国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
联系电话
全国:010-56542716
天津:022-27810977
国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
全国:010-56542716
天津:022-27810977
我国中小企业信息安全管理的现状和原因分析
中小企业在我国经济发展中占有十分重要的地位,在20世纪90年代以来的经济快速增长中,超过76%工业新增产值的以上是由中小企业创造的,我国中小企业总产值和实现利税已分别约占全国的60%和40%,在近几年的出口总额中约占60%。与此同时,中小企业还提供了大约75%的城镇就业机会,特别是近年来经济结构调整和国有企业改组力度加大,中小企业吸纳就业的作用更加明显。
截止二零零六年十月底,我国中小企业数已达到4200多万户,占全国企业总数的99.8%;中小企业创造的最终产品和服务的价值占我国GDP的58.5%,生产的商品占社会销售额的59%,上缴税收占48.2%,提供的城镇就业岗位已占到75%。中小企业在国民经济发展中所处的重要地位和作用已逐步显现。
随着在经济活动中扮演的角色越来越重要,中小企业对网络和信息技术的依赖程度也越来越强。据 IDC(International Data Corperation)的一项调查数据显示,我国目前已有57.7%的中小企业已经实施了信息化。从我国企业目前的信息安全现状来看,无论是软硬件系统本身,还是组织和管理方面,都存在着各种各样 安全隐患,面临的威胁越来越多样化和频繁化,攻击频率越来越高,我国企业信息安全问题十分严峻。面对严峻的信息安全形势,信息安全防护越来越受到企业的关注,很多企业开始在信息安全管理上投入大量的人力、 物力和财力。目前,国内大型企业由于企业信息化起步早、资金和相关技术力量充足、安全管理制度较为完善, 因此信息安全体系成熟度也相对较高,但是大部分中小企业的信息安全状况却十分令人担忧。
我国中小企业信息安全面临的主要威胁
由于管理、资金和技术等方面的原因,中小企业的安全问题一直隐患重重。中小企业的信息安全管理在安全 性方面普遍没有严格的规范和制度,存在着严重漏洞,人员的素质和技术水平与大型企业相比,有较大的差 距,所以在企业信息安全的内部脆弱性比大型企业存在更多的漏洞和不足。因为企业内部威胁也为外部威胁提供了可能,在企业的信息安全的外部威胁上,中小企业更容易受到网络病毒的侵害。由于网络维护、运行、升级等 事务性工作繁重而且成本较高,这也使得善于精打细算的中小企业在信息安全管理问题上进退两难。中小企业用 户的局域网一般来说网络结构不太复杂,主机数量不太多,服务器提供的服务相对较少。这样的网络通常很少甚 至没有专门的管理员来维护网络的安全,这就给黑客和非法访问提供了可乘之机。
国内反病毒厂商江民科技进行了一项针对我国中小企业信息安全状况的调查,调查对象包括北京、广东、武 汉等十余个城市的中小企业。报告显示全国有 78.04%的中小型企业信息安全中都存在威胁,仅有21.96%的中小企业拥有良好的信息安全环境,在所有参与调查的企业中,有15.75%的企业信息安全中没有任何的防护措施, 81.48%的企业只安装了单机版杀毒软件,而网络版杀毒软件的使用率不到两成。
另外,由于资金、技术等方面的原因,大部分中小型企业并没有自己专职的信息安全管理员,对电脑软硬件的使用也几乎毫无管理措拖,这都使得中小型企业在网络管理的安全性方面存在严重漏洞,与大型企业、行业用户相比,更容易受到网络病毒的侵害,造成的损失同样严重。
1、内部威胁
企业信息系统不可避免地存在着多种脆弱性。这些脆弱性可能是人为故意制造的,也有可能是由于某些偶然 因素造成的。偶然的脆弱性是指信息系统的软硬件、运行环境、网络协议、安全策略或者操作规程等在规定、设计、开发或运行期间,由于非故意的失误而造成的漏洞和弱点。故意的脆弱性是有预谋的行为结果,根据有预谋 行为的动机,故意的脆弱性又可分为善意和恶意两种。信息系统有时可能因为善意的目的而存在故意脆弱性,例如:硬件设备厂商在设备出厂时会预设默认的管理该设备的账号和密码,以供设备管理人员维护和使用,如果不对这种默认帐号和密码进行及时更改,就会被不法分子利用侵入信息系统。故意的脆弱性也可能因恶意目的而形成,病毒和特洛伊木马就是两种恶意脆弱性的典型例子。按照脆弱性所处的位置,信息系统脆弱性可分为以下六 类:
(1) 硬件脆弱性,指硬件设备中存在的漏洞和弱点,主要包括:硬件设备的电磁泄漏、电子设备之间相互电 磁干扰、硬件温敏效应过大、存储介质的剩磁效应、硬件可靠性故障以及有线通信介质易串音、架空明线载波辐 射容易导致泄密、无线通信内容容易被截获和破译、无线通信设备容易被电子侦察技术侦察等等。信息系统硬件 脆弱性多来源于硬件的设计和设备材质本身的特性,这些脆弱性往往会导致物理安全方面的问题。
(2) 信息系统软件的脆弱性,指由软件规范、开发和配置过程中的错误所导致的漏洞。基于软件脆弱性的引入原因,软件脆弱性又可分为输入验证脆弱性、竞争条件脆弱性、访问验证脆弱性、配置错误脆弱性、意外情况处置脆弱性、环境错误脆弱性以及软件设计错误脆弱性等七类脆弱性。
(3) 网络通信协议脆弱性,指由于通信协议设计所导致的漏洞。基于TCP/IP 协议栈的因特网及其通信协议存在着不可忽略的脆弱性。TCP/IP 协议是在美国国防系统内部的互相信任的网络这一应用环境设计的,当其推广到全社会的应用环境之后,就会导致因信任假设条件不满足而产生的安全隐患。概括起来,因特网协议具有以下几种重要的脆弱性:1.用户身份鉴别脆弱性;2.路由协议鉴别认证脆弱性;3.TCP/UDP 脆弱性,如 TCP“三次握手”脆弱性,TCP连接初始序列号脆弱性,UDP 无连接控制脆弱性,以及 TCP/IP 应用服务协议脆弱性等等。
(4) 信息系统运行环境的脆弱性,办公室、湿控、电力、机房、照明、温控、防盗、防火、防雷、防震、防 电磁辐射、抗电磁干扰等等设施,楼寓建筑结构及布线情况等方面,以及户外传输介质、公共网络区域等存在的 漏洞和不足。
(5) 信息安全策略脆弱性,就是指与保护信息系统资源相关的法规、政策、制度和安全指导方针方面的不 足,主要可以分为物理安全策略脆弱性、数据安全策略脆弱性以及人员安全策略脆弱性等等。
(6) 管理的脆弱性,就是信息系统在日常安全管理和应急措施方面的不足,根据ISO27001信息安全管理体系的标准,管理脆弱性又包括机构安全管理脆弱性、信息资产控制管理脆弱性、人员安全管理脆弱性、物理与环境管理脆弱性、通信与操作安全管理脆弱性、系统开发和维护管理脆弱性以及业务连续性管理脆弱性等。
值得注意的是,脆弱性虽然是信息系统本身具有的,但它本身不会造成信息系统的损失,它只是一种可能被 外部的攻击者利用而造成损失的一种条件或环境。如果没有相应的威胁发生,单纯的脆弱性并不会造成对信息系统的破坏。
2、外部威胁
二零零八年全国信息安全状况与计算机病毒调查中,二零零七年五月至二零零八年五月,62.7%的被调查单位发生过信息网络安全事件,比去年减少3%。感染计算机病毒、蠕虫和木马程序的情况任然最为突出,其次是 网络攻击、端口扫描、 垃圾邮件和网页篡改。在问及中小企业使用电脑时最头疼的问题时,33%的企业回答是总受病毒干扰;垃圾邮件,电子邮件是中国网民最常用的互联网功能之一, 特别是对一些中小企业来说,没有自己的邮件服务器,一般是租用网上邮箱,对垃圾邮件更是不胜其扰,产生许多信息安全隐患;恶意软件,很多上网电脑都会在未被告知并经许可的情况下安装或者曾经安装了各类广告软件、间谍软件、浏览器劫持、恶意共享软件、行为记录软件或者恶作剧程序,有些间谍软件、行为记录软件能够在用户不知情的情况下,在其电脑上安装后门,为黑客打开方便之门,造成了信息安全的严重隐患;入侵攻击,由于入侵者在网络上的入侵行为往往混杂于正常的网络活动中,而且也没有地域和时间的限制,因而其隐蔽性很强,此外,入侵的手段和工具正趋向复杂化和多样化。
企业信息安全威胁主要包括内部和外部两个方面,其中内部威胁主要是指系统自身的脆弱性和内部人员的攻 击,人的行为是内部威胁之源头。而人的因素,主要包括潜在威胁者的动机及其专业技术水平。动机因素主要来源于经济、政治、个人情绪和其他因素。研究人的行为,规范人的行为,防范人的行为是抵御信息安全威胁的核 心。从企业角度来看,规范人的行为主要通过企业的组织制度和管理手段上来体现,因此,对于中小企业信息安 全问题主要从企业的组织制度和管理方法来解决。同时也不能忽视企业在信息安全技术上的投入,系统自身的缺陷和脆弱性是产生外部威胁的重要原因,因为中小企业的财力有限所有在信息系统自身的投入要以尽可能低的成 本保证信息系统的安全和可靠。
关注卓越空间
关注卓越微博
关注卓越微信