網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全現(xiàn)狀的調(diào)查研究

【摘要】以河北中小企業(yè)為調(diào)研對(duì)象，主要采用問(wèn)卷調(diào)查法（發(fā)放問(wèn)卷和網(wǎng)上調(diào)查），深入調(diào)查網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全狀況。通過(guò)對(duì)調(diào)查結(jié)果分析，發(fā)現(xiàn)：網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全形勢(shì)嚴(yán)峻，其關(guān)鍵影響因素主要有認(rèn)識(shí)誤區(qū)、資金不足、技術(shù)薄弱和制度缺失等。

【關(guān)鍵詞】網(wǎng)絡(luò)環(huán)境；河北中小企業(yè)；信息安全；調(diào)查

中小企業(yè)是河北經(jīng)濟(jì)最主要的組成部分，但因其受技術(shù)水平、安全意識(shí)、人員素質(zhì)、資金投入等因素限制，如何保護(hù)信息安全成為企業(yè)面臨的突出問(wèn)題。本文通過(guò)深入調(diào)查河北中小企業(yè)信息安全現(xiàn)狀并分析其成因，希望能制定出適宜河北中小企業(yè)信息安全的防護(hù)策略，為本省中小企業(yè)構(gòu)建信息安全體系提供借鑒和幫助。

一、研究背景分析

1.研究對(duì)象：本研究用隨機(jī)抽樣的方法，調(diào)查對(duì)象為河北中小企業(yè)（含所轄范圍內(nèi)的縣、市、區(qū)企業(yè)），被調(diào)查的中小企業(yè)涉及化工業(yè)、食品加工業(yè)、紡織服裝業(yè)、建材業(yè)、產(chǎn)品制造業(yè)、鑄造業(yè)等企業(yè)，發(fā)放紙質(zhì)問(wèn)卷200份。為了使研究對(duì)象覆蓋的范圍更大，層次更全面，還通過(guò)專(zhuān)業(yè)問(wèn)卷調(diào)查網(wǎng)絡(luò)平臺(tái)問(wèn)道網(wǎng)發(fā)布調(diào)查問(wèn)卷，調(diào)查對(duì)象為全省不同層次的中小企業(yè)。

2.研究方法：主要采用的是問(wèn)卷調(diào)查法。

3.樣本分析：被調(diào)查對(duì)象為企業(yè)員工的規(guī)模在100～2000人之間，其中90%以上被調(diào)查對(duì)象員工規(guī)模在200～1000人之間。調(diào)查內(nèi)容主要涉及企業(yè)發(fā)生信息安全事件狀況、企業(yè)信息安全機(jī)構(gòu)設(shè)置、信息安全的經(jīng)費(fèi)投入情況、信息安全面臨的主要威脅、企業(yè)主要采用的信息安全防護(hù)措施、企業(yè)信息安全制度建設(shè)狀況等。

4.調(diào)查的實(shí)施：本次調(diào)查于2013年4月開(kāi)始，因?yàn)檎{(diào)查需要多次溝通，核實(shí)數(shù)據(jù)，再輔以網(wǎng)上調(diào)查，費(fèi)時(shí)較多。共發(fā)出有效問(wèn)卷400份，其中紙質(zhì)問(wèn)卷200份，通過(guò)專(zhuān)業(yè)問(wèn)卷調(diào)查網(wǎng)絡(luò)平臺(tái)問(wèn)道網(wǎng)發(fā)放200份，共收回有效問(wèn)卷368份，有效回收率為92%。

二、調(diào)查結(jié)果分析

1.企業(yè)信息安全事件發(fā)生狀況

調(diào)查顯示在過(guò)去的1年內(nèi)（2012年1月～2012年12月），超過(guò) 93.2%的被調(diào)查企業(yè)發(fā)生過(guò)信息安全事件，其中發(fā)生信息安全事件次數(shù)超過(guò)5次的占被調(diào)查企業(yè)的13.1%。

這一調(diào)查結(jié)果表明，河北中小企業(yè)信息安全形勢(shì)非常嚴(yán)峻，如何保護(hù)信息系統(tǒng)安全已經(jīng)成為中小企業(yè)信息化建設(shè)首要面臨的問(wèn)題。

2.目前中小企業(yè)信息安全面臨的主要威脅

調(diào)查發(fā)現(xiàn)，近1年內(nèi)，82.1%的被調(diào)查企業(yè)遭受過(guò)病毒、蠕蟲(chóng)或木馬程序破壞；47.3%的企業(yè)遭受過(guò)黑客攻擊或網(wǎng)絡(luò)詐騙；33%的企業(yè)遭受過(guò)垃圾郵件和網(wǎng)頁(yè)篡改的干擾，還有28%的企業(yè)遭受的破壞竟然來(lái)自企業(yè)內(nèi)部員工的操作。

這一調(diào)查結(jié)果表明，病毒泛濫、網(wǎng)絡(luò)詐騙、黑客攻擊、垃圾郵件和來(lái)自企業(yè)內(nèi)部員工破壞是河北中小企業(yè)面臨的最主要信息安全威脅。其中，病毒和木馬程序的破壞尤為嚴(yán)重，直接造成企業(yè)數(shù)據(jù)丟失、信息泄漏甚至系統(tǒng)癱瘓等后果，嚴(yán)重威脅著企業(yè)的信息安全。

3.企業(yè)信息安全保護(hù)措施現(xiàn)狀

調(diào)查發(fā)現(xiàn)，93.7%的被訪企業(yè)采用了殺毒軟件進(jìn)行病毒防護(hù)和監(jiān)控，25.1%的被訪企業(yè)裝有入侵檢測(cè)系統(tǒng)和硬件防火墻，54.8%的被訪企業(yè)采用了身份認(rèn)證技術(shù)和設(shè)置訪問(wèn)權(quán)限進(jìn)行信息保護(hù)。同時(shí)，通過(guò)調(diào)查也發(fā)現(xiàn)，只有不到29.5%的企業(yè)有定期的數(shù)據(jù)備份，僅有6.9%的企業(yè)為重要信息進(jìn)行了數(shù)據(jù)加密。

這一調(diào)查結(jié)果表明：在信息安全技術(shù)防護(hù)方面，幾乎被訪企業(yè)都采取了信息安全保護(hù)措施，但是大部分企業(yè)卻只停留在病毒防護(hù)和身份認(rèn)證的水平上，而缺少數(shù)據(jù)完整性和數(shù)據(jù)加密等保護(hù)技術(shù)。

4.信息安全管理保障措施情況

調(diào)查發(fā)現(xiàn)，在信息安全管理保障措施方面，25.7%的被訪企業(yè)設(shè)立了專(zhuān)門(mén)的信息安全部門(mén)及相應(yīng)的專(zhuān)職管理人員，44.6%的企業(yè)制定了企業(yè)信息安全管理制度，只有8.5%的企業(yè)能夠?qū)π畔踩珷顩r進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估，而制定信息安全事件應(yīng)急處置措施的企業(yè)卻只有5.3%。

這一調(diào)查結(jié)果表明：河北中小企業(yè)信息安全保障組織構(gòu)架設(shè)立不完善、缺乏信息安全管理制度，定期的信息安全風(fēng)險(xiǎn)評(píng)估以及信息安全應(yīng)急處置預(yù)案措施嚴(yán)重缺失。

5.信息安全經(jīng)費(fèi)投入狀況

調(diào)查發(fā)現(xiàn)，23.5%的被訪企業(yè)信息安全方面的經(jīng)費(fèi)投入占整個(gè)企業(yè)信息化總投資的比例低于5%，39.6%被訪企業(yè)同樣投資比例在5%～10%之間，只有38.5%的企業(yè)信息安全方面的經(jīng)費(fèi)投入已經(jīng)超過(guò)企業(yè)信息化總投資的10%。

這一調(diào)查結(jié)果表明：河北中小企業(yè)安全意識(shí)淡薄，信息安全經(jīng)費(fèi)投入嚴(yán)重不足，低于國(guó)外20%～30%的投資比例[1]。

三、對(duì)策與建議

通過(guò)課題組調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的信息安全問(wèn)題突出，主要表現(xiàn)在認(rèn)識(shí)誤區(qū)、資金不足、技術(shù)薄弱和信息管理制度缺失等方面，要全面解決，必須從法律、技術(shù)和管理等幾個(gè)方面全盤(pán)考慮綜合治理。法律、技術(shù)和管理三者相輔相成，缺一不可，才能共同保證中小企業(yè)信息系統(tǒng)可靠安全運(yùn)行。

1.法律法規(guī)層面

加強(qiáng)政府支持力度和引導(dǎo)力度。僅僅靠中小企業(yè)自身搞信息安全防護(hù)是遠(yuǎn)遠(yuǎn)不夠的，在此過(guò)程中，政府的支持、鼓勵(lì)與引導(dǎo)是至關(guān)重要的。因此，政府應(yīng)不斷完善信息安全相關(guān)法律法規(guī)的建設(shè)，加快網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施建設(shè)，加大打擊網(wǎng)絡(luò)犯罪的力度[2]。同時(shí)，針對(duì)河北中小企業(yè)特點(diǎn)，當(dāng)?shù)卣畱?yīng)加大企業(yè)信息安全重要性的引導(dǎo)和宣傳，讓中小企業(yè)特別是企業(yè)的領(lǐng)導(dǎo)者，充分認(rèn)識(shí)到企業(yè)信息安全的重大意義與作用，從而在日常企業(yè)決策中對(duì)企業(yè)信息安全建設(shè)投資有一定的傾斜，完善企業(yè)信息安全體系建設(shè)。從長(zhǎng)遠(yuǎn)發(fā)展角度和戰(zhàn)略高度來(lái)重視企業(yè)信息安全。

2.技術(shù)層面

設(shè)計(jì)實(shí)施多層次、多方位的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)技術(shù)，以提高企業(yè)風(fēng)險(xiǎn)防范的技術(shù)水平。

風(fēng)險(xiǎn)防范是一個(gè)復(fù)雜的系統(tǒng)工程，從技術(shù)角度，建議從以下幾個(gè)方面來(lái)實(shí)現(xiàn)：

（1）建立網(wǎng)絡(luò)身份認(rèn)證體系。網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的各種商務(wù)活動(dòng)，都需要對(duì)參與商務(wù)活動(dòng)的各方進(jìn)行身份的鑒別、認(rèn)證，這就需要在企業(yè)內(nèi)部建立網(wǎng)絡(luò)身份認(rèn)證體系來(lái)證實(shí)各方的身份，以保證網(wǎng)絡(luò)環(huán)境下各交易方的經(jīng)濟(jì)利益。

（2）配置高效的防火墻。在企業(yè)內(nèi)部網(wǎng)與外聯(lián)網(wǎng)之間設(shè)置防火墻，從而實(shí)現(xiàn)內(nèi)、外網(wǎng)的隔離與訪問(wèn)控制，在他們之間形成一道有效的屏障，是保護(hù)企業(yè)內(nèi)部網(wǎng)安全的最主要、最有效、最經(jīng)濟(jì)的措施之一。

（3）定期實(shí)施重要信息的備份和恢復(fù)。企業(yè)要對(duì)核心的數(shù)據(jù)和應(yīng)用程序進(jìn)行實(shí)時(shí)和定期的備份工作。并把備份數(shù)據(jù)的副本存儲(chǔ)在光盤(pán)上，這樣就可以避免一旦發(fā)生安全事故關(guān)鍵的應(yīng)用程序和數(shù)據(jù)丟失給中小企業(yè)帶來(lái)的巨大損失。

（4）對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密。企業(yè)的各類(lèi)數(shù)據(jù)和應(yīng)用程序，是企業(yè)多年發(fā)展中積累下來(lái)的寶貴數(shù)據(jù)資源，也是企業(yè)決策的重要依據(jù)。因此，要對(duì)這些關(guān)鍵數(shù)據(jù)進(jìn)行加密處理，以提高數(shù)據(jù)的安全性，防止企業(yè)私密數(shù)據(jù)信息被泄露和竊取。

（5）構(gòu)建和實(shí)施虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)。虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)的核心是隧道技術(shù)，它是將企業(yè)專(zhuān)用網(wǎng)絡(luò)中的數(shù)據(jù)采用一定方法封裝后，再通過(guò)公共網(wǎng)絡(luò)隧道進(jìn)行專(zhuān)用數(shù)據(jù)的傳輸，這樣就可以有效地避免數(shù)據(jù)的竊取、篡改，保證數(shù)據(jù)的完整性，最終達(dá)到保護(hù)企業(yè)信息化系統(tǒng)的目的。

3.管理層面

（1）加大經(jīng)費(fèi)投入，提高管理人員技術(shù)水平。此次調(diào)查發(fā)現(xiàn)，河北中小企業(yè)信息安全經(jīng)費(fèi)投入嚴(yán)重不足。企業(yè)應(yīng)加大信息安全方面的經(jīng)費(fèi)投入，加大技術(shù)人員培訓(xùn)和網(wǎng)絡(luò)安全軟、硬件設(shè)備的經(jīng)費(fèi)投入。同時(shí)，建議在企業(yè)內(nèi)部設(shè)置相應(yīng)的信息安全管理部門(mén)，由專(zhuān)職人員負(fù)責(zé)信息安全管理工作，提高企業(yè)信息安全管理的整體水平，以應(yīng)對(duì)各種信息安全威脅。

（2）建立完善、可操作性強(qiáng)的信息安全管理制度。完善的信息安全管理制度是企業(yè)信息安全的必要保障。調(diào)查發(fā)現(xiàn)企業(yè)信息安全最大的威脅來(lái)自操作者不良的操作習(xí)慣和淡薄的安全意識(shí)，因此，要使中小企業(yè)信息安全防患于未然，必須提高員工的安全意識(shí)，并制定出周密的安全策略來(lái)規(guī)范員工的行為[3]。

總之，對(duì)于河北的中小企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)信息安全是一個(gè)龐大的系統(tǒng)工程，企業(yè)要從實(shí)際出發(fā)，首先應(yīng)對(duì)信息安全有一個(gè)清醒的評(píng)估，然后有針對(duì)性地制定保護(hù)策略，同時(shí)還要加強(qiáng)企業(yè)信息安全管理制度建設(shè)，加強(qiáng)企業(yè)信息從輸入、使用到輸出全流程的權(quán)限管理，這樣才能以最小的投入，建立起一道堅(jiān)固的中小企業(yè)網(wǎng)絡(luò)安全防護(hù)的屏障。

參考文獻(xiàn)

[1]高林 我國(guó)中小型企業(yè)信息安全現(xiàn)狀與對(duì)策[J].吉林廣播電視大學(xué)學(xué)報(bào)，2010（4）：56-57.

[2]林山.中小企業(yè)信息安全問(wèn)題及解決方案[D].重慶：重慶大學(xué)，2007.

[3]徐黎源.中小企業(yè)信息安全管理模型[J].科技經(jīng)濟(jì)市場(chǎng)，2009（9）：88-89.

[4]林明儒.泉州地區(qū)中小企業(yè)信息安全狀況調(diào)查分析[J].遼寧工業(yè)大學(xué)學(xué)報(bào)，2011

作者簡(jiǎn)介

趙曉華（1969—），女，1993年畢業(yè)于河北科技師范學(xué)院，講師，在滄州師范學(xué)院經(jīng)濟(jì)管理學(xué)院從事電子商務(wù)教學(xué)工作。

基金項(xiàng)目

注：本課題是河北省社會(huì)科學(xué)發(fā)展研究課題《網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全現(xiàn)狀研究》課題編號(hào)為：201303063 研究成果。