构建安全防护体系 保障中小企业信息化建设

日期: 2009-04-10 来源:TechTarget中国 英文

  一、目前我国中小企业信息化的现状:

  1、管理水平低 信息管理存在风险

  目前,企业管理层人员在管理观念上对信息化的认识不足,他们虽然认识到了信息化的重要性,却没有认识到企业信息化管理是管理理念上的根本变革,只是按照原有的管理模式进行改造,结果造成一种信息化的假象,致使“信息化”走向了误区,信息安全也没有得到足够重视。

  2、人才短缺 专业人才匮乏

  中小企业很难有足够的吸引力留住这一领域的人才。由于缺乏专业人才,自然影响到企业信息化的进程。主要表现为:没有自己的信息化建设人才队伍。掌握技术的不懂管理,懂管理的不会技术,信息安全缺乏专业人员管理。

  3、资金短缺

  中小企业对信息化资金的投入不足。信息化建设是一个系统工程,从前期硬件设备与必要的软件系统的购置,到信息化系统的管理和维护,都需要大量的资金支持,没有足够的资金投人,企业信息化是不可能开展起来的。中小企业从其本身来看,内部资金有限,而要借助外部融资,又由于其生存率低、资信度差、抵押资产少、信贷风险大,金融机构不大愿意提供资金支持。

  4、信息化需求不明确 眼光看不到那么远

  企业一开始进行信息化建设时,摸不着头绪,不知道自己信息化建设中需要哪些功能,不明确信息化建设到底能给企业的日常生产、经营、办公提供哪些服务、有什么作用。这就必然阻碍企业实施信息化建设。

  中小企业由于自身资本能力有限,不容易完全依靠自己解决所有信息化安全问题,所以企业信息安全问题在中小企业中表现得更明显,对于大企业来讲,信息安全似乎更容易得到保障,比如美国第一数据公司就把很多大企业,包括银行、保险等大量数据进行数据保管,形成这样一个模式,这里面就涉及信用问题,信用体系建设问题,并把安全密钥问题和身份认证问题相结合,对数据进行分级,能够真正做到数据安全,而中小企业无法承担如此巨额的开销。中小企业信息安全要得到解决则是需要全社会的共同参与。

  二、如果要建立一个信息安全的防护体系,需要做哪些工作呢?

  1、中小企业自身需加强安全风险防范意识 选择性价比最合适的方案与服务

  对中小企业自身而言,可以咨询一下投资企业,对已有的系统做风险评估。在一般的商业环境中使用局域网,而且一般会用防火墙,从技术角度看可以提供一个解决方案,这样相对会更容易一些。用户需要把握哪些东西对企业是至关重要的,如果数据很关键的,很可能就牵涉到要购买商用的数据融资中心,因此一定要正确识别哪些是关键的应用,业务,哪些东西对企业至关重要的,剩下的服务根据立足点不一样可以酌情购买,选取一些有资质的企业,购买一些正版的杀毒软件等。

  有关安全专家曾经撰文,对于国内的中小企业,首先是要扭转“安全不重要”的错误认识,而后才能对症下药。信息安全体制的建立只是安全的第一步,如何有效地贯彻事先制订的信息安全策略,以及不断深化企业的全员信息安全意识,将处于更加重要的地位。

  换句话说,中小企业信息安全的建立,有赖于企业决策层的大力支持、选择适合自身发展的安全方案,同时做到定期评估和调整安全政策,这样才能保证企业安全体系处于应有的健康状态。

  从投入上看,国内中小企业的首要目标都是生存,因此对于传统大型企业的“防火墙” +“IPS/IDS” + “防病毒” + “反垃圾邮件” + “内网安全防御” + “数据/应用级别容灾”的策略,中小企业无力、也不需要如此“奢侈”。

  合理的做法是,通过极为有限的资金,最大程度保护企业的核心信息资产。也就是说,企业要在良好的安全理念指导下,进行细致的规划和评估,利用企业小、防御广度小且集中的优势,展开定点防御。

  2、制定内部安全策略 确保执行

  无论采用何种方案,广大中小企业用户必须认清的一点是,选择安全产品仅仅只是企业信息安全工作的基础,特别是不能够过渡依赖工具,而忽视人为因素。因为从目前的统计来看,内网出问题是最普遍的安全隐患,所以小企业必须要制定公司内部的安全策略,并且确保各个部门与人员能够理解并执行。

  另外,对于几年来流行的P2P的应用,如MSN、Skype、BT,采取什么样的方式处理,也是应当考虑的。虽然这些应用会影响网络性能,但是很多中小企业还在依赖某些应用联系业务。因此,对于这类问题,中小企业必须区别对待。合理的做法是,用户可以利用IPS等设备提供的协议分析过滤功能或配合交换机,有限制地保留业务用应用,如MSN;杜绝非正常应用,如BT;限制某些非必备应用的带宽,如Skype。

  最后,在中小企业用户下决心部署安全方案之前,最好做一个整体评估,分析一下企业目前的核心信息资产是什么。比如,对一家连锁超市而言,其交易服务器的重要性显然高于门户网站,这样才能做到有的放矢进行安全策略匹配。

  3、如采取外包 需健全安全服务体系

  在外包过程当中,每个行业有很多同类的企业在竞争,必须考虑用法律体系来规避风险,需要社会在法律环境下对社会化服务提供保障。同时也需要厂商、外包商等能够在安全体系社会化服务进程中共同努力,建立起社会化的一套安全服务体系,以便使中小企业在进程中依托自己有限的资源去享受安全、完整、有效的安全保障。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • CIO知识大测验

    现在CIO已经成了一个热门话题,政府、企业以及学术界都对CIO这个话题投入了广泛的关注。CIO应该是连接组织业务和IT的重要纽带,他既要负责IT的供给,又要负责IT的需求。CIO的这样一种角色,决定了CIO既要懂技术,又要懂业务,同时CIO作为组织层面的领导者还必须具备领导能力。本手册中提供了一些小测试,如果你已经是CIO,本测试集可以帮你进行企业IT管理;如果你不是CIO,本测试集可以帮你检查你离CIO还有多远。

  • 08年CIO将用开源解决方案增强IT环境现代化

    2008年,大型企业的IT主管将把开源解决方案更紧密地结合到他们的核心IT基础架构中,其中包括从采购流程到下一代应用的部署。