我國中小企業(yè)信息安全管理的現(xiàn)狀和原因分析
中小企業(yè)在我國經(jīng)濟發(fā)展中占有十分重要的地位，在20世紀90年 代以來的經(jīng)濟快速增長中，超過76%工業(yè)新增產值的以上是由中小企業(yè)創(chuàng)造的，我國中小企業(yè)總產值和實現(xiàn)利稅已分別約占全國的60%和40%，在近幾年的出 口總額中約占60%。與此同時，中小企業(yè)還提供了大約75%的城鎮(zhèn)就業(yè)機會，特別是近年來經(jīng)濟結構調整和國有企業(yè)改組力度加大，中小企業(yè)吸納就業(yè)的作用更 加明顯。
截止二零零六年十月底，我國中小企業(yè)數(shù)已達到4200多萬戶，占全國企業(yè)總數(shù)的99.8%；中小企業(yè)創(chuàng)造的最終產品和服務的價值占我國GDP的58.5%，生產的商品占社會銷售額的59%，上繳稅收占48.2%，提供的城鎮(zhèn)就業(yè)崗位已占到75%。中小企業(yè)在國民經(jīng)濟發(fā)展中所處的重要地位和作用已逐步顯現(xiàn)。
隨著在經(jīng)濟活動中扮演的角色越來越重要，中小企業(yè)對網(wǎng)絡和信息技術的依賴程度也越來越強。據(jù)IDC（International Data Corperation）的一項調查數(shù)據(jù)顯示，我國目前已有57.7%的 中小企業(yè)已經(jīng)實施了信息化。從我國企業(yè)目前的信息安全現(xiàn)狀來看，無論是軟硬件系統(tǒng)本身，還是組織和管理方面，都存在著各種各樣安全隱患，面臨的威脅越來越 多樣化和頻繁化，攻擊頻率越來越高，我國企業(yè)信息安全問題十分嚴峻。面對嚴峻的信息安全安全形勢，信息安全防護越來越受到企業(yè)的關注，很多企業(yè)開始在信息 安全管理上投入大量的人力、物力和財力。目前，國內大型企業(yè)由于企業(yè)信息化起步早、資金和相關技術力量充足、安全管理制度較為完善，因此信息安全體系成熟 度也相對較高，但是大部分中小企業(yè)的信息安全狀況卻十分令人擔憂。
我國中小企業(yè)信息安全面臨的主要威脅
由于管理、資金和技術等方面的原因，中小企業(yè)的安全問題一直隱患重重。中小企業(yè)的信息安全管理在安全性方面普遍存沒有嚴格的規(guī)范和制度，存在著嚴重漏洞，人 員的素質和技術水平與大型企業(yè)相比，有較大的差距，所以在企業(yè)信息安全的內部脆弱性比大型企業(yè)存在更多的漏洞和不足。因為企業(yè)內部威脅也為外部威脅提供了 可能，在企業(yè)的信息安全的外部威脅上，中小企業(yè)更容易受到網(wǎng)絡病毒的侵害。由于網(wǎng)絡維護、運行、升級等事務性工作繁重而且成本較高，這也使得善于精打細算 的中小企業(yè)在信息安全管理問題上進退兩難。中小企業(yè)用戶的局域網(wǎng)一般來說網(wǎng)絡結構不太復雜，主機數(shù)量不太多，服務器提供的服務相對較少。這樣的網(wǎng)絡通常很 少甚至沒有專門的管理員來維護網(wǎng)絡的安全，這就給黑客和非法訪問提供了可乘之機。
國內反病毒廠商江民科技進行了一項針對我國中小企業(yè)信息安全狀況的調查，調查對象包括北京、廣東、武漢等十余個城市的中小企業(yè)。報告顯示全國有 78.04%的中小型企業(yè)信息安全中都存在威脅，僅有 21.96%的中小企業(yè)擁有良好的信息安全環(huán)境，在所有參與調查的企業(yè)中，有15.75%的企業(yè)信息安全中沒有任何的防護措施，81.48%的企業(yè)只安裝 了單機版殺毒軟件，而網(wǎng)絡版殺毒軟件的使用率不到兩成。
另外，由于資金、技術等方面的原因，大部分中小型企業(yè)并沒有自己專職的信息安全管理員，對電腦軟硬件的使用也幾乎毫無管理措拖，這都使得中小型企業(yè)在網(wǎng)絡管理的安全性方面存在嚴重漏洞，與大型企業(yè)、行業(yè)用戶相比，更容易受到網(wǎng)絡病毒的侵害，造成的損失同樣嚴重。
1、內部威脅
企業(yè)信息系統(tǒng)不可避免地存在著多種脆弱性。這些脆弱性可能是人為故意制造的，也有可能是由于某些偶然因素造成的。偶然的脆弱性是指信息系統(tǒng)的軟硬件、運行環(huán) 境、網(wǎng)絡協(xié)議、安全策略或者操作規(guī)程等在規(guī)定、設計、開發(fā)或運行期間，由于非故意的失誤而造成的漏洞和弱點。故意的脆弱性是有預謀的行為結果，根據(jù)有預謀 行為的動機，故意的脆弱性又可分為善意和惡意兩種。信息系統(tǒng)有時可能因為善意的目的而存在故意脆弱性，例如：硬件設備廠商在設備出廠時會預設默認的管理該 設備的賬號和密碼，以供設備管理人員維護和使用，如果不對這種默認帳號和密碼進行及時更改，就會被不法分子利用侵入信息系統(tǒng)。故意的脆弱性也可能因惡意目 的而形成，病毒和特洛伊木馬就是兩種惡意脆弱性的典型例子。按照脆弱性所處的位置，信息系統(tǒng)脆弱性可分為以下六類：
(1) 硬件脆弱性，指硬件設備中存在的漏洞和弱點，主要包括：硬件設備的電磁泄漏、電子設備之間相互電磁干擾、硬件溫敏效應過大、存儲介質的剩磁效應、硬件可靠 性故障以及有線通信介質易串音、架空明線載波輻射容易導致泄密、無線通信內容容易被截獲和破譯、無線通信設備容易被電子偵察技術偵察等等。信息系統(tǒng)硬件脆 弱性多來源于硬件的設計和設備材質本身的特性，這些脆弱性往往會導致物理安全方面的問題。
(2) 信息系統(tǒng)軟件的脆弱性，指由軟件規(guī)范、開發(fā)和配置過程中的錯誤所導致的漏洞?；谲浖嗳跣缘囊朐?，軟件脆弱性又可分為輸入驗證脆弱性、競爭條件脆弱性、訪問驗證脆弱性、配置錯誤脆弱性、意外情況處置脆弱性、環(huán)境錯誤脆弱性以及軟件設計錯誤脆弱性等七類脆弱性。
(3) 網(wǎng)絡通信協(xié)議脆弱性，指由于通信協(xié)議設計所導致的漏洞?；赥CP/IP 協(xié)議棧的因特網(wǎng)及其通信協(xié)議存在著不可忽略的脆弱性。TCP/IP 協(xié)議是在美國國防系統(tǒng)內部的互相信任的網(wǎng)絡這一應用環(huán)境設計的，當其推廣到全社會的應用環(huán)境之后，就會導致因信任假設條件不滿足而產生的安全隱患。概括起 來，因特網(wǎng)協(xié)議具有以下幾種重要的脆弱性：1.用戶身份鑒別脆弱性；2.路由協(xié)議鑒別認證脆弱性；3.TCP/UDP 脆弱性，如 TCP“三次握手”脆弱性，TCP連接初始序列號脆弱性，UDP 無連接控制脆弱性，以及 TCP/IP 應用服務協(xié)議脆弱性等等。
(4) 信息系統(tǒng)運行環(huán)境的脆弱性，辦公室、濕控、電力、機房、照明、溫控、防盜、防火、防雷、防震、防電磁輻射、抗電磁干擾等等設施，樓寓建筑結構及布線情況等方面，以及戶外傳輸介質、公共網(wǎng)絡區(qū)域等存在的漏洞和不足。
(5) 信息安全策略脆弱性，就是指與保護信息系統(tǒng)資源相關的法規(guī)、政策、制度和安全指導方針方面的不足，主要可以分為物理安全策略脆弱性、數(shù)據(jù)安全策略脆弱性以及人員安全策略脆弱性等等。
(6) 管理的脆弱性，就是信息系統(tǒng)在日常安全管理和應急措施方面的不足，根據(jù)ISO27001信息安全管理體系的標準，管理脆弱性又包括機構安全管理脆弱性、信 息資產控制管理脆弱性、人員安全管理脆弱性、物理與環(huán)境管理脆弱性、通信與操作安全管理脆弱性、系統(tǒng)開發(fā)和維護管理脆弱性以及業(yè)務連續(xù)性管理脆弱性等。
值得注意的是，脆弱性雖然是信息系統(tǒng)本身具有的，但它本身不會造成信息系統(tǒng)的損失，它只是一種可能被外部的攻擊者利用而造成損失的一種條件或環(huán)境。如果沒有相應的威脅發(fā)生，單純的脆弱性并不會造成對信息系統(tǒng)的破壞。
2、外部威脅
二零零八年全國信息安全狀況與計算機病毒調查中，二零零七年五月至二零零八年 五月，62.7%的被調查單位發(fā)生過信息網(wǎng)絡安全事件，比去年減少3%。感染計算機病毒、蠕蟲和木馬程序的情況任然最為突出，其次是網(wǎng)絡攻擊、端口掃描、 垃圾郵件和網(wǎng)頁篡改。在問及中小企業(yè)使用電腦時最頭疼的問題時，33%的企業(yè)回答是總受病毒干擾；垃圾郵件，電子郵件是中國網(wǎng)民最常用的互聯(lián)網(wǎng)功能之一， 特別是對一些中小企業(yè)來說，沒有自己的郵件服務器，一般是租用網(wǎng)上郵箱，對垃圾郵件更是不勝其擾，產生許多信息安全隱患；惡意軟件，很多上網(wǎng)電腦都會在未 被告知并經(jīng)許可的情況下安裝或者曾經(jīng)安裝了各類廣告軟件、間諜軟件、瀏覽器劫持、惡意共享軟件、行為記錄軟件或者惡作劇程序，有些間諜軟件、行為記錄軟件 能夠在用戶不知情的情況下，在其電腦上安裝后門，為黑客打開方便之門，造成了信息安全的嚴重隱患；入侵攻擊，由于入侵者在網(wǎng)絡上的入侵行為往往混雜于正常 的網(wǎng)絡活動中，而且也沒有地域和時間的限制，因而其隱蔽性很強，此外，入侵的手段和工具正趨向復雜化和多樣化。
企業(yè)信息安全威脅主要包括內部和外部兩個方面，其中內部威脅主要是指系統(tǒng)自身的脆弱性和內部人員的攻擊，人的行為是內部威脅之源頭。而人的因素，主要包括潛 在威脅者的動機及其專業(yè)技術水平。動機因素主要來源于經(jīng)濟、政治、個人情緒和其他因素。研究人的行為，規(guī)范人的行為，防范人的行為是抵御信息安全威脅的核 心。從企業(yè)角度來看，規(guī)范人的行為主要通過企業(yè)的組織制度和管理手段上來體現(xiàn)，因此，對于中小企業(yè)信息安全問題主要從企業(yè)的組織制度和管理方法來解決。同 時也不能忽視企業(yè)在信息安全技術上的投入，系統(tǒng)自身的缺陷和脆弱性是產生外部威脅的重要原因，因為中小企業(yè)的財力有限所有在信息系統(tǒng)自身的投入要以盡可能 低的成本保證信息系統(tǒng)的安全和可靠。


實施ISO9001:2008的7種效益
BSCI認證費用及流程
日本商標轉讓流程有哪些？
如何組織OHSAS18001職業(yè)健康安全管理體系內部審核
去哪可以代辦ISO三體系認證需要多少錢
ISO22163認證一般多少錢
ISO質量體系標準是什么？
本地的iso9001認證哪里找？本地的iso9001認證找哪家？