云颖

关键词大数据：中小企业：信息安全

1信息安全对中小企业发展的重要意义

随着我国经济水平的不断提升，中小企业的数量越来越多，中小企业为推动我国市场经济的发展发挥了十分重要的作用，同时为社会提供了大量的就业岗位和机会。但是，很多中小企业受到规模小、资金少、抵御风险能力差的限制，其生存时间是非常短的。我国向来重视中小企业信息化建设与发展，切实推动中小企业信息化发展，帮助其有效优化信息化服务，降低信息技术应用成本。大数据时代，加强信息化安全管理也是中小企业信息化建设和发展的重要组成部分[1]。中小企业开展信息化管理，企业有关重要信息包括客户资料、订单详情、生产工艺以及技术流程等都会在互联网中存储，这些数据信息对中小企业是至关重要的，一旦被泄露、篡改、删除或者丢失，都将影响企业的正常运行，甚至给中小企业带来致命的打击。因此，有效维护中小企业信息安全，提升其信息安全管理水平，是推动和维持中小企业健康长远发展的关键要素。

2大数据背景下中小企业信息安全管理的内涵

2.1中小企业信息安全管理更加多元化

信息技术的蓬勃发展使信息全球化发展速度不断加快，也使信息在社会和经济发展中所占据的地位越来越重要。事实上，信息技术已经融人我们日常生活的方方面面，同时成为社会生产过程中最为重要的生产要素之一。

本文所介绍的中小企业信息安全是指中小企业在利用互联网信息技术开展经营业务时，所涉及的各种网络设备、软件系统以及保存在系统中的所有数据受到应有的保障，不会因为意外或者恶意而遭到破坏、攻击或者窃取，进而确保中小企业可以维持正常的经营秩序，信息服务可以正常运转。中小企业信息安全管理多元化表现在以下几个层面，分别是：数据安全、系统应用安全、用户信息安全、网络安全以及硬件设备安全。中小企业信息安全管理各个层次之间相互联系、互相影响。任何一个层次出现问题，都会造成不同的信息安全隐患。因此，为了提升企业信息安全管理能力，中小企业必须对不同层次采用区别化的应用措施。事实上，中小企业开展信息安全工作是一个动静结合的维护过程。一方面，需要利用静态的防火墙、登录认证以及系统加密等手段进行系统加固：另一方面，利用动态的监测手段，比如定期的漏洞监测，系统入侵检测或者系统安全监测等对企业网络系统进行实时监管，及时发现问题并反馈给企业维护人员，从而构建系统化、机构化的动态网络系统安全模式。

2.2中小企业需要的安全服务更加丰富

当前，中小企业所需要的安全服务主要有：（1）判断信息的真实性，即对访问系统的信息来源进行判断，进而甄别其真实性。（2）对信息进行保密性处理。中小企业涉及的信息内容包括企业自身的信息、企业机密以及用户信息等，这些资料是中小企业赖以生存和发展的基础。因此，中小企业要采取必要的保密措施，确保企业的这些信息不被窃取、破坏或者篡改。（3）确保数据信息的完整性。（4）保证信息的可用性。确保企业自身和用户可以对数据资源进行合理的利用。（5）强化对信息的可控性。主要体现在企业对数据信息的传播和使用具有一定的控制能力。

3大数据对中小企业信息安全的挑战

3.1网络社區化使中小企业数据极易成为攻击目标

随着互联网技术的不断发展，网络社区化趋势越发明显，为不同行业领域的信息资源共享提供了更为便捷的网络空间。同时，以云计算、大数据为特点的网络社区也为中小企业提供了更为开放、数据整合更加快速的数据集合[2]。但是，由于互联网的共享性和暴露性，导致中小企业被黑客攻击的现象时有发生。换言之，在开放性更强的网络环境中，数据和数据之间的联系更加密切，对于黑客来说，可以用更低的成本去获得和破坏更多的数据。近年来，从互联网上发生的企业泄密事件可以看出，在大数据环境下，企业信息更容易受到黑客的攻击，从而造成严重的后果。

3.2非结构化数据对中小企业数据存储提出更高要求

在此之前，数据存储分为2种，分别是关系型数据库以及文件服务器。进人大数据时代，数据类型的种类越加丰富。在互联网中，有超过80％的数据为非结构化数据[3]。尽管NoSQL数据库具有可扩展性和可应用性等特点，但是在数据存储方面依然存在较多问题：（1） SQL技术的访问控制和隐私管理比较严苛，NoSQL还没有办法使用SQL的模式；（2）由于NoSQL使用的是新的代码，但是依然存在很多漏洞。更重要的是，软件服务器的安全性能有待提升，这对于人才、资金都十分短缺的中小企业来说，无疑增加了成本输出。由于中小企业并未在客户端建立必要的安全措施，产生了大量的安全隐患，给企业信息安全带来了巨大的风险。

3.3新技术的应用增加了中小企业安全管理风险

随着科技的不断发展，人工智能、防火墙、无线路由等网络技术、网络设备得到了人们的广泛应用，极大地方便了数据的收集、整理和分析。但是，我们也应该注意到，信息技术的不断发展使中小企业信息安全管理难度不断提升。从大数据层面分析，大数据安全防护不到位。尽管大数据给企业发展带来了很多便利，但是，大数据在数据控制、安全防护、访问限制、存储管理等方面的不足，使数据泄密成为家常便饭。另外，大数据本身就是一个可以被连续攻击的载体，可能引发大数据内容中各种病毒以及恶意软件的长期攻击。对中小企业而言，由于其在资本、专业人才以及技术能力上的短板，造成其没有更多的手段和措施应对大数据时代带来的风险。更重要的是，中小企业的领导者、管理层缺乏信息安全管理意识，对企业信息安全的内容知之甚少，更谈不上如何对企业自身信息资源和数据进行保护。

4存在的问题

4.1软硬件漏洞情况严重

中小企业信息安全软硬件漏洞问题主要体现在：一方面，硬件安装隐患。包括路由器、防火墙等安全设备性能较低，不能及时发现互联网中的木马及病毒。此外，中小企业由于人员和资金的限制，并没有专门设置信息安全管理部门，没有专业的人员对企业硬件进行定期的维护，这也在一定程度上削弱了硬件设备的安全性能。另一方面，系统软件存在漏洞，容易受到病毒或者木马等恶意软件的攻击。中小企业在日常经营过程中，必然会用到各种应用软件、操作系统等，如果软件或者系统中存在安全漏洞，极易成为外界攻击的关键点。与此同时，很多中小企业的应用软件及系统都交由第三方软件公司进行设计，软件公司为了后期维护方便，经常在系统内部设置所谓的“后门”，这些“后门”的存在也为黑客提供了便利，恶意攻击者往往会通过其进行数据的窃取或者破坏，甚至造成中小企业整个信息系统的瘫痪。

4.2缺少信息安全管理制度

通过调研发现，很多企业在信息安全领域并没有构建完善的管理机制，这种情况在中小企业十分普遍，也严重影响了中小企业信息安全的最终效果。由于中小企业缺少完备的网络维护机制，不能对企业信息进行有效的保护，信息丢失、被窃取和破坏的情况时有发生，给中小企业长远发展造成巨大的安全隐患。

5大数据背景下中小企业信息安全优化策略

5.1构建完善的中小企业大数据信息安全管理体系

大数据背景下，中小企业信息安全面临更大的挑战，单一、片面的信息管理已经难以满足中小企业信息安全的需求。因此，对于中小企业而言，需要构建更加全面和完善的信息安全管理体系来应对复杂多变的网络环境。一方面，中小企业要提前预警。以往，中小企业通常都是在受到安全威胁之后，才会根据受攻击情况制定对应的解决策略。大数据环境下，必须主动转变信息安全防护思维，摆脱传统以问题为基础制定信息安全防护策略的束缚，中小企业要强化企业信息安全机制，应该着眼于大数据本身，通过数据收集、整理以及分析发现可能存在的安全隐患，进而提前制定安全防护方案。针对中小企业信息安全管理体系，需要构建完善的组织机构和管理机构，包括企业信息安全监管机制、信息安全响应机制、大数据备份机制、访问机制等。需要注意的是，对于中小企業的关键信息，应该设置一定范围内的共享，减少非必要人员的接触次数，尤其严禁将企业内部信息在企业外部进行传播。另一方面，建立大数据管理制度。数据在中小企业内部传递的过程中依然存在较大风险，原因在于，企业数据在传输过程中有可能被窃取或者被破坏。因此，制定大数据管理制度，可以提高数据存储、管理、分析和应用的规范性和安全性。此外，中小企业应该推动企业组织结构的扁平化管理，从而提高企业相关信息在各个部门之间的流转速度。

5.2提升中小企业员工的信息安全能力

（1）要不断提升全体员工信息安全意识。大数据时代，企业信息安全管理已经成为企业管理的重要组成部分。为了不断提升中小企业信息安全等级，强化企业信息安全管理，对于中小企业而言，必须提升全体员工对信息管理的重视程度。一方面，在领导层面，要从思想上认识到企业信息安全管理的重要性，从人才储备、技术投入和设备选取等方面加大投入力度，为企业信息安全管理奠定良好的硬件和软件基础。另一方面，在法律层面，加强对员工的法制教育，强化企业内部各种制度的制定和实施，有效维护企业的合法权益，不损害企业利益，不泄露企业机密。

（2）加大员工信息安全培训力度。中小企业在发展过程中，要不断提升企业员工信息安全能力和信息安全素养，这就要求中小企业结合发展实际定期对员工进行信息安全培训。企业需要制定符合企业现状的安全培训制度，按照制度安排安全培训课程，并进行课程结业考核。为了提升员工对信息安全培训的重视程度，建议将安全培训考核与员工绩效进行一定的关联，从而有效提升信息安全培训的效果。需要注意的是，对于企业内部涉及机密信息的岗位，要加大对其安全培训力度，明晰岗位职责，不断提升关键岗位员工的信息安全管理能力。

5.3以大数据技术为支撑

（1）利用病毒防控技术，提升企业信息安全保护等级。加强对互联网病毒的预防，通过对企业各类电子计算机和服务器等硬件设备的定期扫描，强化对企业信息安全的管理，从源头上切断病毒传播的途径，规避企业被网络黑客攻击的危险。另外，为了防止企业机密被木马或者黑客恶意攻击，中小企业可以通过各种技术，实现对各类信息数据的加密管理，并通过定期的巡查和漏洞、补丁修复，对企业信息安全管理进行技术整改。

（2）利用大数据分析技术构建企业信息管理平台。以大数据分析技术为基础的企业信息安全管理平台，围绕企业总资产，通过对影响企业信息安全的因素进行分析，构建实时风险模型。利用该平台可以帮助企业对可能存在的风险进行预警、评估和响应。企业利用大数据技术构建信息管理平台，可以实时监控来自企业内部和外部的各种信息，明确企业信息安全管理的漏洞和不足，提前预警可能存在的危险，从而不断提升中小企业信息安全管理水平。