如何解決中小微企業(yè)面臨的網(wǎng)絡安全防護問題

中小微企業(yè)是數(shù)量最大、最具活力的企業(yè)群體，是社會主義市場經(jīng)濟的重要組成部分，是我國實體經(jīng)濟的重要基礎。根據(jù)第四次全國經(jīng)濟普查的數(shù)據(jù)顯示，截至2018年末，我國中小企業(yè)法人單位一共是1807萬家，占全部規(guī)模企業(yè)法人單位的99.8%。

在互聯(lián)網(wǎng)經(jīng)濟高速發(fā)展和數(shù)字化建設逐步加快的今天，保護信息資產(chǎn)對中小微企業(yè)的成功至關(guān)重要。對于需要滿足合規(guī)性要求或需要保護敏感數(shù)據(jù)的企業(yè)來說，保護信息資產(chǎn)已成為一個優(yōu)先事項。畢竟攻擊的方式多種多樣，但安全防護的技術(shù)壁壘卻很高，而一旦被攻破，可能會造成數(shù)據(jù)泄露、數(shù)據(jù)篡改、服務停用甚至巨額賠償，危害和影響可謂是巨大的。而在這方面中小微企業(yè)都面臨的挑戰(zhàn)是：如何在控制投資和運營成本的同時，實施穩(wěn)健的安全措施？這讓中小微企業(yè)管理人員頗為頭疼。下面我們就中小微企業(yè)安全防護面臨的問題進行剖析，并針對這些問題提出一些可行性建議。

一. ?中小微企業(yè)面臨的網(wǎng)絡安全困境

1.1 ?網(wǎng)絡環(huán)境日趨復雜：部署難

1.1.1 ?云與本地結(jié)合，界限模糊

在互聯(lián)網(wǎng)產(chǎn)品日新月異的今天，網(wǎng)絡的建設也進入了一個新的時代。以往的企業(yè)，想建設自己的網(wǎng)站，可能需要為本地機房租賃場地、購買昂貴的高性能服務器，并安排專業(yè)的運維人員對基礎設施進行維護。而隨著云計算的逐漸興起，公有云、私有云的出現(xiàn)，許多企業(yè)開始把數(shù)據(jù)往云上遷移，以縮減成本，提高效率。但對于那些已經(jīng)有本地機房的企業(yè)來說，短時間內(nèi)可能無法完全放棄本地機房，于是就會出現(xiàn)一部分數(shù)據(jù)在云上，一部分數(shù)據(jù)在本地，網(wǎng)絡界限模糊的情況，這就給網(wǎng)絡的安全防護帶來了新的問題。

1.1.2 ?異地辦公與遠程辦公

為了擴展業(yè)務，不少企業(yè)都在全國各地開設了分公司、辦事處等分支，分支的員工相對于總部來說，等于是異地辦公；同時，因為出差或職業(yè)性質(zhì)關(guān)系、或為了節(jié)約成本、或因特殊情況（如抗擊疫情）等，不少員工需要遠程辦公。不論是異地辦公還是遠程辦公，都需要共享公司數(shù)據(jù)，訪問OA，運營網(wǎng)站等，如何同時保證本地、異地和遠程的網(wǎng)站訪問安全？這也對公司的網(wǎng)絡建設和安全防護提出了較高的要求。

1.1.3 ?等保合規(guī)要求高

2019年5月13日下午，《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（以下簡稱：等保2.0）正式發(fā)布，2019年12月1日起正式實施。標志著等級保護標準正式進入2.0時代。等保2.0是我國網(wǎng)絡安全領域的基本國策、基本制度和基本方法，為了滿足等保2.0中的合規(guī)要求，企業(yè)需要在網(wǎng)絡中串聯(lián)各種安全設備，并為了滿足高可用性，對鏈路進行冗余部署，隨著安全設備越來越多，網(wǎng)絡環(huán)境越來越復雜，成本也直線上升。如何省心又省錢地滿足等保合規(guī)要求，成為中小微企業(yè)不得不面對的難題。

1.2 ?攻擊方式層出不窮：防護難

網(wǎng)絡攻擊的方式多種多樣，已知的如DDoS攻擊，WEB攻擊，數(shù)據(jù)庫攻擊等，歷史悠久，攻擊方式已被大眾所熟知，但相關(guān)安全事件仍舊層出不窮。

最近幾年， 勒索病毒、APT高級威脅、釣魚、社會工程又成為了網(wǎng)絡安全熱點，再加上Apache、 tomcat等web服務相關(guān)程序的漏洞不停被爆出，未知攻擊變得越來越多，防護設備所使用的技術(shù)領先性和持續(xù)更新就變得尤為重要，而傳統(tǒng)防護方式可能會因為企業(yè)已購硬件不支持升級最新版本，但又無力采購新硬件而使企業(yè)在面對未知攻擊時捉襟見肘，防護效果大打折扣。

1.3 ?廠商多、產(chǎn)品繁：選擇難

隨著我國網(wǎng)絡安全產(chǎn)業(yè)規(guī)模的快速增長，安全廠商也如雨后春筍般涌現(xiàn)。根據(jù)中國信通院發(fā)布的《中國網(wǎng)絡安全產(chǎn)業(yè)白皮書（2019年）》報告，2019年我國網(wǎng)絡安全從業(yè)企業(yè)近3000余家。

安全產(chǎn)品分類也多種多樣，例如針對網(wǎng)站安全防護最有效的WAF產(chǎn)品，就可分為硬件WAF、軟件WAF和云WAF，每種產(chǎn)品都有數(shù)十家甚至更多的供應商，讓沒有專業(yè)安全專家的中小微企業(yè)難以抉擇。

1.4 ?投資大、人才缺：成本高

網(wǎng)絡安全設備價格不菲，以硬件WAF為例，一臺性能為百兆的硬件WAF產(chǎn)品，價格約在十幾萬到幾十萬元不等。購買設備后，還需要每年續(xù)費以保證license有效，才能繼續(xù)升級最新功能和進行補丁更新，且一臺硬件WAF設備的生命周期約為五年，五年后，需要報廢重新購買，這些都成為企業(yè)網(wǎng)站安全防護潛在的成本。

同時，專業(yè)的安全運維人員也是必不可少的。眾所周知，網(wǎng)絡攻擊形式多樣，因此漏報和誤報率也一直居高不下。為了使企業(yè)能夠安全、平穩(wěn)的運營，需要專業(yè)的安全運維人員對安全設備的告警進行響應和處理。而面對安全人員緊缺的現(xiàn)狀，缺少高薪和清晰的發(fā)展前景的中小微企業(yè)在招聘上無疑是沒有什么競爭力的。

二. ?中小微企業(yè)安全防護推薦解決方案：Sec-aaS服務

針對上述部署難、防護難、選擇難、成本高的問題，Sec-aaS服務是一個不錯的解決方案。

2.1 ?Sec-aaS（Security-as-a-service，安全即服務）是下一代托管安全服務，致力于通過互聯(lián)網(wǎng)提供專門的信息安全服務

Sec-aaS服務包含了所有的云計算特性，例如使用方便、對共享資源池通過網(wǎng)絡按需訪問，同時也具有云計算的缺點，即用戶可能對服務和任務的控制較少或沒有控制權(quán)。Sec-aaS可以使用軟件即服務（SaaS）、平臺即服務（PaaS）或基礎設施即服務（IaaS）交付，具體取決于企業(yè)購買的保護級別。

Sec-aaS供應商提供的常見安全服務包括：

?身份和訪問管理（IAM）

?電子郵件安全

?防病毒和反惡意軟件/間諜軟件

?入侵管理（檢測和防御）

?安全基礎設施部署和管理

?安全信息監(jiān)控和事件管理（SIEM）

?防火墻集成和管理

?加密

?完整性監(jiān)控

?標記化

?網(wǎng)站安全和安全套接字層（SSL）證書

?遠程漏洞評估

?配置核查

?應用程序安全靜態(tài)和動態(tài)分析

?Internet流量過濾

?數(shù)據(jù)丟失管理（監(jiān)控，預防和報告）

?風險評估

?業(yè)務連續(xù)性和災難恢復

?網(wǎng)絡安全

2.2 ?Sec-aaS服務能為企業(yè)帶來哪些好處？

顯而易見，使用Sec-aaS的最大好處是經(jīng)濟上的，但也有人可能會說，在一個信息威脅不斷演變的世界里，最大的優(yōu)勢是能夠使用最新的技術(shù)來應對這些威脅。下面我們就來逐一看下Sec-aaS服務能為企業(yè)帶來的好處：

成本：企業(yè)僅為其使用的服務和資源支付成本，不用一次性投資到位，不占用過多的營運資金，從而緩解企業(yè)資金不足的壓力；也完全不用考慮成本折舊問題。通過將安全服務和維護工作負載轉(zhuǎn)移到云平臺，企業(yè)可以根據(jù)特定工作負載的即時需要，立即增加或減少資源。有了Sec-aaS，硬件和軟件所需的前期資本投資非常有限，也不需要太多復雜的技術(shù)，就幾乎可以從世界任何地方提供和訪問服務。運行安全應用程序的服務器減少意味著數(shù)據(jù)中心占用空間更小，這可以轉(zhuǎn)化為房租、電費的直接節(jié)約，以及設施維護的間接節(jié)約。

易于管理和操作：Sec-aaS供應商負責管理和操作用于向企業(yè)提供服務的硬件和軟件。使用web界面控制臺，企業(yè)可以查看安全環(huán)境和活動，并執(zhí)行其選擇管理的控制任務?？刂婆_提醒企業(yè)需要注意的安全事件，并提供有關(guān)安全活動和合規(guī)性的報告。通過將這些任務轉(zhuǎn)移到Sec-aaS，企業(yè)不再需要專門的運維人員。

專注于核心能力：由于不需要專門的維護和管理人員，一些重復性和資源密集型的工作，如日志管理、設備維護等，都可以由Sec-aaS服務商來完成。從而使企業(yè)資源可以集中于核心IT功能，加快企業(yè)的發(fā)展。

可擴展性：Sec-aaS提供了快速的按需擴展。企業(yè)信息安全基礎架構(gòu)的使用可以快速擴展，以滿足新的工作負載需求。

快速資源調(diào)配：Sec-aaS提高了資源調(diào)配和取消資源調(diào)配時用戶、設備和安全應用程序的速度。企業(yè)可以通過接口控制臺或通過聯(lián)系服務提供者來請求增加或減少安全服務。這些更改可以是永久的，也可以是臨時的，具體取決于企業(yè)的需要。

專業(yè)技能：Sec-aaS的專業(yè)性使它能為中小微企業(yè)提供更專業(yè)的安全專業(yè)技能，無需企業(yè)專門招聘或培養(yǎng)專業(yè)安全人員。

持續(xù)更新：Sec-aaS提供持續(xù)和自動化的安全應用程序和基礎設施更新，使企業(yè)能夠迅速得到最新的技術(shù)應用，及時獲得最新硬件平臺和最佳解決方案。如果這些更新在企業(yè)內(nèi)部的傳統(tǒng)設備上執(zhí)行，可能需要更多的精力和資源。

2.3 ?Sec-aaS服務有風險嗎？如何應對？

使用Sec-aaS服務時，最令企業(yè)擔心的就是數(shù)據(jù)保護和控制權(quán)，這也是企業(yè)必須接受的額外風險，畢竟企業(yè)可以外包信息安全服務，但不能外包最終的安全責任。

因此，為了能安全地使用Sec-aaS服務，企業(yè)需要有較為完善的安全管理流程，在流程中對可能會遇到的數(shù)據(jù)保護、安全責任劃分等問題進行詳細分析和制定風險應對措施。例如誰負責保護什么？誰有權(quán)訪問哪些數(shù)據(jù)？重要的安全數(shù)據(jù)（審計日志、用戶憑據(jù)等）存儲在哪里，需要時可以訪問它們嗎？銷毀和歸檔程序是什么？跨境數(shù)據(jù)傳輸會引發(fā)哪些法律和司法問題？

另外，企業(yè)還應該嚴格審查Sec-aaS合同，重點了解誰負責企業(yè)要求的具體安全控制措施，同時也還要確保服務的安全設置滿足合規(guī)性。在合同談判過程中，最重要的是要記住，企業(yè)對其資產(chǎn)的安全負有最終責任。

2.4 ?總結(jié)

安全服務需求的深度和廣度正在前所未有地迅速擴大，而Sec-aaS服務為各種規(guī)模的企業(yè)提供了安全競爭環(huán)境。通過使用Sec-aaS服務，中小微企業(yè)現(xiàn)在可以使用只有大企業(yè)才能負擔得起的工具，卻不需要巨額的資金投入和專業(yè)技能。只要使用得當，中小微企業(yè)就能有效地降低與信息安全相關(guān)的成本，將更多資金和精力投入到企業(yè)發(fā)展中，不斷將企業(yè)壯大。

三. ?如何挑選Sec-aaS服務商？

從上文所述的Sec-aaS服務為中小微企業(yè)帶來的好處和挑戰(zhàn)、風險中可以歸納出，挑選Sec-aaS服務商的關(guān)鍵因素有兩個：

1、技術(shù)先進

面對各種已知和未知攻擊，能夠及時、高效地進行檢測、防御和響應的Sec-aaS服務，才是中小微企業(yè)最需要的安全服務。而這些，需要Sec-aaS服務商具有一流的安全引擎、持續(xù)更新的安全規(guī)則、能力出眾的安全專家來支撐。

2、平臺可靠

近期發(fā)生的某公司運維人員刪庫的安全事件，想必大家還記憶深刻。為了保證企業(yè)數(shù)據(jù)的完整性、保密性、可用性，不僅要對外部威脅進行防護，還要更加注意內(nèi)部安全。因此，與承載Sec-aaS服務的平臺可靠性、信息資產(chǎn)的訪問控制和備份恢復、與Sec-aaS服務商之間的責任約定等，就成為企業(yè)選擇服務的重要考量。

綜上所述，安全幫?安全服務平臺不失為中小微企業(yè)安全防護的一個理想選擇。

安全幫來自中國電信研究院云安全研究所，具有運營商背景，平臺可靠。其提供的Sec-aaS服務產(chǎn)品，具備運營商量級安全防護能力的資源池，能夠提供安全專家的防護策略跟蹤定制，深度適配客戶業(yè)務，提供主動、智能的安全防護能力。并結(jié)合大數(shù)據(jù)分析與人工智能技術(shù)，通過多維度安全能力間的持續(xù)自動化協(xié)同，實現(xiàn)自主決策和自主響應，并不斷優(yōu)化的安全防御機制。