我國中小企業信息安全管理的現狀和原因分析
中小企業在我國經濟發展中占有十分重要的地位,在20世紀90年 代以來的經濟快速增長中,超過76%工業新增產值的以上是由中小企業創造的,我國中小企業總產值和實現利稅已分別約占全國的60%和40%,在近幾年的出 口總額中約占60%。與此同時,中小企業還提供了大約75%的城鎮就業機會,特別是近年來經濟結構調整和國有企業改組力度加大,中小企業吸納就業的作用更 加明顯。
截止二零零六年十月底,我國中小企業數已達到4200多萬戶,占全國企業總數的99.8%;中小企業創造的最終產品和服務的價值占我國GDP的58.5%,生產的商品占社會銷售額的59%,上繳稅收占48.2%,提供的城鎮就業崗位已占到75%。中小企業在國民經濟發展中所處的重要地位和作用已逐步顯現。
隨著在經濟活動中扮演的角色越來越重要,中小企業對網絡和信息技術的依賴程度也越來越強。據IDC(International Data Corperation)的一項調查數據顯示,我國目前已有57.7%的 中小企業已經實施了信息化。從我國企業目前的信息安全現狀來看,無論是軟硬件系統本身,還是組織和管理方面,都存在著各種各樣安全隱患,面臨的威脅越來越 多樣化和頻繁化,攻擊頻率越來越高,我國企業信息安全問題十分嚴峻。面對嚴峻的信息安全安全形勢,信息安全防護越來越受到企業的關注,很多企業開始在信息 安全管理上投入大量的人力、物力和財力。目前,國內大型企業由于企業信息化起步早、資金和相關技術力量充足、安全管理制度較為完善,因此信息安全體系成熟 度也相對較高,但是大部分中小企業的信息安全狀況卻十分令人擔憂。
我國中小企業信息安全面臨的主要威脅
由于管理、資金和技術等方面的原因,中小企業的安全問題一直隱患重重。中小企業的信息安全管理在安全性方面普遍存沒有嚴格的規范和制度,存在著嚴重漏洞,人 員的素質和技術水平與大型企業相比,有較大的差距,所以在企業信息安全的內部脆弱性比大型企業存在更多的漏洞和不足。因為企業內部威脅也為外部威脅提供了 可能,在企業的信息安全的外部威脅上,中小企業更容易受到網絡病毒的侵害。由于網絡維護、運行、升級等事務性工作繁重而且成本較高,這也使得善于精打細算 的中小企業在信息安全管理問題上進退兩難。中小企業用戶的局域網一般來說網絡結構不太復雜,主機數量不太多,服務器提供的服務相對較少。這樣的網絡通常很 少甚至沒有專門的管理員來維護網絡的安全,這就給黑客和非法訪問提供了可乘之機。
國內反病毒廠商江民科技進行了一項針對我國中小企業信息安全狀況的調查,調查對象包括北京、廣東、武漢等十余個城市的中小企業。報告顯示全國有 78.04%的中小型企業信息安全中都存在威脅,僅有 21.96%的中小企業擁有良好的信息安全環境,在所有參與調查的企業中,有15.75%的企業信息安全中沒有任何的防護措施,81.48%的企業只安裝 了單機版殺毒軟件,而網絡版殺毒軟件的使用率不到兩成。
另外,由于資金、技術等方面的原因,大部分中小型企業并沒有自己專職的信息安全管理員,對電腦軟硬件的使用也幾乎毫無管理措拖,這都使得中小型企業在網絡管理的安全性方面存在嚴重漏洞,與大型企業、行業用戶相比,更容易受到網絡病毒的侵害,造成的損失同樣嚴重。
1、內部威脅
企業信息系統不可避免地存在著多種脆弱性。這些脆弱性可能是人為故意制造的,也有可能是由于某些偶然因素造成的。偶然的脆弱性是指信息系統的軟硬件、運行環 境、網絡協議、安全策略或者操作規程等在規定、設計、開發或運行期間,由于非故意的失誤而造成的漏洞和弱點。故意的脆弱性是有預謀的行為結果,根據有預謀 行為的動機,故意的脆弱性又可分為善意和惡意兩種。信息系統有時可能因為善意的目的而存在故意脆弱性,例如:硬件設備廠商在設備出廠時會預設默認的管理該 設備的賬號和密碼,以供設備管理人員維護和使用,如果不對這種默認帳號和密碼進行及時更改,就會被不法分子利用侵入信息系統。故意的脆弱性也可能因惡意目 的而形成,病毒和特洛伊木馬就是兩種惡意脆弱性的典型例子。按照脆弱性所處的位置,信息系統脆弱性可分為以下六類:
(1) 硬件脆弱性,指硬件設備中存在的漏洞和弱點,主要包括:硬件設備的電磁泄漏、電子設備之間相互電磁干擾、硬件溫敏效應過大、存儲介質的剩磁效應、硬件可靠 性故障以及有線通信介質易串音、架空明線載波輻射容易導致泄密、無線通信內容容易被截獲和破譯、無線通信設備容易被電子偵察技術偵察等等。信息系統硬件脆 弱性多來源于硬件的設計和設備材質本身的特性,這些脆弱性往往會導致物理安全方面的問題。
(2) 信息系統軟件的脆弱性,指由軟件規范、開發和配置過程中的錯誤所導致的漏洞。基于軟件脆弱性的引入原因,軟件脆弱性又可分為輸入驗證脆弱性、競爭條件脆弱性、訪問驗證脆弱性、配置錯誤脆弱性、意外情況處置脆弱性、環境錯誤脆弱性以及軟件設計錯誤脆弱性等七類脆弱性。
(3) 網絡通信協議脆弱性,指由于通信協議設計所導致的漏洞。基于TCP/IP 協議棧的因特網及其通信協議存在著不可忽略的脆弱性。TCP/IP 協議是在美國國防系統內部的互相信任的網絡這一應用環境設計的,當其推廣到全社會的應用環境之后,就會導致因信任假設條件不滿足而產生的安全隱患。概括起 來,因特網協議具有以下幾種重要的脆弱性:1.用戶身份鑒別脆弱性;2.路由協議鑒別認證脆弱性;3.TCP/UDP 脆弱性,如 TCP“三次握手”脆弱性,TCP連接初始序列號脆弱性,UDP 無連接控制脆弱性,以及 TCP/IP 應用服務協議脆弱性等等。
(4) 信息系統運行環境的脆弱性,辦公室、濕控、電力、機房、照明、溫控、防盜、防火、防雷、防震、防電磁輻射、抗電磁干擾等等設施,樓寓建筑結構及布線情況等方面,以及戶外傳輸介質、公共網絡區域等存在的漏洞和不足。
(5) 信息安全策略脆弱性,就是指與保護信息系統資源相關的法規、政策、制度和安全指導方針方面的不足,主要可以分為物理安全策略脆弱性、數據安全策略脆弱性以及人員安全策略脆弱性等等。
(6) 管理的脆弱性,就是信息系統在日常安全管理和應急措施方面的不足,根據ISO27001信息安全管理體系的標準,管理脆弱性又包括機構安全管理脆弱性、信 息資產控制管理脆弱性、人員安全管理脆弱性、物理與環境管理脆弱性、通信與操作安全管理脆弱性、系統開發和維護管理脆弱性以及業務連續性管理脆弱性等。
值得注意的是,脆弱性雖然是信息系統本身具有的,但它本身不會造成信息系統的損失,它只是一種可能被外部的攻擊者利用而造成損失的一種條件或環境。如果沒有相應的威脅發生,單純的脆弱性并不會造成對信息系統的破壞。
2、外部威脅
二零零八年全國信息安全狀況與計算機病毒調查中,二零零七年五月至二零零八年 五月,62.7%的被調查單位發生過信息網絡安全事件,比去年減少3%。感染計算機病毒、蠕蟲和木馬程序的情況任然最為突出,其次是網絡攻擊、端口掃描、 垃圾郵件和網頁篡改。在問及中小企業使用電腦時最頭疼的問題時,33%的企業回答是總受病毒干擾;垃圾郵件,電子郵件是中國網民最常用的互聯網功能之一, 特別是對一些中小企業來說,沒有自己的郵件服務器,一般是租用網上郵箱,對垃圾郵件更是不勝其擾,產生許多信息安全隱患;惡意軟件,很多上網電腦都會在未 被告知并經許可的情況下安裝或者曾經安裝了各類廣告軟件、間諜軟件、瀏覽器劫持、惡意共享軟件、行為記錄軟件或者惡作劇程序,有些間諜軟件、行為記錄軟件 能夠在用戶不知情的情況下,在其電腦上安裝后門,為黑客打開方便之門,造成了信息安全的嚴重隱患;入侵攻擊,由于入侵者在網絡上的入侵行為往往混雜于正常 的網絡活動中,而且也沒有地域和時間的限制,因而其隱蔽性很強,此外,入侵的手段和工具正趨向復雜化和多樣化。
企業信息安全威脅主要包括內部和外部兩個方面,其中內部威脅主要是指系統自身的脆弱性和內部人員的攻擊,人的行為是內部威脅之源頭。而人的因素,主要包括潛 在威脅者的動機及其專業技術水平。動機因素主要來源于經濟、政治、個人情緒和其他因素。研究人的行為,規范人的行為,防范人的行為是抵御信息安全威脅的核 心。從企業角度來看,規范人的行為主要通過企業的組織制度和管理手段上來體現,因此,對于中小企業信息安全問題主要從企業的組織制度和管理方法來解決。同 時也不能忽視企業在信息安全技術上的投入,系統自身的缺陷和脆弱性是產生外部威脅的重要原因,因為中小企業的財力有限所有在信息系統自身的投入要以盡可能 低的成本保證信息系統的安全和可靠。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
