云穎

關鍵詞大數(shù)據：中小企業(yè)：信息安全

1信息安全對中小企業(yè)發(fā)展的重要意義

隨著我國經濟水平的不斷提升，中小企業(yè)的數(shù)量越來越多，中小企業(yè)為推動我國市場經濟的發(fā)展發(fā)揮了十分重要的作用，同時為社會提供了大量的就業(yè)崗位和機會。但是，很多中小企業(yè)受到規(guī)模小、資金少、抵御風險能力差的限制，其生存時間是非常短的。我國向來重視中小企業(yè)信息化建設與發(fā)展，切實推動中小企業(yè)信息化發(fā)展，幫助其有效優(yōu)化信息化服務，降低信息技術應用成本。大數(shù)據時代，加強信息化安全管理也是中小企業(yè)信息化建設和發(fā)展的重要組成部分[1]。中小企業(yè)開展信息化管理，企業(yè)有關重要信息包括客戶資料、訂單詳情、生產工藝以及技術流程等都會在互聯(lián)網中存儲，這些數(shù)據信息對中小企業(yè)是至關重要的，一旦被泄露、篡改、刪除或者丟失，都將影響企業(yè)的正常運行，甚至給中小企業(yè)帶來致命的打擊。因此，有效維護中小企業(yè)信息安全，提升其信息安全管理水平，是推動和維持中小企業(yè)健康長遠發(fā)展的關鍵要素。

2大數(shù)據背景下中小企業(yè)信息安全管理的內涵

2.1中小企業(yè)信息安全管理更加多元化

信息技術的蓬勃發(fā)展使信息全球化發(fā)展速度不斷加快，也使信息在社會和經濟發(fā)展中所占據的地位越來越重要。事實上，信息技術已經融人我們日常生活的方方面面，同時成為社會生產過程中最為重要的生產要素之一。

本文所介紹的中小企業(yè)信息安全是指中小企業(yè)在利用互聯(lián)網信息技術開展經營業(yè)務時，所涉及的各種網絡設備、軟件系統(tǒng)以及保存在系統(tǒng)中的所有數(shù)據受到應有的保障，不會因為意外或者惡意而遭到破壞、攻擊或者竊取，進而確保中小企業(yè)可以維持正常的經營秩序，信息服務可以正常運轉。中小企業(yè)信息安全管理多元化表現(xiàn)在以下幾個層面，分別是：數(shù)據安全、系統(tǒng)應用安全、用戶信息安全、網絡安全以及硬件設備安全。中小企業(yè)信息安全管理各個層次之間相互聯(lián)系、互相影響。任何一個層次出現(xiàn)問題，都會造成不同的信息安全隱患。因此，為了提升企業(yè)信息安全管理能力，中小企業(yè)必須對不同層次采用區(qū)別化的應用措施。事實上，中小企業(yè)開展信息安全工作是一個動靜結合的維護過程。一方面，需要利用靜態(tài)的防火墻、登錄認證以及系統(tǒng)加密等手段進行系統(tǒng)加固：另一方面，利用動態(tài)的監(jiān)測手段，比如定期的漏洞監(jiān)測，系統(tǒng)入侵檢測或者系統(tǒng)安全監(jiān)測等對企業(yè)網絡系統(tǒng)進行實時監(jiān)管，及時發(fā)現(xiàn)問題并反饋給企業(yè)維護人員，從而構建系統(tǒng)化、機構化的動態(tài)網絡系統(tǒng)安全模式。

2.2中小企業(yè)需要的安全服務更加豐富

當前，中小企業(yè)所需要的安全服務主要有：（1）判斷信息的真實性，即對訪問系統(tǒng)的信息來源進行判斷，進而甄別其真實性。（2）對信息進行保密性處理。中小企業(yè)涉及的信息內容包括企業(yè)自身的信息、企業(yè)機密以及用戶信息等，這些資料是中小企業(yè)賴以生存和發(fā)展的基礎。因此，中小企業(yè)要采取必要的保密措施，確保企業(yè)的這些信息不被竊取、破壞或者篡改。（3）確保數(shù)據信息的完整性。（4）保證信息的可用性。確保企業(yè)自身和用戶可以對數(shù)據資源進行合理的利用。（5）強化對信息的可控性。主要體現(xiàn)在企業(yè)對數(shù)據信息的傳播和使用具有一定的控制能力。

3大數(shù)據對中小企業(yè)信息安全的挑戰(zhàn)

3.1網絡社區(qū)化使中小企業(yè)數(shù)據極易成為攻擊目標

隨著互聯(lián)網技術的不斷發(fā)展，網絡社區(qū)化趨勢越發(fā)明顯，為不同行業(yè)領域的信息資源共享提供了更為便捷的網絡空間。同時，以云計算、大數(shù)據為特點的網絡社區(qū)也為中小企業(yè)提供了更為開放、數(shù)據整合更加快速的數(shù)據集合[2]。但是，由于互聯(lián)網的共享性和暴露性，導致中小企業(yè)被黑客攻擊的現(xiàn)象時有發(fā)生。換言之，在開放性更強的網絡環(huán)境中，數(shù)據和數(shù)據之間的聯(lián)系更加密切，對于黑客來說，可以用更低的成本去獲得和破壞更多的數(shù)據。近年來，從互聯(lián)網上發(fā)生的企業(yè)泄密事件可以看出，在大數(shù)據環(huán)境下，企業(yè)信息更容易受到黑客的攻擊，從而造成嚴重的后果。

3.2非結構化數(shù)據對中小企業(yè)數(shù)據存儲提出更高要求

在此之前，數(shù)據存儲分為2種，分別是關系型數(shù)據庫以及文件服務器。進人大數(shù)據時代，數(shù)據類型的種類越加豐富。在互聯(lián)網中，有超過80％的數(shù)據為非結構化數(shù)據[3]。盡管NoSQL數(shù)據庫具有可擴展性和可應用性等特點，但是在數(shù)據存儲方面依然存在較多問題：（1） SQL技術的訪問控制和隱私管理比較嚴苛，NoSQL還沒有辦法使用SQL的模式；（2）由于NoSQL使用的是新的代碼，但是依然存在很多漏洞。更重要的是，軟件服務器的安全性能有待提升，這對于人才、資金都十分短缺的中小企業(yè)來說，無疑增加了成本輸出。由于中小企業(yè)并未在客戶端建立必要的安全措施，產生了大量的安全隱患，給企業(yè)信息安全帶來了巨大的風險。

3.3新技術的應用增加了中小企業(yè)安全管理風險

隨著科技的不斷發(fā)展，人工智能、防火墻、無線路由等網絡技術、網絡設備得到了人們的廣泛應用，極大地方便了數(shù)據的收集、整理和分析。但是，我們也應該注意到，信息技術的不斷發(fā)展使中小企業(yè)信息安全管理難度不斷提升。從大數(shù)據層面分析，大數(shù)據安全防護不到位。盡管大數(shù)據給企業(yè)發(fā)展帶來了很多便利，但是，大數(shù)據在數(shù)據控制、安全防護、訪問限制、存儲管理等方面的不足，使數(shù)據泄密成為家常便飯。另外，大數(shù)據本身就是一個可以被連續(xù)攻擊的載體，可能引發(fā)大數(shù)據內容中各種病毒以及惡意軟件的長期攻擊。對中小企業(yè)而言，由于其在資本、專業(yè)人才以及技術能力上的短板，造成其沒有更多的手段和措施應對大數(shù)據時代帶來的風險。更重要的是，中小企業(yè)的領導者、管理層缺乏信息安全管理意識，對企業(yè)信息安全的內容知之甚少，更談不上如何對企業(yè)自身信息資源和數(shù)據進行保護。

4存在的問題

4.1軟硬件漏洞情況嚴重

中小企業(yè)信息安全軟硬件漏洞問題主要體現(xiàn)在：一方面，硬件安裝隱患。包括路由器、防火墻等安全設備性能較低，不能及時發(fā)現(xiàn)互聯(lián)網中的木馬及病毒。此外，中小企業(yè)由于人員和資金的限制，并沒有專門設置信息安全管理部門，沒有專業(yè)的人員對企業(yè)硬件進行定期的維護，這也在一定程度上削弱了硬件設備的安全性能。另一方面，系統(tǒng)軟件存在漏洞，容易受到病毒或者木馬等惡意軟件的攻擊。中小企業(yè)在日常經營過程中，必然會用到各種應用軟件、操作系統(tǒng)等，如果軟件或者系統(tǒng)中存在安全漏洞，極易成為外界攻擊的關鍵點。與此同時，很多中小企業(yè)的應用軟件及系統(tǒng)都交由第三方軟件公司進行設計，軟件公司為了后期維護方便，經常在系統(tǒng)內部設置所謂的“后門”，這些“后門”的存在也為黑客提供了便利，惡意攻擊者往往會通過其進行數(shù)據的竊取或者破壞，甚至造成中小企業(yè)整個信息系統(tǒng)的癱瘓。

4.2缺少信息安全管理制度

通過調研發(fā)現(xiàn)，很多企業(yè)在信息安全領域并沒有構建完善的管理機制，這種情況在中小企業(yè)十分普遍，也嚴重影響了中小企業(yè)信息安全的最終效果。由于中小企業(yè)缺少完備的網絡維護機制，不能對企業(yè)信息進行有效的保護，信息丟失、被竊取和破壞的情況時有發(fā)生，給中小企業(yè)長遠發(fā)展造成巨大的安全隱患。

5大數(shù)據背景下中小企業(yè)信息安全優(yōu)化策略

5.1構建完善的中小企業(yè)大數(shù)據信息安全管理體系

大數(shù)據背景下，中小企業(yè)信息安全面臨更大的挑戰(zhàn)，單一、片面的信息管理已經難以滿足中小企業(yè)信息安全的需求。因此，對于中小企業(yè)而言，需要構建更加全面和完善的信息安全管理體系來應對復雜多變的網絡環(huán)境。一方面，中小企業(yè)要提前預警。以往，中小企業(yè)通常都是在受到安全威脅之后，才會根據受攻擊情況制定對應的解決策略。大數(shù)據環(huán)境下，必須主動轉變信息安全防護思維，擺脫傳統(tǒng)以問題為基礎制定信息安全防護策略的束縛，中小企業(yè)要強化企業(yè)信息安全機制，應該著眼于大數(shù)據本身，通過數(shù)據收集、整理以及分析發(fā)現(xiàn)可能存在的安全隱患，進而提前制定安全防護方案。針對中小企業(yè)信息安全管理體系，需要構建完善的組織機構和管理機構，包括企業(yè)信息安全監(jiān)管機制、信息安全響應機制、大數(shù)據備份機制、訪問機制等。需要注意的是，對于中小企業(yè)的關鍵信息，應該設置一定范圍內的共享，減少非必要人員的接觸次數(shù)，尤其嚴禁將企業(yè)內部信息在企業(yè)外部進行傳播。另一方面，建立大數(shù)據管理制度。數(shù)據在中小企業(yè)內部傳遞的過程中依然存在較大風險，原因在于，企業(yè)數(shù)據在傳輸過程中有可能被竊取或者被破壞。因此，制定大數(shù)據管理制度，可以提高數(shù)據存儲、管理、分析和應用的規(guī)范性和安全性。此外，中小企業(yè)應該推動企業(yè)組織結構的扁平化管理，從而提高企業(yè)相關信息在各個部門之間的流轉速度。

5.2提升中小企業(yè)員工的信息安全能力

（1）要不斷提升全體員工信息安全意識。大數(shù)據時代，企業(yè)信息安全管理已經成為企業(yè)管理的重要組成部分。為了不斷提升中小企業(yè)信息安全等級，強化企業(yè)信息安全管理，對于中小企業(yè)而言，必須提升全體員工對信息管理的重視程度。一方面，在領導層面，要從思想上認識到企業(yè)信息安全管理的重要性，從人才儲備、技術投入和設備選取等方面加大投入力度，為企業(yè)信息安全管理奠定良好的硬件和軟件基礎。另一方面，在法律層面，加強對員工的法制教育，強化企業(yè)內部各種制度的制定和實施，有效維護企業(yè)的合法權益，不損害企業(yè)利益，不泄露企業(yè)機密。

（2）加大員工信息安全培訓力度。中小企業(yè)在發(fā)展過程中，要不斷提升企業(yè)員工信息安全能力和信息安全素養(yǎng)，這就要求中小企業(yè)結合發(fā)展實際定期對員工進行信息安全培訓。企業(yè)需要制定符合企業(yè)現(xiàn)狀的安全培訓制度，按照制度安排安全培訓課程，并進行課程結業(yè)考核。為了提升員工對信息安全培訓的重視程度，建議將安全培訓考核與員工績效進行一定的關聯(lián)，從而有效提升信息安全培訓的效果。需要注意的是，對于企業(yè)內部涉及機密信息的崗位，要加大對其安全培訓力度，明晰崗位職責，不斷提升關鍵崗位員工的信息安全管理能力。

5.3以大數(shù)據技術為支撐

（1）利用病毒防控技術，提升企業(yè)信息安全保護等級。加強對互聯(lián)網病毒的預防，通過對企業(yè)各類電子計算機和服務器等硬件設備的定期掃描，強化對企業(yè)信息安全的管理，從源頭上切斷病毒傳播的途徑，規(guī)避企業(yè)被網絡黑客攻擊的危險。另外，為了防止企業(yè)機密被木馬或者黑客惡意攻擊，中小企業(yè)可以通過各種技術，實現(xiàn)對各類信息數(shù)據的加密管理，并通過定期的巡查和漏洞、補丁修復，對企業(yè)信息安全管理進行技術整改。

（2）利用大數(shù)據分析技術構建企業(yè)信息管理平臺。以大數(shù)據分析技術為基礎的企業(yè)信息安全管理平臺，圍繞企業(yè)總資產，通過對影響企業(yè)信息安全的因素進行分析，構建實時風險模型。利用該平臺可以幫助企業(yè)對可能存在的風險進行預警、評估和響應。企業(yè)利用大數(shù)據技術構建信息管理平臺，可以實時監(jiān)控來自企業(yè)內部和外部的各種信息，明確企業(yè)信息安全管理的漏洞和不足，提前預警可能存在的危險，從而不斷提升中小企業(yè)信息安全管理水平。