浅谈中小企业的信息安全及对策
时间:2022-09-05 11:03:41
摘要:一般而言,中小企业发生数据泄露事件的一个主要原因,是他们不知道自己的敏感信息和机密商业信息位于网络或企业系统中的位置。由于缺乏这种了解,加上数据存储方面的控制措施不到位,数据泄露变成了重大威胁。因而,加密方法和加密软件成为人们关注的问题。
关键词:信息安全;加密方法;加密软件
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)19-30003-01
1 正确认识中小企业信息安全重要性
信息时代,企业的正常运作离不开信息资源的支持,这包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等,这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶,是企业发展的方向和动力,关乎着企业的生存与发展,企业的重要信息一旦被泄露会使企业顿失市场竞争优势,甚至会遭受灭顶之灾。因此,企业要保持健康可持续性发展,信息安全是基本的保证之一。
2 危害中小企业信息安全的罪魁祸首
在媒体的宣传下,病毒、木马、蠕虫、黑客已经成为危害信息安全的罪魁祸首,但是据信息专家论证,对计算机系统造成重大破坏的往往不是它们,而是组织内部人员有意或无意对信息的窥探或窃取。未来安全问题不再是过去简简单单的一个病毒或者一个黑客,它将朝着更多元化的方向发展,对于中小企业而言,无论是数据失窃、邮件泄密、打印泄密、还是网络瘫痪,也许都将是一次彻底的毁灭。
3 哪些信息需要保密
一般而言,中小企业发生数据泄露事件的一个主要原因,是他们不知道自己的敏感信息和机密商业信息位于网络或企业系统中的位置。由于缺乏这种了解,加上数据存储方面的控制措施不到位,数据泄露变成了重大威胁。另外,这种危险并不仅仅出现在企业的网络上,还出现在员工和合作伙伴的笔记本电脑及其他便携存储设备上。许多组织越来越担心遇到数据泄密事件。据调查分析,知识产权、商业机密信息、客户及消费者数据,以及员工数据成为面临风险最大的四种数据,当然 也是最需要保密的数据。一般而言,自主研发型的企业产品研发部门是最需要进行电子数据加密的,而其他企业根据经营特点的不同,也可能把营销部门或财务部门等其他部门列为数据安全保护的重点部门。
4 如何选择适合的加密方法
总的来说,目前市场上有如下几种主流的加密方式:
一种是文件夹加密,主要是提供给单个用户使用,对放置机密文件的文件夹进行加密,打开时需要输入密码,此种加密软件多为个人或软件工作室制作,并不稳定,建议慎重使用,一旦重要资料加密后无法打开问题就比较严重了。
第二种就是我们常说的透明加密,这种加密方式的特点在于:不影响正常工作,而密文一旦脱离加密环境就无法打开,可以说是当前一种比较严密的数据保护方法。
第三种是USB接口加密,就是屏蔽USB设备或绑定USB存储设备,对于绑定以外的USB设备无法识别。虽然这种方式不是严格意义上的数据加密,但因其原理简单,对系统底层接触较小,出问题的几率比较小,所以应用范围也很广泛。
对于企业用户我们推荐使用第二种方式,第三种方式虽然也可以,但其硬盘上的资料为明文,一旦硬盘被窃用,或文件通过网络的方式传递出去,也很容易造成泄密。从数据的严格安全性上考虑,可以选择第二种和第三种加密方法同时使用。
5 如何选择合适的加密软件
那么如何选择加密软件,尤其是透明加密类型的软件呢?首先,一定不要当实验品。很多加密软件公司都是刚刚起步,或者刚刚涉足数据加密领域,其产品虽可能与其他软件公司的产品原理相同,功能类似,但其中的Bug一定很多。对于透明数据加密软件,一旦出现问题,计算机上的文件都会无法打开,或者某个文件被破坏永久无法打开,这对正常工作的影响是很大的。所以,我们在选择透明加密产品之前一定要弄清楚该公司此款软件的研发时间,第一个版本的上市时间,目前的软件版本,其客户有哪些,并最好能对其客户进行电话或访问调研。
其次,一定要考察好该公司的售后服务情况。对于此类软件,在实际应用过程中因为环境的不同都多多少少会有一些“水土不服”,这时良好的售后服务会给IT人员减轻很大的“心理”负担。而且IT人员要多给软件公司一些信心,一些比较少见的问题要给予足够的时间进行解决,毕竟此类软件与系统底层接触的比较多,可能出现的问题也会比较多。
再次,购买前一定要进行一段时间的真实环境测试,一般的软件商都会提供试用版,一定要进行充分的试验,尤其是要注意,自己公司使用的工作软件是否全部与该公司软件兼容,如有个别不兼容,软件公司是否有能力进行相应的升级开发予以解决。
本文的案例企业在选择软件时也进行了长时间的测试,并且选择了一家研发实力较强、售后服务较好的企业,购买了该公司5.0版本的透明加密产品,期间虽然也出现过多次问题,但软件公司都及时解决了。
6 制定配套的安全措施
是不是选择了一套比较好的透明加密软件就可以高枕无忧了?当然不是,任何单一的解决方案都是有漏洞的。透明加密软件也不例外,这个“软肋”就是软件的解密端,任何部门也不能保证内部的电子资料不向外传递,任何一款加密软件也必然要有他的解密出口,这一出口就成了加密软件的“软肋”,不过,“软肋”不是没有办法解决的,配合相应的制度和策略就可以形成一套严密完整的解决方案。