随着中小企业信息技术应用水平的提高，相伴而来的各种信息安全问题将会更加明显。中小企业由于其在信息化方面管理和网络安全防范相对薄弱等特点，在各种信息安全灾难中往往首当其冲，更容易受到 冲击成为重灾区。企业建在计算机网络基础上的ERP、CRM、OA、SCM、MIS等信息化工程，由于缺乏足够的信息安全保障，成为网络安全的“豆腐渣工程”。信息安全问题的危害不仅在于对企业造成了实际的损失，对许多中小企业来说，信息化的需求本身就不是非常明确，往往因为担心信息安全和由此增加的成本而裹足不前。中小企业信息安全问题伴随着其信息化的进程而日显突出，将面临着严峻的考验，如果不能建立起对中小企业信息化安全方面的保障机制，将会严重制约中小企业信息化的发展。 中小企业信息化面临信息安全威胁

对那些已经实施了信息化的中小企业来说，各种信息安全问题往往成为困扰他们的噩梦。与大企业一样，只要企业的计算机连接上了网络，就会面临各种潜在的攻击，而暴露出来的安全问题可能只是冰山一角，在很多情况下，企业甚至根本不知道自己的网络受到了攻击，存在巨大的安全隐患。

中小企业面临的信息安全威胁主要来自以下几个方面：

病毒泛滥。虽然现在中小企业的信息安全意识有所提高，各种杀毒软件的技术一直在升级，电脑病毒也在升级，让中小企业难以应付，八成以上的企业局域网电脑带毒运行。

黑客攻击。目前中小企业的电脑已成为黑客散布垃圾邮件和“钓鱼”信息、传播间谍软件和广告软件、集体攻击组织团体、盗取机密信息的重要手段用于对其他网络进行攻击的目标，而绝大多数中小企业对于防火墙等技术非常陌生，面对黑客攻击束手无策。

垃圾邮件。电子邮件是中国网民最常用的互联网功能之一，但垃圾邮件浪费了大量的网络带宽、存储空间和用户时间。特别是对一些中小企业来说，没有自己的邮件服务器，而是租用网上邮箱，对垃圾邮件更是不胜其扰，产生许多信息安全隐患。值得指出的是，中小企业既是垃圾邮件的受害者，也是许多垃圾邮件的制造和发送者。

网络欺诈。近年来，电子商务迅猛发展，网上银行业务普及速度加快。与此同时，以盗取用户资金为目的的各种网络攻击和网络欺诈行为使网银案件层出不穷，并且呈现攻击工具和攻击行为有组织、产业化运作的倾向，有些更发展成为集团化犯罪组织。中小企业在开展信息化进行网上交易时，如果不注意防范，容易造成直接经济损失。

恶意软件。在过去的一年里，90%以上的上网电脑都在未被告知并经许可的情况下安装或曾经安装了各类广告软件、浏览器劫持、间谍软件、恶意共享软件、行为记录软件或恶作剧程序，有些间谍软件、行为记录软件能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息，为黑客打开方便之门，造成了网络安全的严重隐患。

信息失控。由于中小企业普遍缺乏信息资源、信息资产的保护意识和手段，员工流动性也较大，这类问题更容易产生。同时，中小企业员工的信息安全意识相对落后，而企业管理层在大部分情况下也不能很好地对企业信息资产作出鉴别，很多时候，员工某些不经意的行为就会对企业的信息资产造成破坏。

设备安全。员工不当使用可能会造成包括网络设备、数据库软件、WEB应用、操作系统等的系统故障，从而使企业数据损坏丢失，在中小企业的信息安全问题中，这也是不容忽视的因素。

入侵攻击。由于入侵者或入侵组织在网络上的入侵行为往往混杂于正常的网络活动之中，并且没有地域和时间的限制，因而其隐蔽性很强。此外，入侵的手段和工具正趋向复杂化和多样化。

中小企业信息化面临的信息安全威胁，是由当前中国网络安全环境决定的，同时，由于人力和资金上的限制，中小企业信息安全防线更加脆弱，问题还没有从根本上得到解决。网络攻击是不会按照企业规模大小来挑选对象的，只会挑选安全保护有漏洞的企业乘虚而入，如何认识中小企业信息安全问题的特点、采取有针对性的举措保障中小企业的信息安全，将是推进中小企业信息化的关键。

中小企业信息安全问题五大症结

从现状来看，在推进中小企业信息化时，信息安全问题往往并非企业首要考虑的因素。对中国许多中小企业来说，认识到信息化的重要性并下决心实施已经是件很不容易的事情了，企业主更关心的是如何通过信息设备投资提高对市场反应的速度和生产过程管理的效率并产生收益，而对信息安全问题还没有足够的认识，这导致了中小企业在信息安全方面投入的不足，进而导致中小企业信息安全普遍存在较大隐患。改善中小企业信息安全环境，必须破解如下症结：

认识误区。安全问题首先是安全意识问题，对中小企业来说，有许多认识误区和安全盲点。有的企业根本没有意识到信息安全问题的重要性，没有意识到信息也是一种资源、一种资产，需要像对待资金一样重视、保护，对不同重要程度的信息需要进行不同级别的保护。有的企业对信息安全问题认识过于简单，还有些企业存在侥幸心理或者听天由命心理，认为黑客、病毒连大企业都防范不了，自己更不用操心了。

资金不足。中国中小企业普遍有较强的市场意识、竞争意识，不少也认识到了信息化和信息安全的重要性，但投资回报是他们开展信息化最主要考虑的因素，此时有限的资金就成为了瓶颈。发达国家在信息化方面的投资占总资产的8%～10%，我国只有0.3%。中小企业规模小、抗风险能力低，对企业信息化投资的敏感程度远大于大企业，而系统硬件和ERP、OA、CRM等软件和实施成本将占去企业有限预算中很大的一部分，再进行安全投资就捉襟见肘了，只好放到下一步再考虑。

人才瓶颈。很多中小企业本身就缺乏专门的IT人员，更不可能为信息安全去配备专业的人才。企业在信息化建设中普遍重硬件、轻软件，认为购买了电脑、组建了局域网，能够接入互联网就是实现了信息化，IT人员在企业中没有相应的地位，只是进行简单的网络维护，缺乏防范信息安全漏洞的必要知识，部分IT人员还有多一事不如少一事、报喜不报忧的心理，使企业领导不了解真实情况。

制度缺失。信息化实施，三分技术，七分管理。大部分的信息安全问题是由于企业没有必要的安全管理制度而产生的，例如，企业员工利用工作电脑上网聊天玩游戏、浏览不良网站、擅自下载安装软件、未经允许拷贝敏感文件、甚至使用黑客软件等，这些行为如果不能有效制止，会大大增加网络中毒的风险。信息系统的软硬件管理、维护、使用本来就会耗费大量的精力，如果没有合理的信息安全管理制度并能够得到严格的执行更会让IT人员疲于奔命。

方案有限。许多有远见的中小企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将可以极大地提升企业的核心竞争力，但由于缺乏足够的资金和人才，企业对自身信息化需求又不能做到很明确；同时，处在残酷的竞争环境中，中小企业的经营策略灵活多变，而与之配套的信息化系统建设和调整的周期往往比较长，企业往往难以承担开发购买的费用。对IT厂商来说，中小企业信息化市场投入大、回报少、风险大，所以适合中小企业使用的信息化安全解决方案优秀的还不多。

与发达国家相比，国内中小企业的发展时间较短，信息化的起步水平较低，面临严峻的信息安全形势。这更让一些中小企业对信息化的真实效果和风险产生疑惑，对信息化望而却步。因此国家在推进信息化战略时，对中小企业信息化的安全问题需要给予高度重视，只有为中国的中小企业构筑一个技术先进、管理高效、安全可靠的网络信息安全体系，才能大范围地提高中国中小企业信息化的水平以及信息资源利用水平和信息安全保障水平。