中小企业信息安全现状篇

据2004年最新统计资料，中小企业占据了我国总体企业比重的99%以上，并且有50%左右的国民生产总值都来自中小企业，可见中小企业已成为我国经济体系中不可缺少的一个组成部分。但是中小企业的信息化水平目前仍处于一个非常落后的地位，而针对信息安全的投入，更是存在着相当大的空白。在知识经济时代，伴随着中小企业求发展的强烈需要，如何更好的保护和管理自身的信息资产，正成为一个严峻的挑战，特别是随着近年来企业互联网接入率节节攀高，安全事件的发生率也开始呈现出一种大幅度增长的态势，信息安全问题正在成为企业信息化进程中急待解决的问题。在规模相对更小、资源相对更少的中小型企业，在面对信息安全问题时也面临着更多的困难，我们首先来探讨一下中小企业信息安全方面所存在的问题。

一． 中小企业安全意识普遍薄弱

中小企业相对大型企业来说，信息资产方面的积累相对较为薄弱，并且很多时候这种积累并非企业的有意识行为，所以在正常的信息化应用情况下，往往会忽视对自己信息资产的保护，而只有在信息资产受到破坏，形成了实际的经济及附加损失的情况下，才会开始意识和重视这一方面的问题，也即中小企业存在着待保护资产价值相对较低以及由此衍生的信息资产难以清晰界定的问题，可以说，这种中小企业的信息资产管理现状，是造成中小企业信息安全问题的主要内因之一。受文化环境等综合因素的影响，国人往往对于安全防范存在一种惰性和漠视，而联系到实际，中小企业员工甚至管理者普遍都存在着安全意识薄弱的问题，例如我们举一个很常见的例子，在实施信息安全项目的过程中，经常可以遇到企业员工安装公司不允许使用的软件、中止安装在自己PC上的安全产品客户端等诸如此类的事件，造成这些问题的原因是多种多样的，一些最常见的理由如：我需要这个软件完成我的工作、我需要机器的速度更快一些等等，但其实发生这种情况的最核心因素，是这些员工没有足够的信息安全意识，他们往往因为自己的便利而违反信息安全规章，也往往意识不到，因为自己的这种行为，会将其他同事乃至整个公司的信息资产推向危险的境地。这给我们一个最重要的启示：安全设施的建立只是企业信息安全的第一步，如何在构建完成的安全体系中有效彻底的贯彻事先制订的信息安全策略以及不断深化企业的全员信息安全意识将处于更加重要的地位。要达到这样的目标，需要企业决策层的大力支持、定期实施安全培训教育以及定期评估和调整安全政策，这样才能保证企业安全体系处于应有的健康状态。

二． 投入能力相对较差

中小企业的资金状态，决定了其信息化投入遇到的限制相对较多。企业相对紧缩的资金，往往要优先投入到直接促进公司业绩增长的方向，而无形中就回避了信息资产所面临的巨大风险；特别是在当下，越来越多的企业业务与互联网发生密切的联系，甚至很多企业的业务完全建立在互联网之上，以平均不到企业总收入1%的信息安全投入，如何能保障这些业务的正常运行？虽然中小企业不可能动辄拿出几十万乃至上百万的资金用于信息安全系统建设，但还是应该针对自身情况，尽可能使投入比例接近常规，至少应该使核心信息资产的防护得到保证，从实际情况来讲，在良好的安全理念指导下，进行细致的规划和评估，通过适当的投入也是可以达到较好的整体效果的，因为毕竟在中小企业的应用情境下，防御广度是相对容易控制的；其实这个现实情况也对信息安全产品厂商提出了更高的要求，虽然目前信息安全产品的价格正在以比较快的速度下降，在市场上也出现了很多廉价的产品，但这些产品的价格下调除了可以归因于正常的产品生命周期变化，其对性能或者说功能的牺牲也是不可排除的一个因素，例如说，几年前购置一款硬件防火墙少说要几万元，而现在各个厂商的产品线里基本都包含了千元级的产品，这种产品的性能应付工作组级计算环境绰绰有余，基础功能也得到了很好的实现，从这个方面看似乎能够大大缓解中小企业的需要，但从实际应用的角度，单纯的在性能和功能上进行削减并不是完美的解决方式，中小企业对信息安全产品的要求也不是简约版产品这么简单，在达到基本性能和功能要求的基础之上，还需要充分发掘中小企业的应用方式及习惯，设计出体现其规律和特点的真正适合中小企业的产品，才能从根本上满足中小企业信息安全需求。另外，不得不重申的是，购置产品仅仅只是企业信息安全工作的步骤之一，我们不能只将眼光放在产品的选择上，相关的安全政策制订、培训计划的选择和实施等问题同样是信息安全投入不可或缺的组成部分，这些“软性投入”对企业信息安全的影响往往更加深远，也更加需要企业决策者仔细考量，因为在投入受限的情况下，往往会造成决策层只注重硬件设施投入而不注重管理实施的开展，以及将有限的投入花费在局部问题上，造成信息安全“短板效应”，从而无法保证信息安全设施的完整性，最终造成信息安全实施的失败。

三． 技术力量匮乏

客观的说，信息安全领域的知识和技能在IT领域应可归类于高阶层面，因为信息安全从业人员不只纵向上要对各项工作有精深的理解，横向上还需要对信息系统的整体逻辑乃至企业的业务逻辑有丰富的认知，特别是在经验上往往有相当高的要求，这从很大程度上造成了中小企业很难具备足够的技术力量来保障信息安全设施的运转；其实抛开信息安全技术力量储备不论，即使是应用层面的信息技术力量，在中小企业中也经常出现不敷使用的状况，很多较大规模的中型企业，也只能做到保证有专人负责信息化工作而已，而愈向更小规模的企业探究，愈会发现这种技术力量不足的情况所造成影响，而且在没有专职信息技术人员的情况下，信息化事务所需要的时间和资源往往与公司业务运营发生正面冲突，使实际情况更趋恶化，而且这个问题往往会造成连带反应，即信息安全专业人员的缺乏，既造成了信息安全理念的传播无法形成内部源头，也导致了在评估投入时难于做出正确决策。

以上描述的问题是中小企业在实施信息安全项目时面临的主要问题，这些问题从很大程度上提高了对信息安全服务供应商的要求，服务商必须在实施过程中充分考虑到中小企业的现实状况，在调查和分析素材的时候对企业的信息化素质有足够的认识，除了为企业设计适合实际情况的产品解决方案之外，也要投入大量的精力在安全策略的施行及安全教育的开展方面，这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。

   在该连载的下一篇中，我们会将重心放在提供信息安全实施的流程和框架内容上，并结合中小企业的实际情况和我们以上讨论的问题做相应的说明。