我國(guó)中小企業(yè)信息安全管理的現(xiàn)狀和原因分析

　　中小企業(yè)在我國(guó)經(jīng)濟(jì)發(fā)展中占有十分重要的地位,，在20世紀(jì)90年代以來(lái)的經(jīng)濟(jì)快速增長(zhǎng)中，超過(guò)76%工業(yè)新增產(chǎn)值的以上是由中小企業(yè)創(chuàng)造的,，我國(guó)中小企業(yè)總產(chǎn)值和實(shí)現(xiàn)利稅已分別約占全國(guó)的60%和40%,，在近幾年的出口總額中約占60%。與此同時(shí),，中小企業(yè)還提供了大約75%的城鎮(zhèn)就業(yè)機(jī)會(huì),，特別是近年來(lái)經(jīng)濟(jì)結(jié)構(gòu)調(diào)整和國(guó)有企業(yè)改組力度加大,，中小企業(yè)吸納就業(yè)的作用更加明顯,。

　　截止二零零六年十月底，我國(guó)中小企業(yè)數(shù)已達(dá)到4200多萬(wàn)戶,，占全國(guó)企業(yè)總數(shù)的99.8%,；中小企業(yè)創(chuàng)造的最終產(chǎn)品和服務(wù)的價(jià)值占我國(guó)GDP的58.5%，生產(chǎn)的商品占社會(huì)銷售額的59%,，上繳稅收占48.2%,，提供的城鎮(zhèn)就業(yè)崗位已占到75%。中小企業(yè)在國(guó)民經(jīng)濟(jì)發(fā)展中所處的重要地位和作用已逐步顯現(xiàn),。

　　隨著在經(jīng)濟(jì)活動(dòng)中扮演的角色越來(lái)越重要,，中小企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴程度也越來(lái)越強(qiáng),。據(jù) IDC（International Data Corperation）的一項(xiàng)調(diào)查數(shù)據(jù)顯示，我國(guó)目前已有57.7%的中小企業(yè)已經(jīng)實(shí)施了信息化,。從我國(guó)企業(yè)目前的信息安全現(xiàn)狀來(lái)看,，無(wú)論是軟硬件系統(tǒng)本身，還是組織和管理方面,，都存在著各種各樣 安全隱患,，面臨的威脅越來(lái)越多樣化和頻繁化，攻擊頻率越來(lái)越高,，我國(guó)企業(yè)信息安全問(wèn)題十分嚴(yán)峻,。面對(duì)嚴(yán)峻的信息安全形勢(shì)，信息安全防護(hù)越來(lái)越受到企業(yè)的關(guān)注,，很多企業(yè)開始在信息安全管理上投入大量的人力,、 物力和財(cái)力。目前,，國(guó)內(nèi)大型企業(yè)由于企業(yè)信息化起步早,、資金和相關(guān)技術(shù)力量充足、安全管理制度較為完善,， 因此信息安全體系成熟度也相對(duì)較高,，但是大部分中小企業(yè)的信息安全狀況卻十分令人擔(dān)憂。

　　我國(guó)中小企業(yè)信息安全面臨的主要威脅

　　由于管理,、資金和技術(shù)等方面的原因,，中小企業(yè)的安全問(wèn)題一直隱患重重。中小企業(yè)的信息安全管理在安全 性方面普遍沒有嚴(yán)格的規(guī)范和制度,，存在著嚴(yán)重漏洞,，人員的素質(zhì)和技術(shù)水平與大型企業(yè)相比，有較大的差 距,，所以在企業(yè)信息安全的內(nèi)部脆弱性比大型企業(yè)存在更多的漏洞和不足,。因?yàn)槠髽I(yè)內(nèi)部威脅也為外部威脅提供了可能，在企業(yè)的信息安全的外部威脅上,，中小企業(yè)更容易受到網(wǎng)絡(luò)病毒的侵害,。由于網(wǎng)絡(luò)維護(hù)、運(yùn)行,、升級(jí)等 事務(wù)性工作繁重而且成本較高,，這也使得善于精打細(xì)算的中小企業(yè)在信息安全管理問(wèn)題上進(jìn)退兩難。中小企業(yè)用 戶的局域網(wǎng)一般來(lái)說(shuō)網(wǎng)絡(luò)結(jié)構(gòu)不太復(fù)雜,，主機(jī)數(shù)量不太多,，服務(wù)器提供的服務(wù)相對(duì)較少。這樣的網(wǎng)絡(luò)通常很少甚 至沒有專門的管理員來(lái)維護(hù)網(wǎng)絡(luò)的安全,，這就給黑客和非法訪問(wèn)提供了可乘之機(jī),。

　　國(guó)內(nèi)反病毒廠商江民科技進(jìn)行了一項(xiàng)針對(duì)我國(guó)中小企業(yè)信息安全狀況的調(diào)查,，調(diào)查對(duì)象包括北京、廣東,、武 漢等十余個(gè)城市的中小企業(yè),。報(bào)告顯示全國(guó)有 78.04%的中小型企業(yè)信息安全中都存在威脅，僅有21.96%的中小企業(yè)擁有良好的信息安全環(huán)境,，在所有參與調(diào)查的企業(yè)中,，有15.75%的企業(yè)信息安全中沒有任何的防護(hù)措施， 81.48%的企業(yè)只安裝了單機(jī)版殺毒軟件,，而網(wǎng)絡(luò)版殺毒軟件的使用率不到兩成,。

　　另外，由于資金,、技術(shù)等方面的原因,，大部分中小型企業(yè)并沒有自己專職的信息安全管理員，對(duì)電腦軟硬件的使用也幾乎毫無(wú)管理措拖,，這都使得中小型企業(yè)在網(wǎng)絡(luò)管理的安全性方面存在嚴(yán)重漏洞,，與大型企業(yè)、行業(yè)用戶相比,，更容易受到網(wǎng)絡(luò)病毒的侵害,，造成的損失同樣嚴(yán)重。

　　1,、內(nèi)部威脅

　　企業(yè)信息系統(tǒng)不可避免地存在著多種脆弱性,。這些脆弱性可能是人為故意制造的，也有可能是由于某些偶然 因素造成的,。偶然的脆弱性是指信息系統(tǒng)的軟硬件,、運(yùn)行環(huán)境、網(wǎng)絡(luò)協(xié)議,、安全策略或者操作規(guī)程等在規(guī)定,、設(shè)計(jì)、開發(fā)或運(yùn)行期間,，由于非故意的失誤而造成的漏洞和弱點(diǎn),。故意的脆弱性是有預(yù)謀的行為結(jié)果，根據(jù)有預(yù)謀 行為的動(dòng)機(jī),，故意的脆弱性又可分為善意和惡意兩種,。信息系統(tǒng)有時(shí)可能因?yàn)樯埔獾哪康亩嬖诠室獯嗳跣?，例如：硬件設(shè)備廠商在設(shè)備出廠時(shí)會(huì)預(yù)設(shè)默認(rèn)的管理該設(shè)備的賬號(hào)和密碼,，以供設(shè)備管理人員維護(hù)和使用，如果不對(duì)這種默認(rèn)帳號(hào)和密碼進(jìn)行及時(shí)更改,，就會(huì)被不法分子利用侵入信息系統(tǒng),。故意的脆弱性也可能因惡意目的而形成,，病毒和特洛伊木馬就是兩種惡意脆弱性的典型例子。按照脆弱性所處的位置,，信息系統(tǒng)脆弱性可分為以下六 類：

　　(1) 硬件脆弱性,，指硬件設(shè)備中存在的漏洞和弱點(diǎn)，主要包括：硬件設(shè)備的電磁泄漏,、電子設(shè)備之間相互電 磁干擾,、硬件溫敏效應(yīng)過(guò)大、存儲(chǔ)介質(zhì)的剩磁效應(yīng),、硬件可靠性故障以及有線通信介質(zhì)易串音,、架空明線載波輻 射容易導(dǎo)致泄密、無(wú)線通信內(nèi)容容易被截獲和破譯,、無(wú)線通信設(shè)備容易被電子偵察技術(shù)偵察等等,。信息系統(tǒng)硬件 脆弱性多來(lái)源于硬件的設(shè)計(jì)和設(shè)備材質(zhì)本身的特性，這些脆弱性往往會(huì)導(dǎo)致物理安全方面的問(wèn)題,。

　　(2) 信息系統(tǒng)軟件的脆弱性,，指由軟件規(guī)范、開發(fā)和配置過(guò)程中的錯(cuò)誤所導(dǎo)致的漏洞,?；谲浖嗳跣缘囊朐颍浖嗳跣杂挚煞譃檩斎腧?yàn)證脆弱性,、競(jìng)爭(zhēng)條件脆弱性,、訪問(wèn)驗(yàn)證脆弱性、配置錯(cuò)誤脆弱性,、意外情況處置脆弱性,、環(huán)境錯(cuò)誤脆弱性以及軟件設(shè)計(jì)錯(cuò)誤脆弱性等七類脆弱性。

　　(3) 網(wǎng)絡(luò)通信協(xié)議脆弱性,，指由于通信協(xié)議設(shè)計(jì)所導(dǎo)致的漏洞,。基于TCP/IP 協(xié)議棧的因特網(wǎng)及其通信協(xié)議存在著不可忽略的脆弱性,。TCP/IP 協(xié)議是在美國(guó)國(guó)防系統(tǒng)內(nèi)部的互相信任的網(wǎng)絡(luò)這一應(yīng)用環(huán)境設(shè)計(jì)的,，當(dāng)其推廣到全社會(huì)的應(yīng)用環(huán)境之后，就會(huì)導(dǎo)致因信任假設(shè)條件不滿足而產(chǎn)生的安全隱患,。概括起來(lái),，因特網(wǎng)協(xié)議具有以下幾種重要的脆弱性：1.用戶身份鑒別脆弱性；2.路由協(xié)議鑒別認(rèn)證脆弱性,；3.TCP/UDP 脆弱性,，如 TCP“三次握手”脆弱性，TCP連接初始序列號(hào)脆弱性，UDP 無(wú)連接控制脆弱性,，以及 TCP/IP 應(yīng)用服務(wù)協(xié)議脆弱性等等,。

　　(4) 信息系統(tǒng)運(yùn)行環(huán)境的脆弱性，辦公室,、濕控,、電力、機(jī)房,、照明,、溫控、防盜,、防火,、防雷、防震,、防 電磁輻射,、抗電磁干擾等等設(shè)施，樓寓建筑結(jié)構(gòu)及布線情況等方面,，以及戶外傳輸介質(zhì),、公共網(wǎng)絡(luò)區(qū)域等存在的 漏洞和不足。

　　(5) 信息安全策略脆弱性,，就是指與保護(hù)信息系統(tǒng)資源相關(guān)的法規(guī),、政策、制度和安全指導(dǎo)方針方面的不 足,，主要可以分為物理安全策略脆弱性,、數(shù)據(jù)安全策略脆弱性以及人員安全策略脆弱性等等。

　　(6) 管理的脆弱性,，就是信息系統(tǒng)在日常安全管理和應(yīng)急措施方面的不足,，根據(jù)ISO27001信息安全管理體系的標(biāo)準(zhǔn),，管理脆弱性又包括機(jī)構(gòu)安全管理脆弱性、信息資產(chǎn)控制管理脆弱性、人員安全管理脆弱性,、物理與環(huán)境管理脆弱性,、通信與操作安全管理脆弱性,、系統(tǒng)開發(fā)和維護(hù)管理脆弱性以及業(yè)務(wù)連續(xù)性管理脆弱性等,。

　　值得注意的是，脆弱性雖然是信息系統(tǒng)本身具有的,，但它本身不會(huì)造成信息系統(tǒng)的損失,，它只是一種可能被 外部的攻擊者利用而造成損失的一種條件或環(huán)境。如果沒有相應(yīng)的威脅發(fā)生,，單純的脆弱性并不會(huì)造成對(duì)信息系統(tǒng)的破壞,。

　　2,、外部威脅

　　二零零八年全國(guó)信息安全狀況與計(jì)算機(jī)病毒調(diào)查中，二零零七年五月至二零零八年五月,，62.7%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，比去年減少3%,。感染計(jì)算機(jī)病毒,、蠕蟲和木馬程序的情況任然最為突出，其次是 網(wǎng)絡(luò)攻擊,、端口掃描,、 垃圾郵件和網(wǎng)頁(yè)篡改。在問(wèn)及中小企業(yè)使用電腦時(shí)最頭疼的問(wèn)題時(shí),，33%的企業(yè)回答是總受病毒干擾,；垃圾郵件，電子郵件是中國(guó)網(wǎng)民最常用的互聯(lián)網(wǎng)功能之一,， 特別是對(duì)一些中小企業(yè)來(lái)說(shuō),，沒有自己的郵件服務(wù)器，一般是租用網(wǎng)上郵箱,，對(duì)垃圾郵件更是不勝其擾,，產(chǎn)生許多信息安全隱患；惡意軟件,，很多上網(wǎng)電腦都會(huì)在未被告知并經(jīng)許可的情況下安裝或者曾經(jīng)安裝了各類廣告軟件,、間諜軟件、瀏覽器劫持,、惡意共享軟件,、行為記錄軟件或者惡作劇程序，有些間諜軟件,、行為記錄軟件能夠在用戶不知情的情況下,，在其電腦上安裝后門，為黑客打開方便之門,，造成了信息安全的嚴(yán)重隱患,；入侵攻擊，由于入侵者在網(wǎng)絡(luò)上的入侵行為往往混雜于正常的網(wǎng)絡(luò)活動(dòng)中,，而且也沒有地域和時(shí)間的限制,，因而其隱蔽性很強(qiáng)，此外,，入侵的手段和工具正趨向復(fù)雜化和多樣化,。

　　企業(yè)信息安全威脅主要包括內(nèi)部和外部?jī)蓚€(gè)方面，其中內(nèi)部威脅主要是指系統(tǒng)自身的脆弱性和內(nèi)部人員的攻 擊,，人的行為是內(nèi)部威脅之源頭,。而人的因素,，主要包括潛在威脅者的動(dòng)機(jī)及其專業(yè)技術(shù)水平。動(dòng)機(jī)因素主要來(lái)源于經(jīng)濟(jì),、政治,、個(gè)人情緒和其他因素。研究人的行為,，規(guī)范人的行為,，防范人的行為是抵御信息安全威脅的核 心。從企業(yè)角度來(lái)看,，規(guī)范人的行為主要通過(guò)企業(yè)的組織制度和管理手段上來(lái)體現(xiàn),，因此，對(duì)于中小企業(yè)信息安 全問(wèn)題主要從企業(yè)的組織制度和管理方法來(lái)解決,。同時(shí)也不能忽視企業(yè)在信息安全技術(shù)上的投入,，系統(tǒng)自身的缺陷和脆弱性是產(chǎn)生外部威脅的重要原因，因?yàn)橹行∑髽I(yè)的財(cái)力有限所有在信息系統(tǒng)自身的投入要以盡可能低的成 本保證信息系統(tǒng)的安全和可靠,。