如何解决中小微企业面临的网络安全防护问题

中小微企业是数量最大、最具活力的企业群体，是社会主义市场经济的重要组成部分，是我国实体经济的重要基础。根据第四次全国经济普查的数据显示，截至2018年末，我国中小企业法人单位一共是1807万家，占全部规模企业法人单位的99.8%。

在互联网经济高速发展和数字化建设逐步加快的今天，保护信息资产对中小微企业的成功至关重要。对于需要满足合规性要求或需要保护敏感数据的企业来说，保护信息资产已成为一个优先事项。毕竟攻击的方式多种多样，但安全防护的技术壁垒却很高，而一旦被攻破，可能会造成数据泄露、数据篡改、服务停用甚至巨额赔偿，危害和影响可谓是巨大的。而在这方面中小微企业都面临的挑战是：如何在控制投资和运营成本的同时，实施稳健的安全措施？这让中小微企业管理人员颇为头疼。下面我们就中小微企业安全防护面临的问题进行剖析，并针对这些问题提出一些可行性建议。

一.  中小微企业面临的网络安全困境

1.1  网络环境日趋复杂：部署难

1.1.1  云与本地结合，界限模糊

在互联网产品日新月异的今天，网络的建设也进入了一个新的时代。以往的企业，想建设自己的网站，可能需要为本地机房租赁场地、购买昂贵的高性能服务器，并安排专业的运维人员对基础设施进行维护。而随着云计算的逐渐兴起，公有云、私有云的出现，许多企业开始把数据往云上迁移，以缩减成本，提高效率。但对于那些已经有本地机房的企业来说，短时间内可能无法完全放弃本地机房，于是就会出现一部分数据在云上，一部分数据在本地，网络界限模糊的情况，这就给网络的安全防护带来了新的问题。

1.1.2  异地办公与远程办公

为了扩展业务，不少企业都在全国各地开设了分公司、办事处等分支，分支的员工相对于总部来说，等于是异地办公；同时，因为出差或职业性质关系、或为了节约成本、或因特殊情况（如抗击疫情）等，不少员工需要远程办公。不论是异地办公还是远程办公，都需要共享公司数据，访问OA，运营网站等，如何同时保证本地、异地和远程的网站访问安全？这也对公司的网络建设和安全防护提出了较高的要求。

1.1.3  等保合规要求高

2019年5月13日下午，《信息安全技术网络安全等级保护基本要求》（以下简称：等保2.0）正式发布，2019年12月1日起正式实施。标志着等级保护标准正式进入2.0时代。等保2.0是我国网络安全领域的基本国策、基本制度和基本方法，为了满足等保2.0中的合规要求，企业需要在网络中串联各种安全设备，并为了满足高可用性，对链路进行冗余部署，随着安全设备越来越多，网络环境越来越复杂，成本也直线上升。如何省心又省钱地满足等保合规要求，成为中小微企业不得不面对的难题。

1.2  攻击方式层出不穷：防护难

网络攻击的方式多种多样，已知的如DDoS攻击，WEB攻击，数据库攻击等，历史悠久，攻击方式已被大众所熟知，但相关安全事件仍旧层出不穷。

最近几年， 勒索病毒、APT高级威胁、钓鱼、社会工程又成为了网络安全热点，再加上Apache、 tomcat等web服务相关程序的漏洞不停被爆出，未知攻击变得越来越多，防护设备所使用的技术领先性和持续更新就变得尤为重要，而传统防护方式可能会因为企业已购硬件不支持升级最新版本，但又无力采购新硬件而使企业在面对未知攻击时捉襟见肘，防护效果大打折扣。

1.3  厂商多、产品繁：选择难

随着我国网络安全产业规模的快速增长，安全厂商也如雨后春笋般涌现。根据中国信通院发布的《中国网络安全产业白皮书（2019年）》报告，2019年我国网络安全从业企业近3000余家。

安全产品分类也多种多样，例如针对网站安全防护最有效的WAF产品，就可分为硬件WAF、软件WAF和云WAF，每种产品都有数十家甚至更多的供应商，让没有专业安全专家的中小微企业难以抉择。

1.4  投资大、人才缺：成本高

网络安全设备价格不菲，以硬件WAF为例，一台性能为百兆的硬件WAF产品，价格约在十几万到几十万元不等。购买设备后，还需要每年续费以保证license有效，才能继续升级最新功能和进行补丁更新，且一台硬件WAF设备的生命周期约为五年，五年后，需要报废重新购买，这些都成为企业网站安全防护潜在的成本。

同时，专业的安全运维人员也是必不可少的。众所周知，网络攻击形式多样，因此漏报和误报率也一直居高不下。为了使企业能够安全、平稳的运营，需要专业的安全运维人员对安全设备的告警进行响应和处理。而面对安全人员紧缺的现状，缺少高薪和清晰的发展前景的中小微企业在招聘上无疑是没有什么竞争力的。

二.  中小微企业安全防护推荐解决方案：Sec-aaS服务

针对上述部署难、防护难、选择难、成本高的问题，Sec-aaS服务是一个不错的解决方案。

2.1  Sec-aaS（Security-as-a-service，安全即服务）是下一代托管安全服务，致力于通过互联网提供专门的信息安全服务

Sec-aaS服务包含了所有的云计算特性，例如使用方便、对共享资源池通过网络按需访问，同时也具有云计算的缺点，即用户可能对服务和任务的控制较少或没有控制权。Sec-aaS可以使用软件即服务（SaaS）、平台即服务（PaaS）或基础设施即服务（IaaS）交付，具体取决于企业购买的保护级别。

Sec-aaS供应商提供的常见安全服务包括：

•身份和访问管理（IAM）

•电子邮件安全

•防病毒和反恶意软件/间谍软件

•入侵管理（检测和防御）

•安全基础设施部署和管理

•安全信息监控和事件管理（SIEM）

•防火墙集成和管理

•加密

•完整性监控

•标记化

•网站安全和安全套接字层（SSL）证书

•远程漏洞评估

•配置核查

•应用程序安全静态和动态分析

•Internet流量过滤

•数据丢失管理（监控，预防和报告）

•风险评估

•业务连续性和灾难恢复

•网络安全

2.2  Sec-aaS服务能为企业带来哪些好处？

显而易见，使用Sec-aaS的最大好处是经济上的，但也有人可能会说，在一个信息威胁不断演变的世界里，最大的优势是能够使用最新的技术来应对这些威胁。下面我们就来逐一看下Sec-aaS服务能为企业带来的好处：

成本：企业仅为其使用的服务和资源支付成本，不用一次性投资到位，不占用过多的营运资金，从而缓解企业资金不足的压力；也完全不用考虑成本折旧问题。通过将安全服务和维护工作负载转移到云平台，企业可以根据特定工作负载的即时需要，立即增加或减少资源。有了Sec-aaS，硬件和软件所需的前期资本投资非常有限，也不需要太多复杂的技术，就几乎可以从世界任何地方提供和访问服务。运行安全应用程序的服务器减少意味着数据中心占用空间更小，这可以转化为房租、电费的直接节约，以及设施维护的间接节约。

易于管理和操作：Sec-aaS供应商负责管理和操作用于向企业提供服务的硬件和软件。使用web界面控制台，企业可以查看安全环境和活动，并执行其选择管理的控制任务。控制台提醒企业需要注意的安全事件，并提供有关安全活动和合规性的报告。通过将这些任务转移到Sec-aaS，企业不再需要专门的运维人员。

专注于核心能力：由于不需要专门的维护和管理人员，一些重复性和资源密集型的工作，如日志管理、设备维护等，都可以由Sec-aaS服务商来完成。从而使企业资源可以集中于核心IT功能，加快企业的发展。

可扩展性：Sec-aaS提供了快速的按需扩展。企业信息安全基础架构的使用可以快速扩展，以满足新的工作负载需求。

快速资源调配：Sec-aaS提高了资源调配和取消资源调配时用户、设备和安全应用程序的速度。企业可以通过接口控制台或通过联系服务提供者来请求增加或减少安全服务。这些更改可以是永久的，也可以是临时的，具体取决于企业的需要。

专业技能：Sec-aaS的专业性使它能为中小微企业提供更专业的安全专业技能，无需企业专门招聘或培养专业安全人员。

持续更新：Sec-aaS提供持续和自动化的安全应用程序和基础设施更新，使企业能够迅速得到最新的技术应用，及时获得最新硬件平台和最佳解决方案。如果这些更新在企业内部的传统设备上执行，可能需要更多的精力和资源。

2.3  Sec-aaS服务有风险吗？如何应对？

使用Sec-aaS服务时，最令企业担心的就是数据保护和控制权，这也是企业必须接受的额外风险，毕竟企业可以外包信息安全服务，但不能外包最终的安全责任。

因此，为了能安全地使用Sec-aaS服务，企业需要有较为完善的安全管理流程，在流程中对可能会遇到的数据保护、安全责任划分等问题进行详细分析和制定风险应对措施。例如谁负责保护什么？谁有权访问哪些数据？重要的安全数据（审计日志、用户凭据等）存储在哪里，需要时可以访问它们吗？销毁和归档程序是什么？跨境数据传输会引发哪些法律和司法问题？

另外，企业还应该严格审查Sec-aaS合同，重点了解谁负责企业要求的具体安全控制措施，同时也还要确保服务的安全设置满足合规性。在合同谈判过程中，最重要的是要记住，企业对其资产的安全负有最终责任。

2.4  总结

安全服务需求的深度和广度正在前所未有地迅速扩大，而Sec-aaS服务为各种规模的企业提供了安全竞争环境。通过使用Sec-aaS服务，中小微企业现在可以使用只有大企业才能负担得起的工具，却不需要巨额的资金投入和专业技能。只要使用得当，中小微企业就能有效地降低与信息安全相关的成本，将更多资金和精力投入到企业发展中，不断将企业壮大。

三.  如何挑选Sec-aaS服务商？

从上文所述的Sec-aaS服务为中小微企业带来的好处和挑战、风险中可以归纳出，挑选Sec-aaS服务商的关键因素有两个：

1、技术先进

面对各种已知和未知攻击，能够及时、高效地进行检测、防御和响应的Sec-aaS服务，才是中小微企业最需要的安全服务。而这些，需要Sec-aaS服务商具有一流的安全引擎、持续更新的安全规则、能力出众的安全专家来支撑。

2、平台可靠

近期发生的某公司运维人员删库的安全事件，想必大家还记忆深刻。为了保证企业数据的完整性、保密性、可用性，不仅要对外部威胁进行防护，还要更加注意内部安全。因此，与承载Sec-aaS服务的平台可靠性、信息资产的访问控制和备份恢复、与Sec-aaS服务商之间的责任约定等，就成为企业选择服务的重要考量。

综上所述，安全帮®安全服务平台不失为中小微企业安全防护的一个理想选择。

安全帮来自中国电信研究院云安全研究所，具有运营商背景，平台可靠。其提供的Sec-aaS服务产品，具备运营商量级安全防护能力的资源池，能够提供安全专家的防护策略跟踪定制，深度适配客户业务，提供主动、智能的安全防护能力。并结合大数据分析与人工智能技术，通过多维度安全能力间的持续自动化协同，实现自主决策和自主响应，并不断优化的安全防御机制。