中小微企業(yè)是數(shù)量最大、最具活力的企業(yè)群體，是社會(huì)主義市場(chǎng)經(jīng)濟(jì)的重要組成部分，是我國(guó)實(shí)體經(jīng)濟(jì)的重要基礎(chǔ)。根據(jù)第四次全國(guó)經(jīng)濟(jì)普查的數(shù)據(jù)顯示，截至2018年末，我國(guó)中小企業(yè)法人單位一共是1807萬(wàn)家，占全部規(guī)模企業(yè)法人單位的99.8%。

在互聯(lián)網(wǎng)經(jīng)濟(jì)高速發(fā)展和數(shù)字化建設(shè)逐步加快的今天，保護(hù)信息資產(chǎn)對(duì)中小微企業(yè)的成功至關(guān)重要。對(duì)于需要滿足合規(guī)性要求或需要保護(hù)敏感數(shù)據(jù)的企業(yè)來(lái)說(shuō)，保護(hù)信息資產(chǎn)已成為一個(gè)優(yōu)先事項(xiàng)。畢竟攻擊的方式多種多樣，但安全防護(hù)的技術(shù)壁壘卻很高，而一旦被攻破，可能會(huì)造成數(shù)據(jù)泄露、數(shù)據(jù)篡改、服務(wù)停用甚至巨額賠償，危害和影響可謂是巨大的。而在這方面中小微企業(yè)都面臨的挑戰(zhàn)是：如何在控制投資和運(yùn)營(yíng)成本的同時(shí)，實(shí)施穩(wěn)健的安全措施？這讓中小微企業(yè)管理人員頗為頭疼。下面我們就中小微企業(yè)安全防護(hù)面臨的問題進(jìn)行剖析，并針對(duì)這些問題提出一些可行性建議。

一. ?中小微企業(yè)面臨的網(wǎng)絡(luò)安全困境

1.1 ?網(wǎng)絡(luò)環(huán)境日趨復(fù)雜：部署難

1.1.1 ?云與本地結(jié)合，界限模糊

在互聯(lián)網(wǎng)產(chǎn)品日新月異的今天，網(wǎng)絡(luò)的建設(shè)也進(jìn)入了一個(gè)新的時(shí)代。以往的企業(yè)，想建設(shè)自己的網(wǎng)站，可能需要為本地機(jī)房租賃場(chǎng)地、購(gòu)買昂貴的高性能服務(wù)器，并安排專業(yè)的運(yùn)維人員對(duì)基礎(chǔ)設(shè)施進(jìn)行維護(hù)。而隨著云計(jì)算的逐漸興起，公有云、私有云的出現(xiàn)，許多企業(yè)開始把數(shù)據(jù)往云上遷移，以縮減成本，提高效率。但對(duì)于那些已經(jīng)有本地機(jī)房的企業(yè)來(lái)說(shuō)，短時(shí)間內(nèi)可能無(wú)法完全放棄本地機(jī)房，于是就會(huì)出現(xiàn)一部分?jǐn)?shù)據(jù)在云上，一部分?jǐn)?shù)據(jù)在本地，網(wǎng)絡(luò)界限模糊的情況，這就給網(wǎng)絡(luò)的安全防護(hù)帶來(lái)了新的問題。

1.1.2 ?異地辦公與遠(yuǎn)程辦公

為了擴(kuò)展業(yè)務(wù)，不少企業(yè)都在全國(guó)各地開設(shè)了分公司、辦事處等分支，分支的員工相對(duì)于總部來(lái)說(shuō)，等于是異地辦公；同時(shí)，因?yàn)槌霾罨蚵殬I(yè)性質(zhì)關(guān)系、或?yàn)榱斯?jié)約成本、或因特殊情況（如抗擊疫情）等，不少員工需要遠(yuǎn)程辦公。不論是異地辦公還是遠(yuǎn)程辦公，都需要共享公司數(shù)據(jù)，訪問OA，運(yùn)營(yíng)網(wǎng)站等，如何同時(shí)保證本地、異地和遠(yuǎn)程的網(wǎng)站訪問安全？這也對(duì)公司的網(wǎng)絡(luò)建設(shè)和安全防護(hù)提出了較高的要求。

1.1.3 ?等保合規(guī)要求高

2019年5月13日下午，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱：等保2.0）正式發(fā)布，2019年12月1日起正式實(shí)施。標(biāo)志著等級(jí)保護(hù)標(biāo)準(zhǔn)正式進(jìn)入2.0時(shí)代。等保2.0是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策、基本制度和基本方法，為了滿足等保2.0中的合規(guī)要求，企業(yè)需要在網(wǎng)絡(luò)中串聯(lián)各種安全設(shè)備，并為了滿足高可用性，對(duì)鏈路進(jìn)行冗余部署，隨著安全設(shè)備越來(lái)越多，網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜，成本也直線上升。如何省心又省錢地滿足等保合規(guī)要求，成為中小微企業(yè)不得不面對(duì)的難題。

1.2 ?攻擊方式層出不窮：防護(hù)難

網(wǎng)絡(luò)攻擊的方式多種多樣，已知的如DDoS攻擊，WEB攻擊，數(shù)據(jù)庫(kù)攻擊等，歷史悠久，攻擊方式已被大眾所熟知，但相關(guān)安全事件仍舊層出不窮。

最近幾年， 勒索病毒、APT高級(jí)威脅、釣魚、社會(huì)工程又成為了網(wǎng)絡(luò)安全熱點(diǎn)，再加上Apache、 tomcat等web服務(wù)相關(guān)程序的漏洞不停被爆出，未知攻擊變得越來(lái)越多，防護(hù)設(shè)備所使用的技術(shù)領(lǐng)先性和持續(xù)更新就變得尤為重要，而傳統(tǒng)防護(hù)方式可能會(huì)因?yàn)槠髽I(yè)已購(gòu)硬件不支持升級(jí)最新版本，但又無(wú)力采購(gòu)新硬件而使企業(yè)在面對(duì)未知攻擊時(shí)捉襟見肘，防護(hù)效果大打折扣。

1.3 ?廠商多、產(chǎn)品繁：選擇難

隨著我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模的快速增長(zhǎng)，安全廠商也如雨后春筍般涌現(xiàn)。根據(jù)中國(guó)信通院發(fā)布的《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書（2019年）》報(bào)告，2019年我國(guó)網(wǎng)絡(luò)安全從業(yè)企業(yè)近3000余家。

安全產(chǎn)品分類也多種多樣，例如針對(duì)網(wǎng)站安全防護(hù)最有效的WAF產(chǎn)品，就可分為硬件WAF、軟件WAF和云WAF，每種產(chǎn)品都有數(shù)十家甚至更多的供應(yīng)商，讓沒有專業(yè)安全專家的中小微企業(yè)難以抉擇。

1.4 ?投資大、人才缺：成本高

網(wǎng)絡(luò)安全設(shè)備價(jià)格不菲，以硬件WAF為例，一臺(tái)性能為百兆的硬件WAF產(chǎn)品，價(jià)格約在十幾萬(wàn)到幾十萬(wàn)元不等。購(gòu)買設(shè)備后，還需要每年續(xù)費(fèi)以保證license有效，才能繼續(xù)升級(jí)最新功能和進(jìn)行補(bǔ)丁更新，且一臺(tái)硬件WAF設(shè)備的生命周期約為五年，五年后，需要報(bào)廢重新購(gòu)買，這些都成為企業(yè)網(wǎng)站安全防護(hù)潛在的成本。

同時(shí)，專業(yè)的安全運(yùn)維人員也是必不可少的。眾所周知，網(wǎng)絡(luò)攻擊形式多樣，因此漏報(bào)和誤報(bào)率也一直居高不下。為了使企業(yè)能夠安全、平穩(wěn)的運(yùn)營(yíng)，需要專業(yè)的安全運(yùn)維人員對(duì)安全設(shè)備的告警進(jìn)行響應(yīng)和處理。而面對(duì)安全人員緊缺的現(xiàn)狀，缺少高薪和清晰的發(fā)展前景的中小微企業(yè)在招聘上無(wú)疑是沒有什么競(jìng)爭(zhēng)力的。

二. ?中小微企業(yè)安全防護(hù)推薦解決方案：Sec-aaS服務(wù)

針對(duì)上述部署難、防護(hù)難、選擇難、成本高的問題，Sec-aaS服務(wù)是一個(gè)不錯(cuò)的解決方案。

2.1 ?Sec-aaS（Security-as-a-service，安全即服務(wù)）是下一代托管安全服務(wù)，致力于通過互聯(lián)網(wǎng)提供專門的信息安全服務(wù)

Sec-aaS服務(wù)包含了所有的云計(jì)算特性，例如使用方便、對(duì)共享資源池通過網(wǎng)絡(luò)按需訪問，同時(shí)也具有云計(jì)算的缺點(diǎn)，即用戶可能對(duì)服務(wù)和任務(wù)的控制較少或沒有控制權(quán)。Sec-aaS可以使用軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）或基礎(chǔ)設(shè)施即服務(wù)（IaaS）交付，具體取決于企業(yè)購(gòu)買的保護(hù)級(jí)別。

Sec-aaS供應(yīng)商提供的常見安全服務(wù)包括：

?身份和訪問管理（IAM）

?電子郵件安全

?防病毒和反惡意軟件/間諜軟件

?入侵管理（檢測(cè)和防御）

?安全基礎(chǔ)設(shè)施部署和管理

?安全信息監(jiān)控和事件管理（SIEM）

?防火墻集成和管理

?加密

?完整性監(jiān)控

?標(biāo)記化

?網(wǎng)站安全和安全套接字層（SSL）證書

?遠(yuǎn)程漏洞評(píng)估

?配置核查

?應(yīng)用程序安全靜態(tài)和動(dòng)態(tài)分析

?Internet流量過濾

?數(shù)據(jù)丟失管理（監(jiān)控，預(yù)防和報(bào)告）

?風(fēng)險(xiǎn)評(píng)估

?業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)

?網(wǎng)絡(luò)安全

2.2 ?Sec-aaS服務(wù)能為企業(yè)帶來(lái)哪些好處？

顯而易見，使用Sec-aaS的最大好處是經(jīng)濟(jì)上的，但也有人可能會(huì)說(shuō)，在一個(gè)信息威脅不斷演變的世界里，最大的優(yōu)勢(shì)是能夠使用最新的技術(shù)來(lái)應(yīng)對(duì)這些威脅。下面我們就來(lái)逐一看下Sec-aaS服務(wù)能為企業(yè)帶來(lái)的好處：

成本：企業(yè)僅為其使用的服務(wù)和資源支付成本，不用一次性投資到位，不占用過多的營(yíng)運(yùn)資金，從而緩解企業(yè)資金不足的壓力；也完全不用考慮成本折舊問題。通過將安全服務(wù)和維護(hù)工作負(fù)載轉(zhuǎn)移到云平臺(tái)，企業(yè)可以根據(jù)特定工作負(fù)載的即時(shí)需要，立即增加或減少資源。有了Sec-aaS，硬件和軟件所需的前期資本投資非常有限，也不需要太多復(fù)雜的技術(shù)，就幾乎可以從世界任何地方提供和訪問服務(wù)。運(yùn)行安全應(yīng)用程序的服務(wù)器減少意味著數(shù)據(jù)中心占用空間更小，這可以轉(zhuǎn)化為房租、電費(fèi)的直接節(jié)約，以及設(shè)施維護(hù)的間接節(jié)約。

易于管理和操作：Sec-aaS供應(yīng)商負(fù)責(zé)管理和操作用于向企業(yè)提供服務(wù)的硬件和軟件。使用web界面控制臺(tái)，企業(yè)可以查看安全環(huán)境和活動(dòng)，并執(zhí)行其選擇管理的控制任務(wù)。控制臺(tái)提醒企業(yè)需要注意的安全事件，并提供有關(guān)安全活動(dòng)和合規(guī)性的報(bào)告。通過將這些任務(wù)轉(zhuǎn)移到Sec-aaS，企業(yè)不再需要專門的運(yùn)維人員。

專注于核心能力：由于不需要專門的維護(hù)和管理人員，一些重復(fù)性和資源密集型的工作，如日志管理、設(shè)備維護(hù)等，都可以由Sec-aaS服務(wù)商來(lái)完成。從而使企業(yè)資源可以集中于核心IT功能，加快企業(yè)的發(fā)展。

可擴(kuò)展性：Sec-aaS提供了快速的按需擴(kuò)展。企業(yè)信息安全基礎(chǔ)架構(gòu)的使用可以快速擴(kuò)展，以滿足新的工作負(fù)載需求。

快速資源調(diào)配：Sec-aaS提高了資源調(diào)配和取消資源調(diào)配時(shí)用戶、設(shè)備和安全應(yīng)用程序的速度。企業(yè)可以通過接口控制臺(tái)或通過聯(lián)系服務(wù)提供者來(lái)請(qǐng)求增加或減少安全服務(wù)。這些更改可以是永久的，也可以是臨時(shí)的，具體取決于企業(yè)的需要。

專業(yè)技能：Sec-aaS的專業(yè)性使它能為中小微企業(yè)提供更專業(yè)的安全專業(yè)技能，無(wú)需企業(yè)專門招聘或培養(yǎng)專業(yè)安全人員。

持續(xù)更新：Sec-aaS提供持續(xù)和自動(dòng)化的安全應(yīng)用程序和基礎(chǔ)設(shè)施更新，使企業(yè)能夠迅速得到最新的技術(shù)應(yīng)用，及時(shí)獲得最新硬件平臺(tái)和最佳解決方案。如果這些更新在企業(yè)內(nèi)部的傳統(tǒng)設(shè)備上執(zhí)行，可能需要更多的精力和資源。

2.3 ?Sec-aaS服務(wù)有風(fēng)險(xiǎn)嗎？如何應(yīng)對(duì)？

使用Sec-aaS服務(wù)時(shí)，最令企業(yè)擔(dān)心的就是數(shù)據(jù)保護(hù)和控制權(quán)，這也是企業(yè)必須接受的額外風(fēng)險(xiǎn)，畢竟企業(yè)可以外包信息安全服務(wù)，但不能外包最終的安全責(zé)任。

因此，為了能安全地使用Sec-aaS服務(wù)，企業(yè)需要有較為完善的安全管理流程，在流程中對(duì)可能會(huì)遇到的數(shù)據(jù)保護(hù)、安全責(zé)任劃分等問題進(jìn)行詳細(xì)分析和制定風(fēng)險(xiǎn)應(yīng)對(duì)措施。例如誰(shuí)負(fù)責(zé)保護(hù)什么？誰(shuí)有權(quán)訪問哪些數(shù)據(jù)？重要的安全數(shù)據(jù)（審計(jì)日志、用戶憑據(jù)等）存儲(chǔ)在哪里，需要時(shí)可以訪問它們嗎？銷毀和歸檔程序是什么？跨境數(shù)據(jù)傳輸會(huì)引發(fā)哪些法律和司法問題？

另外，企業(yè)還應(yīng)該嚴(yán)格審查Sec-aaS合同，重點(diǎn)了解誰(shuí)負(fù)責(zé)企業(yè)要求的具體安全控制措施，同時(shí)也還要確保服務(wù)的安全設(shè)置滿足合規(guī)性。在合同談判過程中，最重要的是要記住，企業(yè)對(duì)其資產(chǎn)的安全負(fù)有最終責(zé)任。

2.4 ?總結(jié)

安全服務(wù)需求的深度和廣度正在前所未有地迅速擴(kuò)大，而Sec-aaS服務(wù)為各種規(guī)模的企業(yè)提供了安全競(jìng)爭(zhēng)環(huán)境。通過使用Sec-aaS服務(wù)，中小微企業(yè)現(xiàn)在可以使用只有大企業(yè)才能負(fù)擔(dān)得起的工具，卻不需要巨額的資金投入和專業(yè)技能。只要使用得當(dāng)，中小微企業(yè)就能有效地降低與信息安全相關(guān)的成本，將更多資金和精力投入到企業(yè)發(fā)展中，不斷將企業(yè)壯大。

三. ?如何挑選Sec-aaS服務(wù)商？

從上文所述的Sec-aaS服務(wù)為中小微企業(yè)帶來(lái)的好處和挑戰(zhàn)、風(fēng)險(xiǎn)中可以歸納出，挑選Sec-aaS服務(wù)商的關(guān)鍵因素有兩個(gè)：

1、技術(shù)先進(jìn)

面對(duì)各種已知和未知攻擊，能夠及時(shí)、高效地進(jìn)行檢測(cè)、防御和響應(yīng)的Sec-aaS服務(wù)，才是中小微企業(yè)最需要的安全服務(wù)。而這些，需要Sec-aaS服務(wù)商具有一流的安全引擎、持續(xù)更新的安全規(guī)則、能力出眾的安全專家來(lái)支撐。

2、平臺(tái)可靠

近期發(fā)生的某公司運(yùn)維人員刪庫(kù)的安全事件，想必大家還記憶深刻。為了保證企業(yè)數(shù)據(jù)的完整性、保密性、可用性，不僅要對(duì)外部威脅進(jìn)行防護(hù)，還要更加注意內(nèi)部安全。因此，與承載Sec-aaS服務(wù)的平臺(tái)可靠性、信息資產(chǎn)的訪問控制和備份恢復(fù)、與Sec-aaS服務(wù)商之間的責(zé)任約定等，就成為企業(yè)選擇服務(wù)的重要考量。

綜上所述，安全幫?安全服務(wù)平臺(tái)不失為中小微企業(yè)安全防護(hù)的一個(gè)理想選擇。

安全幫來(lái)自中國(guó)電信研究院云安全研究所，具有運(yùn)營(yíng)商背景，平臺(tái)可靠。其提供的Sec-aaS服務(wù)產(chǎn)品，具備運(yùn)營(yíng)商量級(jí)安全防護(hù)能力的資源池，能夠提供安全專家的防護(hù)策略跟蹤定制，深度適配客戶業(yè)務(wù)，提供主動(dòng)、智能的安全防護(hù)能力。并結(jié)合大數(shù)據(jù)分析與人工智能技術(shù)，通過多維度安全能力間的持續(xù)自動(dòng)化協(xié)同，實(shí)現(xiàn)自主決策和自主響應(yīng)，并不斷優(yōu)化的安全防御機(jī)制。

責(zé)任編輯；zl