安全无小事——解读国内中小企业信息安全现状

        国内中小企业（工商企业）数量众多、网络利用率高，但其自身技术力量薄弱，安全机制普遍不足，这已经成为了这些企业持续发展的主要隐患。那么，国内中小企业当前面对了哪些挑战？自身又应当怎样应对呢？ 
        根据国家统计局年初公布的数字，国内企业总体的99%都是中小企业，他们贡献了超过一半的国内GDP。但截止到目前，这些中小企业的信息化水平仍然比较落后，其中针对信息安全的投入，更是凤毛麟角。 
        在当前互联网时代，企业上网、通过电子邮件进行业务往来、利用网络发布自己的营销信息，已经成为企业拓展业务的基础模式。在这个市场环境下，大部分企业充分体会到了互联网的好处，但较少有人关心网络的风险。 
        对于国内占大多数的中小企业来说，如何在充分利用信息化优势的同时，更好地保护自身的信息资产，已经成为一个严峻的挑战。特别是近两年来，网络上的病毒、攻击事件频发，信息安全问题正在成为中小企业信息化进程中的难题。 
面对的挑战 
        此前有专家总结出，国内中小企业面对的是意识、投入与技术水平的三个难题。的确，从众多的案例中可以看出，国内的中小企业目前的首要任务是生存，而IT仅仅是简单支持，因此IT安全自然就更容易被忽视。 
        国美电器的CIO孟庆波曾表示，相对于金融、电信等大型企业，国内中小企业的发展时间不长，因此自身的IT资源与知识积累都比较少，在这种情况下，企业对于信息资产的保护是不够重视的。 
        欧尚超市的IT工程师指出，大部分普通的工商企业在正常的IT应用情况下，往往会忽视对自己信息资产的保护，而只有在信息资产受到破坏，形成了实际的经济及附加损失的情况下，才会开始重视这方面的问题。 
        记得NOKIA的工程师说过，在很多项目集成中，有些小企业经常发生员工随便安装公司禁止使用的软件或者随意中止安全产品客户端的事件。他们认为，这些员工并没有意识到，自己的行为将会对公司造成很大的安全隐患。 
        另外，大部分的中小企业资金比较有限，投在信息安全上的份额大多不到1%，充其量是购买一些杀毒软件的费用。虽然不能要求这些企业动用大笔资金购买硬件，但是在目前互联网的环境下，普通的杀毒软件很难防范类似蠕虫、DoS等带来的网络动荡。 
        从目前的经验看，由于缺乏必要的安全机制与手段，一旦出现网络动荡或者病毒爆发，这些中小企业中有限的IT人员很难及时维护网络的稳定，加之自身技术力量有限，一般类似事故都有一周甚至更长的影响期。 
选择适合的方案 
        一位咨询公司的安全顾问曾经撰文，对于国内的中小企业，首先是要扭转“安全不重要”的错误认识，而后才能对症下药。他表示，信息安全体制的建立只是安全的第一步，如何有效地贯彻事先制订的信息安全策略，以及不断深化企业的全员信息安全意识，将处于更加重要的地位。 
        换句话说，中小企业信息安全的建立，有赖于企业决策层的大力支持、选择适合自身发展的安全方案，同时做到定期评估和调整安全政策，这样才能保证企业安全体系处于应有的健康状态。 
        从投入上看，国内中小企业的首要目标都是生存，因此对于传统大型企业的“防火墙” +“IPS/IDS” + “防病毒” + “反垃圾邮件” + “内网安全防御” + “数据/应用级别容灾”的策略，中小企业无力、也不需要如此“奢侈”。 
        合理的做法是，通过极为有限的资金，最大程度保护企业的核心信息资产。也就是说，企业要在良好的安全理念指导下，进行细致的规划和评估，利用企业小、防御广度小且集中的优势，展开定点防御。 
        比如，像天津丰益化工这样的几十人规模的进出口公司，每年通过信息化运作的资金超过2个亿，他们就选择了非常务实的做法：将IT资产外包，通过与IDC签订相应的安全保护条款，以最少的代价保护自身的信息资产。 
        对于大一些的公司或者事业单位，比如鲁能纺织，一家年产值近8个亿的轻纺企业，经过多年的发展，企业已经自己建立了内部网络，同时通过供应链管理系统连接上下游合作伙伴，为了保证业务的安全、可靠，他们采用了一体化集成安全网关的方案。这种高度集成的产品集防火墙、IPS、VPN、防病毒网关、反垃圾邮件系统于一身，通过部署在企业网的入口处，大大提高了企业的网络安全。 
        对于更大一点的企业，如国美集团，一家具有30个分支机构的集团公司，经营家电连锁、房地产等多个领域，每天都要通过网络与各个省市的分支机构开展业务。对于这类分支机构较多的工商企业，单纯的网关防御还不能满足要求，这类企业由于业务部门多，其内网的安全一般要求较高，合理的方案是利用接入层/汇聚层交换机实现全网安全解决方案，有条件的用户还可以构建自己的异地数据/应用容灾体系。 
几点提示 
        无论采用何种方案，广大中小企业用户必须认清的一点是，选择安全产品仅仅只是企业信息安全工作的基础，特别是不能够过渡依赖工具，而忽视人为因素。因为从目前大企业的统计来看，内网出问题是最普遍的安全隐患，所以小企业必须要制定公司内部的安全策略，并且确保各个部门与人员能够理解并执行。 
        另外，对于几年来流行的P2P的应用，如MSN、Skype、BT，采取什么样的方式处理，也是应当考虑的。虽然这些应用会影响网络性能，但是很多中小企业还在依赖某些应用联系业务。因此，对于这类问题，中小企业必须区别对待。合理的做法是，用户可以利用IPS等设备提供的协议分析过滤功能或配合交换机，有限制地保留业务用应用，如MSN；杜绝非正常应用，如BT；限制某些非必备应用的带宽，如Skype。 
        最后，在中小企业用户下决心部署安全方案之前，最好做一个整体评估，分析一下企业目前的核心信息资产是什么。比如，对一家连锁超市而言，其交易服务器的重要性显然高于门户网站，这样才能做到有的放矢进行安全策略匹配。 

中小企业的安全策略 
■ 核心思想 
● 安全无小事，小企业也要有安全意识 
● 安全方案要根据企业规模与应用级别选择，漠视与贪多均不可取 
■ 实现模式 
● 外包对安全同样适用 
● 成功的安全是设备与人员双管齐下 
● 事先进行安全评估，日后可以少走弯路