻的信息安全安全形势，信息安全防护越来越受到企业的关注，很多企业开始在信息 安全管理上投入大量的人力、物力和财力。目前，国内大型企业由于企业信息化起步早、资金和相关技术力量充足、安全管理制度较为完善，因此信息安全体系成熟 度也相对较高，但是大部分中小企业的信息安全状况却十分令人担忧。

我国中小企业信息安全面临的主要威胁

由于管理、资金和技术等方面的原因，中小企业的安全问题一直隐患重重。中小企业的信息安全管理在安全性方面普遍存没有严格的规范和制度，存在着严重漏洞，人 员的素质和技术水平与大型企业相比，有较大的差距，所以在企业信息安全的内部脆弱性比大型企业存在更多的漏洞和不足。因为企业内部威胁也为外部威胁提供了 可能，在企业的信息安全的外部威胁上，中小企业更容易受到网络病毒的侵害。由于网络维护、运行、升级等事务性工作繁重而且成本较高，这也使得善于精打细算 的中小企业在信息安全管理问题上进退两难。中小企业用户的局域网一般来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少。这样的网络通常很 少甚至没有专门的管理员来维护网络的安全，这就给黑客和非法访问提供了可乘之机。

国内反病毒厂商江民科技进行了一项针对我国中小企业信息安全状况的调查，调查对象包括北京、广东、武汉等十余个城市的中小企业。报告显示全国有 78.04%的中小型企业信息安全中都存在威胁，仅有 21.96%的中小企业拥有良好的信息安全环境，在所有参与调查的企业中，有15.75%的企业信息安全中没有任何的防护措施，81.48%的企业只安装 了单机版杀毒软件，而网络版杀毒软件的使用率不到两成。

另外，由于资金、技术等方面的原因，大部分中小型企业并没有自己专职的信息安全管理员，对电脑软硬件的使用也几乎毫无管理措拖，这都使得中小型企业在网络管理的安全性方面存在严重漏洞，与大型企业、行业用户相比，更容易受到网络病毒的侵害，造成的损失同样严重。

1、内部威胁

企业信息系统不可避免地存在着多种脆弱性。这些脆弱性可能是人为故意制造的，也有可能是由于某些偶然因素造成的。偶然的脆弱性是指信息系统的软硬件、运行环 境、网络协议、安全策略或者操作规程等在规定、设计、开发或运行期间，由于非故意的失误而造成的漏洞和弱点。故意的脆弱性是有预谋的行为结果，根据有预谋 行为的动机，故意的脆弱性又可分为善意和恶意两种。信息系统有时可能因为善意的目的而存在故意脆弱性，例如：硬件设备厂商在设备出厂时会预设默认的管理该 设备的账号和密码，以供设备管理人员维护和使用，如果不对这种默认帐号和密码进行及时更改，就会被不法分子利用侵入信息系统。故意的脆弱性也可能因恶意目 的而形成，病毒和特洛伊木马就是两种恶意脆弱性的典型例子。按照脆弱性所处的位置，信息系统脆弱性可分为以下六类：

(1) 硬件脆弱性，指硬件设备中存在的漏洞和弱点，主要包括：硬件设备的电磁泄漏、电子设备之间相互电磁干扰、硬件温敏效应过大、存储介质的剩磁效应、硬件可靠 性故障以及有线通信介质易串音、架空明线载波辐射容易导致泄密、无线通信内容容易被截获和破译、无线通信设备容易被电子侦察技术侦察等等。信息系统硬件脆 弱性多来源于硬件的设计和设备材质本身的特性，这些脆弱性往往会导致物理安全方面的问题。

(2) 信息系统软件的脆弱性，指由软件规范、开发和配置过程中的错误所导致的漏洞。基于软件脆弱性的引入原因，软件脆弱性又可分为输入验证脆弱性、竞争条件脆弱性、访问验证脆弱性、配置错误脆弱性、意外情况处置脆弱性、环境错误脆弱性以及软件设计错误脆弱性等七类脆弱性。

(3) 网络通信协议脆弱性，指由于通信协议设计所导致的漏洞。基于TCP/IP 协议栈的因特网及其通信协议存在着不可忽略的脆弱性。TCP/IP 协议是在美国国防系统内部的互相信任的网络这一应用环境设计的，当其推广到全社会的应用环境之后，就会导致因信任假设条件不满足而产生的安全隐患。概括起 来，因特网协议具有以下几种重要的脆弱性：

1.用户身份鉴别脆弱性；

2.路由协议鉴别认证脆弱性；

3.TCP/UDP 脆弱性，如 TCP“三次握手”脆弱性，TCP连接初始序列号脆弱性，UDP 无连接控制脆弱性，以及 TCP/IP 应用服务协议脆弱性等等。

(4) 信息系统运行环境的脆弱性，办公室、湿控、电力、机房、照明、温控、防盗、防火、防雷、防震、防电磁辐射、抗电磁干扰等等设施，楼寓建筑结构及布线情况等方面，以及户外传输介质、公共网络区域等存在的漏洞和不足。

(5) 信息安全策略脆弱性，就是指与保护信息系统资源相关的法规、政策、制度和安全指导方针方面的不足，主要可以分为物理安全策略脆弱性、数据安全策略脆弱性以及人员安全策略脆弱性等等。

(6) 管理的脆弱性，就是信息系统在日常安全管理和应急措施方面的不足，根据ISO27001信息安全管理体系的标准，管理脆弱性又包括机构安全管理脆弱性、信 息资产控制管理脆弱性、人员安全管理脆弱性、物理与环境管理脆弱性、通信与操作安全管理脆弱性、系统开发和维护管理脆弱性以及业务连续性管理脆弱性等。

值得注意的是，脆弱性虽然是信息系统本身具有的，但它本身不会造成信息系统的损失，它只是一种可能被外部的攻击者利用而造成损失的一种条件或环境。如果没有相应的威胁发生，单纯的脆弱性并不会造成对信息系统的破坏。

2、外部威胁

二零一八年全国信息安全状况与计算机病毒调查中，二零一七年五月至二零一八年 五月，62.7%的被调查单位发生过信息网络安全事件，比去年减少3%。感染计算机病毒、蠕虫和木马程序的情况任然最为突出，其次是网络攻击、端口扫描、 垃圾邮件和网页篡改。在问及中小企业使用电脑时最头疼的问题时，33%的企业回答是总受病毒干扰；垃圾邮件，电子邮件是中国网民最常用的互联网功能之一， 特别是对一些中小企业来说，没有自己的邮件服务器，一般是租用网上邮箱，对垃圾邮件更是不胜其扰，产生许多信息安全隐患；恶意软件，很多上网电脑都会在未 被告知并经许可的情况下安装或者曾经安装了各类广告软件、间谍软件、浏览器劫持、恶意共享软件、行为记录软件或者恶作剧程序，有些间谍软件、行为记录软件 能够在用户不知情的情况下，在其电脑上安装后门，为黑客打开方便之门，造成了信息安全的严重隐患；入侵攻击，由于入侵者在网络上的入侵行为往往混杂于正常 的网络活动中，而且也没有地域和时间的限制，因而其隐蔽性很强，此外，入侵的手段和工具正趋向复杂化和多样化。

企业信息安全威胁主要包括内部和外部两个方面，其中内部威胁主要是指系统自身的脆弱性和内部人员的攻击，人的行为是内部威胁之源头。而人的因素，主要包括潜 在威胁者的动机及其专业技术水平。动机因素主要来源于经济、政治、个人情绪和其他因素。研究人的行为，规范人的行为，防范人的行为是抵御信息安全威胁的核 心。从企业角度来看，规范人的行为主要通过企业的组织制度和管理手段上来体现，因此，对于中小企业信息安全问题主要从企业的组织制度和管理方法来解决。同 时也不能忽视企业在信息安全技术上的投入，系统自身的缺陷和脆弱性是产生外部威胁的重要原因，因为中小企业的财力有限所有在信息系统自身的投入要以尽可能 低的成本保证信息系统的安全和可靠。

当今的中小企业与较大型的企 业组织一样，都开始广泛的利用信息化手段提升自身的竞争力。信息设施可以有效提高中小企业的运营效率，使中小企业可以更快速 的发展壮大。然而在获得这些利益的同时，给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体。虽然中小企 业的信息设施规模相对较小，但是其面临的安全威胁却并不比大型企业为少。我们下面就来看一看中小企业在信息安全方面的几点主要需求。

防范恶意攻击 

　　对于利用互联网接入来开展业务或者辅助工作的企业来说，骇客的恶意攻击行为无疑是 最令人头痛的问题之一。已有大量报道和统计资料显示企业正为形形色色的攻击行为付出高昂的代价，而这些被曝光的案例尚只是冰 山一角。

　　由于大多数企业担心公布这些信息会对自身形象造成负面影响，所以我们相信仍旧有大量的信息 安全事件没有为大众所知晓。而另一方面，因为很多企业没有精力处理频繁发生的攻击事件，甚至大部分由于恶意攻击造成的损失都 没有被正确估算。我们从一个侧面可以了解到目前恶意攻击已经演变到何等剧烈的程度，那就是现在企业对于骇客攻击所持的态度。

　　仅仅是几年前这些事件对于我们来说还是那么的遥远与神秘，而现在当网络发生问题时恶意攻击已经成为 一个主要的被怀疑对象了。在中小企业的信息环境里，攻击行为相对来说并不特别猛烈，或者说小型的信息设施相对较少受到有针对 性的、强度很大的攻击。但是，目前的中小企业所选用的软件产品存在着大量的安全漏洞，而针对这些漏洞的自动化攻击工具已经相 当的民间化了。

　　对于没有受到过滤保护的网络节点来说，每时每刻都要承受大量网络攻击的考验。即使这 些攻击是漫无目的的，但仍有很大可能突破那些疏于管理的计算机设施。从某种程度上来讲，这些不讲究策略的攻击者对中小企业的 安全威胁要更大一些。

　　计算机病毒这样的威胁更能体现这一问题。当下传播最为广泛的蠕虫类病毒和很多 攻击程序一样，利用系统的安全漏洞进行传播，而且并没有特定的感染目标。对于一些蠕虫病毒来说，在一个小时的时间里就可以轻 松的感染数以十万计的计算机。为了解决网络攻击方面的安全隐患，企业需要进行很多工作。

　　单纯的应用 安全防护产品是无法避免这类攻击行为的，企业还必须执行补丁管理等辅助的安全管理措施。在中小企业中，进行这些工作有很多先 天性的“阻碍”。资源不足、IT设施管理松散、员工行为随意性较强等问题给信息安全工作提出了很大的挑战。而作为应 对的不仅仅是企业单方面的意识提高，更适合中小企业实际情况的安全防御产品目前也存在着很大的空白。虽然近两年涌现的很多整 合式的信息安全设备在总体成本和易用性上提供了很多吸引中小企业的特性，但是还不足以解决目前中小企业在信息安全领域所遭受 的困境。

误用和滥用 

　　对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明 显的因果关系。因为我们探讨的信息安全问题并不仅仅包括骇客行为所带来的经济及非经济损失，只要对信息设施的运行造成障碍的 行为都能够被划归到信息安全范畴进行管理。

　　在很多时候，企业的员工都会因为某些不经意的行为对企业 的信息资产造成破坏。尤其是在中小企业中，企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对 企业信息资产做出鉴别。从更高的层次来分析，中小企业尚无法将信息安全的理念融入到企业的整体经营理念中，这导致了企业的信 息管理中存在着大量的安全盲点和误区。

　　这类问题使得信息安全厂商不得不频繁重申服务对于信息安全业 务的重要性。这既可以看作是国内信息安全产业一种进步的表现，同时又体现出我们在信息安全理念建设方面的巨大差距。好在除了 供应商之外，用户也已经深刻的认识到同样的问题，相信经过广泛的培训和教育，这种现状可以被很好的改善。

　　除了对信息设施的错误使用之外，滥用的问题在近一段时间表现的更为突出一些，并且由于滥用问题更加模糊和难以界定 ，使企业在处理类似问题的时候颇显捉襟见肘。虽然近年来被广泛关注的P2P传输问题并不是一个典型的信息安全问题，但由于这些传 输流量常常严重干扰企业的正常通信流量而且也存在着一些泄漏企业信息的风险，所以这确实是信息设施滥用问题的一个较好的示例 。

　　从技术的角度处理P2P传输问题并没有太大的难度，但是面对员工权利和隐私等方面的争论，企业对P2P 传输的管理问题已经上升到了道德问题的层次。在中小企业里，由于制度化管理方面的相对弱化，在处理信息设施滥用乃至误用问题 的时候会加倍艰难。这也是在中小企业环境中实施信息安全所迫切需要解决的问题。

总结 

　　综合上述的问题，中小企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间 的发展，中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础 之上，对于信息安全的需求也会迅速的成长。我们所热切希望的就是，在这种需求产生爆炸性膨胀的前夕，所有的厂商都准备好了足 够的武器去赢得这场战争。