中小企业信息安全现状分析及防护建议
2020-07-30陈鑫
陈 鑫
(上海中铁通信信号测试有限公司,上海 200436)
1 信息安全的定义
信息:作为一种资源,是可以进行传播的一切内容。
信息安全:信息安全的含义主要包含信息的保密性、完整性和可用性,保护各类信息系统及信息资源免受威胁和破坏,即保护了信息的安全性。
2 中小企业信息安全现状
2.1 信息安全意识薄弱
“信息安全”看似包罗万象,却又难以找到实体,在不了解什么是信息安全的前提下,很容易忽视这项安全工作。许多时候例如“传份资料给客户看”、“公司加班发个朋友圈”等等一系列小操作,均有可能在不经意间就转发出大量信息,导致企业重要资产受损。
就中小企业而言,客户信息、人员技术、产品设备、纸质档案等各类资源,均属于信息资产范畴。而不少管理者则认为“信息安全是大公司的事情”,信息安全等同于网络安全,核心业务并非依托网络,导致安全防范意识薄弱,信息安全无法得到重视。
2.2 管理模式简陋
通常情况下,中小企业安排各部门主管等负责其职责范围内的工作内容。但由于流程简单、岗位职责不够明确,容易导致业务交叉、关联性不高,一旦外界或内部的威胁出现,其资产的安全性难以得到保障。
2.3 专业人才匮乏
诸多中小企业并不具备专业的信息安全领域人才,无法建设信息化人才团队。而受制于信息化管理理念的重视程度有限,管理者不太愿意将信息安全提升到等同于其他职能的高度。另外,对于专业的信息技术人员个人而言,中小企业的吸引力大幅降低,导致中小企业在信息安全领域的人才短缺。
2.4 资金限制
除去人力成本、物资库存等资产,中小企业内部资金有限,容易受到信贷难度高、融资风险大等阻碍。而信息安全防范体系的建设,不仅需要专业的人才,或是对人才技术的培养,同时还包括硬件设备的采购、日常的管理与维护、发生安全事件时的应急措施等。因此,要投入资金在信息化建设中,无疑是中小企业的一项困难之举。
2.5 网络结构简单
目前,大部分中小企业的网络结构相对简单。考虑到与外企业的沟通,通常中小企业将用户终端直连交换机,再通过路由器与Internet 互联,形成最基础的上网模式。部分中小企业虽利用公司内网进行办公交流,但依然预留端口供外部接入。简单的网络结构将会使用户终端直接暴露在网络之中,给不法分子更多可乘之机。
3 提高和保障企业信息安全措施
3.1 安全意识人人有责
安全问题的根源由外部因素和内部因素两部分组成。自然灾害、木马入侵等均属于外部因素,而内部因素却往往是企业或员工不够重视造成的。中小企业从企业本身到员工个人,缺乏相关信息安全意识的宣贯,因此更容易诱发安全事件发生。由此可见,提高信息安全意识迫在眉睫。
企业的安全意识,其中一点体现在是否对企业重要资产进行过梳理。对比大型企业,尽管中小企业往往难以细化部门分类和工作职责,但中小企业的主要业务战略目标更为单一,重要资产更易体现。针对不同行业,其重要资产也不尽相同,可根据数据、硬件、软件、服务、人员等进行一一分类,整理出重点保护对象,并对每项重要资产,在保密性、完整性和可用性等级上进行赋值。重要资产的梳理,有助于加强企业的安全意识。
一旦企业开始关注信息安全,员工的安全意识也将随之提高。除定期培训外,中小企业可通过文件加密、岗位职责细化、办公流程建立等多种方式,以自然的形式给予员工信息安全意识的灌输。员工自身也应注意个人信息泄露、消息随意传递等行为或习惯,以加强人员的安全意识。
“宜未雨而绸缪,勿临渴而掘井”,唯有提高意识,中小企业才能进一步考虑信息安全问题,从而采取行动进行安全防护。
3.2 人才培养
考虑到重要资产一旦产生安全事故而造成的严重损失,尽早安排专人把控,有助于预防更多未知的信息安全事故发生。
对中小企业而言,外部招聘信息安全人才,一方面企业规模往往难入专业人才的“法眼”,并且,企业对新进人才的信任度也有待时间证明。因此,从企业内部合理任用员工进行信息安全管理,是中小企业相对可靠的方式。同时,条件允许的情况下,应从企业信息系统和企业管理体系两方面分派人员进行管理。
信息系统人员要求:了解企业自身物理环境,如电力配电、机房布线、机柜接地等;熟悉企业网络结构,主要包括对外的网络边界防护、对内的访问控制等;掌握企业系统软硬件,包含服务器、路由器等硬件设立,专业应用、办公软件的安装管理等。明确企业信息应用机制,例如登入方式、密码保护等。
管理体系人员要求:从企业组织架构、人员分工、各项业务访问控制、文档存储等角度考虑。
3.3 建立并完善管理体系
管理人员要注意的是,完善的信息安全管理体系,应当适用于信息安全管理的整个生命周期。ISMS 是目前一种较为常见的信息安全管理体系,该体系围绕《信息技术 安全技术 信息安全管理体系要求》(ISO/IEC 27001)的要求建立,同时也遵循PDCA 循环这项基本管理过程。
PDCA 循环最早由美国质量管理专家戴明普及,所以又称戴明环。PDCA 将安全管理活动分为计划(Plan)、执行(Do)、检查(Check)、处理(Act)4 个过程。
4 个过程按顺序进行,每一个完整循环的执行,安全质量都会取得一定的提升,从而提出新的目标,执行下一个循环。
基于上述PDCA 循环,中小企业应用于信息安全管理体系的ISMS 建设可分为如下几个阶段。
1)规划
在规划阶段,首要任务是定义保护范围。根据企业自身运营情况,界定出体系建设所要保护的组织结构、业务范围、信息系统范围等,并从中清晰的确定出相关重要资产。
建立在重要资产的基础之上,依据信息系统的特征,制定风险评估方法并予以实施,包括识别风险、风险值计算、风险分析。
2)实施并运行
该阶段主要任务是通过管理、执行等手段,对所识别的信息安全风险进行处理。
风险的处理方式分为降低风险、规避风险、转移风险和接受风险4 大类。
结合规划阶段的风险分析结果,企业应先判定每一项风险是否为可接受风险,可接受风险无需进一步处理。对于不可接受的风险,采取降低风险、转移风险等方式,将风险消除或控制在可接受范围内,并且对处理过后剩余风险积极维护。此外,企业应针对可能存在的风险,加强管理,深入开展各专项工作,从而达到规避风险的效果。
3)监视并评审
检查阶段是整个ISMS 体系中非常重要的阶段,并且是一个长期保持的阶段。该阶段主要包括如下内容。
明确需要被监视的内容,企业可通过测试、评价等方式对被监视的内容进行检查,并做好相应数据的存档,尤其是对上述处理过后的剩余风险,需着重把关其是否已被控制在可接受范围内。
按计划进行信息安全风险管理体系的内部审核,验证体系是否符合中小企业自己的信息安全需求,以及整个信息安全的保护过程是否在原先预期的体系控制范围之内。
中小企业的最高管理层应定期进行管理评审,结合风险评估结果、处理措施的实施、监测结果、审核结果等,判断自身企业是否达到了信息安全的预期目标,并提出后期持续改进的要求。
4)改进
经过计划、执行、检查3 个阶段后,信息安全体系的防护效果得以呈现。企业根据体系的运行情况,若该轮体系的运行完全达成目标且运行状态良好,可以考虑将该论体系中所采取的处理措施保持并继续执行;若仍有不符合项,企业应寻找原因并确定有效的措施继续整改。
此外,在这个阶段,中小企业还能采取培训等方式,加强员工的信息安全意识,有效的遏制某些潜在的安全事件发生。在此基础上,将迎来全新一轮的PDCA 循环。
3.4 薄弱环节补强
如图1 所示,威胁利用脆弱性造成不良后果的机会称之为安全事件的可能性,资产价值和该资产所暴露出脆弱性的严重程度决定了安全事件造成的损失,通过安全事件的可能性和损失可以判定资产所面临的风险大小。
图1 信息安全风险分析原理图Fig.1 Schematic diagram of risk analysis on information security
资产、威胁、脆弱性3 要素中,资产本身无法替代或消除。威胁则属于引起风险的外部因素。而作为引起风险的内部因素,脆弱性同时关联到诱发风险的可能性和损失。因此,降低脆弱性,是中小企业最为有效的加强安全防护的方式之一。
各中小企业现阶段的信息安全状况及所要达到的预期效果不尽相同,例如互联网公司等在公司网络结构上会相对其他行业有更明显的优势和防护措施。并且各中小企业愿意投入于信息安全的资金也存在差异。为此,提出以下几项基本安全防护措施。
1)环境安全
企业应掌握自身办公区域的物理环境状况,做到防火、防水、防静电、机柜接地、线路排放合理等;企业员工则应自觉做到不在办公区域内吸烟、安全用电、水电隔离等常规操作。
2)网络安全
企业要界定网络边界,设定相应的外部访问策略、内部访问策略,配置防火墙,关闭路由器、交换机等网络中间设备未启用的端口;企业员工按规定进行公司网络访问,避免私自利用企业内部终端接入其他不安全网络。
3)硬件安全
企业定期对各类服务器、存储等进行检查维护,条件允许的情况下应配置热备/冷备;企业员工妥善保管和使用好笔记本电脑等硬件设备,如遇故障应通过正规渠道进行修理更换。
4)系统与软件安全
企业应及时做好系统和软件的补丁更新,汇总各类系统设备日志,加强对重要资产的访问控制;企业员工应设定并定期更换常用密码,重要资料应及时上传服务器。
5)管理安全
企业编制并采用信息安全管理体系,加强文档类材料的存储管理,对重要文件需逐级批复后方可授权交接,对于市场资源、行业技术等重要资产,企业可考虑安排员工签署保密协议,防止机密泄露;企业员工要自觉遵守规章制度,切忌泄密、偷盗、挪用等不良行为。
以上5 大类安全防护建议实施难度小,无需投入大量资金,且适用于中小企业信息安全体系的各个阶段,在信息安全脆弱的情况下,能最大程度高效率的提升安全等级,阻止安全事件发生。
4 结束语
信息化为社会和企业的发展提供了极大的便利和效益,但中小企业信息安全现状仍需加强。通过对信息安全的重视,并采取合理、有效的手段进行体系建立及安全防护,才能更好的保护企业信息资产。