如何解決中小微企業(yè)面臨的網(wǎng)絡(luò)安全防護(hù)問題

中小微企業(yè)是數(shù)量最大、最具活力的企業(yè)群體，是社會主義市場經(jīng)濟(jì)的重要組成部分，是我國實體經(jīng)濟(jì)的重要基礎(chǔ)。根據(jù)第四次全國經(jīng)濟(jì)普查的數(shù)據(jù)顯示，截至2018年末，我國中小企業(yè)法人單位一共是1807萬家，占全部規(guī)模企業(yè)法人單位的99.8%。

在互聯(lián)網(wǎng)經(jīng)濟(jì)高速發(fā)展和數(shù)字化建設(shè)逐步加快的今天，保護(hù)信息資產(chǎn)對中小微企業(yè)的成功至關(guān)重要。對于需要滿足合規(guī)性要求或需要保護(hù)敏感數(shù)據(jù)的企業(yè)來說，保護(hù)信息資產(chǎn)已成為一個優(yōu)先事項。畢竟攻擊的方式多種多樣，但安全防護(hù)的技術(shù)壁壘卻很高，而一旦被攻破，可能會造成數(shù)據(jù)泄露、數(shù)據(jù)篡改、服務(wù)停用甚至巨額賠償，危害和影響可謂是巨大的。而在這方面中小微企業(yè)都面臨的挑戰(zhàn)是：如何在控制投資和運(yùn)營成本的同時，實施穩(wěn)健的安全措施？這讓中小微企業(yè)管理人員頗為頭疼。下面我們就中小微企業(yè)安全防護(hù)面臨的問題進(jìn)行剖析，并針對這些問題提出一些可行性建議。

一. ?中小微企業(yè)面臨的網(wǎng)絡(luò)安全困境

1.1 ?網(wǎng)絡(luò)環(huán)境日趨復(fù)雜：部署難

1.1.1 ?云與本地結(jié)合，界限模糊

在互聯(lián)網(wǎng)產(chǎn)品日新月異的今天，網(wǎng)絡(luò)的建設(shè)也進(jìn)入了一個新的時代。以往的企業(yè)，想建設(shè)自己的網(wǎng)站，可能需要為本地機(jī)房租賃場地、購買昂貴的高性能服務(wù)器，并安排專業(yè)的運(yùn)維人員對基礎(chǔ)設(shè)施進(jìn)行維護(hù)。而隨著云計算的逐漸興起，公有云、私有云的出現(xiàn)，許多企業(yè)開始把數(shù)據(jù)往云上遷移，以縮減成本，提高效率。但對于那些已經(jīng)有本地機(jī)房的企業(yè)來說，短時間內(nèi)可能無法完全放棄本地機(jī)房，于是就會出現(xiàn)一部分?jǐn)?shù)據(jù)在云上，一部分?jǐn)?shù)據(jù)在本地，網(wǎng)絡(luò)界限模糊的情況，這就給網(wǎng)絡(luò)的安全防護(hù)帶來了新的問題。

1.1.2 ?異地辦公與遠(yuǎn)程辦公

為了擴(kuò)展業(yè)務(wù)，不少企業(yè)都在全國各地開設(shè)了分公司、辦事處等分支，分支的員工相對于總部來說，等于是異地辦公；同時，因為出差或職業(yè)性質(zhì)關(guān)系、或為了節(jié)約成本、或因特殊情況（如抗擊疫情）等，不少員工需要遠(yuǎn)程辦公。不論是異地辦公還是遠(yuǎn)程辦公，都需要共享公司數(shù)據(jù)，訪問OA，運(yùn)營網(wǎng)站等，如何同時保證本地、異地和遠(yuǎn)程的網(wǎng)站訪問安全？這也對公司的網(wǎng)絡(luò)建設(shè)和安全防護(hù)提出了較高的要求。

1.1.3 ?等保合規(guī)要求高

2019年5月13日下午，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（以下簡稱：等保2.0）正式發(fā)布，2019年12月1日起正式實施。標(biāo)志著等級保護(hù)標(biāo)準(zhǔn)正式進(jìn)入2.0時代。等保2.0是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法，為了滿足等保2.0中的合規(guī)要求，企業(yè)需要在網(wǎng)絡(luò)中串聯(lián)各種安全設(shè)備，并為了滿足高可用性，對鏈路進(jìn)行冗余部署，隨著安全設(shè)備越來越多，網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，成本也直線上升。如何省心又省錢地滿足等保合規(guī)要求，成為中小微企業(yè)不得不面對的難題。

1.2 ?攻擊方式層出不窮：防護(hù)難

網(wǎng)絡(luò)攻擊的方式多種多樣，已知的如DDoS攻擊，WEB攻擊，數(shù)據(jù)庫攻擊等，歷史悠久，攻擊方式已被大眾所熟知，但相關(guān)安全事件仍舊層出不窮。

最近幾年， 勒索病毒、APT高級威脅、釣魚、社會工程又成為了網(wǎng)絡(luò)安全熱點，再加上Apache、 tomcat等web服務(wù)相關(guān)程序的漏洞不停被爆出，未知攻擊變得越來越多，防護(hù)設(shè)備所使用的技術(shù)領(lǐng)先性和持續(xù)更新就變得尤為重要，而傳統(tǒng)防護(hù)方式可能會因為企業(yè)已購硬件不支持升級最新版本，但又無力采購新硬件而使企業(yè)在面對未知攻擊時捉襟見肘，防護(hù)效果大打折扣。

1.3 ?廠商多、產(chǎn)品繁：選擇難

隨著我國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模的快速增長，安全廠商也如雨后春筍般涌現(xiàn)。根據(jù)中國信通院發(fā)布的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書（2019年）》報告，2019年我國網(wǎng)絡(luò)安全從業(yè)企業(yè)近3000余家。

安全產(chǎn)品分類也多種多樣，例如針對網(wǎng)站安全防護(hù)最有效的WAF產(chǎn)品，就可分為硬件WAF、軟件WAF和云WAF，每種產(chǎn)品都有數(shù)十家甚至更多的供應(yīng)商，讓沒有專業(yè)安全專家的中小微企業(yè)難以抉擇。

1.4 ?投資大、人才缺：成本高

網(wǎng)絡(luò)安全設(shè)備價格不菲，以硬件WAF為例，一臺性能為百兆的硬件WAF產(chǎn)品，價格約在十幾萬到幾十萬元不等。購買設(shè)備后，還需要每年續(xù)費以保證license有效，才能繼續(xù)升級最新功能和進(jìn)行補(bǔ)丁更新，且一臺硬件WAF設(shè)備的生命周期約為五年，五年后，需要報廢重新購買，這些都成為企業(yè)網(wǎng)站安全防護(hù)潛在的成本。

同時，專業(yè)的安全運(yùn)維人員也是必不可少的。眾所周知，網(wǎng)絡(luò)攻擊形式多樣，因此漏報和誤報率也一直居高不下。為了使企業(yè)能夠安全、平穩(wěn)的運(yùn)營，需要專業(yè)的安全運(yùn)維人員對安全設(shè)備的告警進(jìn)行響應(yīng)和處理。而面對安全人員緊缺的現(xiàn)狀，缺少高薪和清晰的發(fā)展前景的中小微企業(yè)在招聘上無疑是沒有什么競爭力的。

二. ?中小微企業(yè)安全防護(hù)推薦解決方案：Sec-aaS服務(wù)

針對上述部署難、防護(hù)難、選擇難、成本高的問題，Sec-aaS服務(wù)是一個不錯的解決方案。

2.1 ?Sec-aaS（Security-as-a-service，安全即服務(wù)）是下一代托管安全服務(wù)，致力于通過互聯(lián)網(wǎng)提供專門的信息安全服務(wù)

Sec-aaS服務(wù)包含了所有的云計算特性，例如使用方便、對共享資源池通過網(wǎng)絡(luò)按需訪問，同時也具有云計算的缺點，即用戶可能對服務(wù)和任務(wù)的控制較少或沒有控制權(quán)。Sec-aaS可以使用軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）或基礎(chǔ)設(shè)施即服務(wù)（IaaS）交付，具體取決于企業(yè)購買的保護(hù)級別。

Sec-aaS供應(yīng)商提供的常見安全服務(wù)包括：

?身份和訪問管理（IAM）

?電子郵件安全

?防病毒和反惡意軟件/間諜軟件

?入侵管理（檢測和防御）

?安全基礎(chǔ)設(shè)施部署和管理

?安全信息監(jiān)控和事件管理（SIEM）

?防火墻集成和管理

?加密

?完整性監(jiān)控

?標(biāo)記化

?網(wǎng)站安全和安全套接字層（SSL）證書

?遠(yuǎn)程漏洞評估

?配置核查

?應(yīng)用程序安全靜態(tài)和動態(tài)分析

?Internet流量過濾

?數(shù)據(jù)丟失管理（監(jiān)控，預(yù)防和報告）

?風(fēng)險評估

?業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)

?網(wǎng)絡(luò)安全

2.2 ?Sec-aaS服務(wù)能為企業(yè)帶來哪些好處？

顯而易見，使用Sec-aaS的最大好處是經(jīng)濟(jì)上的，但也有人可能會說，在一個信息威脅不斷演變的世界里，最大的優(yōu)勢是能夠使用最新的技術(shù)來應(yīng)對這些威脅。下面我們就來逐一看下Sec-aaS服務(wù)能為企業(yè)帶來的好處：

成本：企業(yè)僅為其使用的服務(wù)和資源支付成本，不用一次性投資到位，不占用過多的營運(yùn)資金，從而緩解企業(yè)資金不足的壓力；也完全不用考慮成本折舊問題。通過將安全服務(wù)和維護(hù)工作負(fù)載轉(zhuǎn)移到云平臺，企業(yè)可以根據(jù)特定工作負(fù)載的即時需要，立即增加或減少資源。有了Sec-aaS，硬件和軟件所需的前期資本投資非常有限，也不需要太多復(fù)雜的技術(shù)，就幾乎可以從世界任何地方提供和訪問服務(wù)。運(yùn)行安全應(yīng)用程序的服務(wù)器減少意味著數(shù)據(jù)中心占用空間更小，這可以轉(zhuǎn)化為房租、電費的直接節(jié)約，以及設(shè)施維護(hù)的間接節(jié)約。

易于管理和操作：Sec-aaS供應(yīng)商負(fù)責(zé)管理和操作用于向企業(yè)提供服務(wù)的硬件和軟件。使用web界面控制臺，企業(yè)可以查看安全環(huán)境和活動，并執(zhí)行其選擇管理的控制任務(wù)?？刂婆_提醒企業(yè)需要注意的安全事件，并提供有關(guān)安全活動和合規(guī)性的報告。通過將這些任務(wù)轉(zhuǎn)移到Sec-aaS，企業(yè)不再需要專門的運(yùn)維人員。

專注于核心能力：由于不需要專門的維護(hù)和管理人員，一些重復(fù)性和資源密集型的工作，如日志管理、設(shè)備維護(hù)等，都可以由Sec-aaS服務(wù)商來完成。從而使企業(yè)資源可以集中于核心IT功能，加快企業(yè)的發(fā)展。

可擴(kuò)展性：Sec-aaS提供了快速的按需擴(kuò)展。企業(yè)信息安全基礎(chǔ)架構(gòu)的使用可以快速擴(kuò)展，以滿足新的工作負(fù)載需求。

快速資源調(diào)配：Sec-aaS提高了資源調(diào)配和取消資源調(diào)配時用戶、設(shè)備和安全應(yīng)用程序的速度。企業(yè)可以通過接口控制臺或通過聯(lián)系服務(wù)提供者來請求增加或減少安全服務(wù)。這些更改可以是永久的，也可以是臨時的，具體取決于企業(yè)的需要。

專業(yè)技能：Sec-aaS的專業(yè)性使它能為中小微企業(yè)提供更專業(yè)的安全專業(yè)技能，無需企業(yè)專門招聘或培養(yǎng)專業(yè)安全人員。

持續(xù)更新：Sec-aaS提供持續(xù)和自動化的安全應(yīng)用程序和基礎(chǔ)設(shè)施更新，使企業(yè)能夠迅速得到最新的技術(shù)應(yīng)用，及時獲得最新硬件平臺和最佳解決方案。如果這些更新在企業(yè)內(nèi)部的傳統(tǒng)設(shè)備上執(zhí)行，可能需要更多的精力和資源。

2.3 ?Sec-aaS服務(wù)有風(fēng)險嗎？如何應(yīng)對？

使用Sec-aaS服務(wù)時，最令企業(yè)擔(dān)心的就是數(shù)據(jù)保護(hù)和控制權(quán)，這也是企業(yè)必須接受的額外風(fēng)險，畢竟企業(yè)可以外包信息安全服務(wù)，但不能外包最終的安全責(zé)任。

因此，為了能安全地使用Sec-aaS服務(wù)，企業(yè)需要有較為完善的安全管理流程，在流程中對可能會遇到的數(shù)據(jù)保護(hù)、安全責(zé)任劃分等問題進(jìn)行詳細(xì)分析和制定風(fēng)險應(yīng)對措施。例如誰負(fù)責(zé)保護(hù)什么？誰有權(quán)訪問哪些數(shù)據(jù)？重要的安全數(shù)據(jù)（審計日志、用戶憑據(jù)等）存儲在哪里，需要時可以訪問它們嗎？銷毀和歸檔程序是什么？跨境數(shù)據(jù)傳輸會引發(fā)哪些法律和司法問題？

另外，企業(yè)還應(yīng)該嚴(yán)格審查Sec-aaS合同，重點了解誰負(fù)責(zé)企業(yè)要求的具體安全控制措施，同時也還要確保服務(wù)的安全設(shè)置滿足合規(guī)性。在合同談判過程中，最重要的是要記住，企業(yè)對其資產(chǎn)的安全負(fù)有最終責(zé)任。

2.4 ?總結(jié)

安全服務(wù)需求的深度和廣度正在前所未有地迅速擴(kuò)大，而Sec-aaS服務(wù)為各種規(guī)模的企業(yè)提供了安全競爭環(huán)境。通過使用Sec-aaS服務(wù)，中小微企業(yè)現(xiàn)在可以使用只有大企業(yè)才能負(fù)擔(dān)得起的工具，卻不需要巨額的資金投入和專業(yè)技能。只要使用得當(dāng)，中小微企業(yè)就能有效地降低與信息安全相關(guān)的成本，將更多資金和精力投入到企業(yè)發(fā)展中，不斷將企業(yè)壯大。

三. ?如何挑選Sec-aaS服務(wù)商？

從上文所述的Sec-aaS服務(wù)為中小微企業(yè)帶來的好處和挑戰(zhàn)、風(fēng)險中可以歸納出，挑選Sec-aaS服務(wù)商的關(guān)鍵因素有兩個：

1、技術(shù)先進(jìn)

面對各種已知和未知攻擊，能夠及時、高效地進(jìn)行檢測、防御和響應(yīng)的Sec-aaS服務(wù)，才是中小微企業(yè)最需要的安全服務(wù)。而這些，需要Sec-aaS服務(wù)商具有一流的安全引擎、持續(xù)更新的安全規(guī)則、能力出眾的安全專家來支撐。

2、平臺可靠

近期發(fā)生的某公司運(yùn)維人員刪庫的安全事件，想必大家還記憶深刻。為了保證企業(yè)數(shù)據(jù)的完整性、保密性、可用性，不僅要對外部威脅進(jìn)行防護(hù)，還要更加注意內(nèi)部安全。因此，與承載Sec-aaS服務(wù)的平臺可靠性、信息資產(chǎn)的訪問控制和備份恢復(fù)、與Sec-aaS服務(wù)商之間的責(zé)任約定等，就成為企業(yè)選擇服務(wù)的重要考量。

綜上所述，安全幫?安全服務(wù)平臺不失為中小微企業(yè)安全防護(hù)的一個理想選擇。

安全幫來自中國電信研究院云安全研究所，具有運(yùn)營商背景，平臺可靠。其提供的Sec-aaS服務(wù)產(chǎn)品，具備運(yùn)營商量級安全防護(hù)能力的資源池，能夠提供安全專家的防護(hù)策略跟蹤定制，深度適配客戶業(yè)務(wù)，提供主動、智能的安全防護(hù)能力。并結(jié)合大數(shù)據(jù)分析與人工智能技術(shù)，通過多維度安全能力間的持續(xù)自動化協(xié)同，實現(xiàn)自主決策和自主響應(yīng)，并不斷優(yōu)化的安全防御機(jī)制。