如何构建中小企业数据安全堡垒

从华住酒店集团近6亿条数据被曝光，到外卖网站数据篡改，再到微盟公司的程序员删除数据，这些血淋淋的案例警示我们：对于今天的商业组织来说，数据是核心资产和命脉；甚至可以说“业务操作的本质是数据操作”。与核心数据资产相比，精干的管理人员似乎不那么重要，昂贵的设备似乎不那么重要，高档办公楼似乎不那么重要。

同时，在国家政策不断明确、行业监管不断引导的背景下，数据安全已经成为网络安全行业投融资的热点话题，也是全社会关注的焦点话题。然而，令人不满意的是，各部委和机构、科研机构和行业寡头大多参与制定与数据安全有关的法律、法规和行业标准。数据安全保护技术的试点实施大多是监理单位和大型企业。数据安全保护技术也呈现出技术壁垒高、成本高的局面。数据安全似乎与中小企业关系不大。

事实上，一方面，中小企业是国民经济的重要组成部分。根据国家经济统计局的数据，中小企业占中国，企业总数的90%，占国内生产总值的65%，税收的50%以上，解决了75%以上的城镇就业问题。另一方面，中小型企业极易受到数据安全威胁和攻击。根据卡巴斯基2019年安全报告，全球46%的中小企业遭受数据泄露。根据佐格比分析公司2019年的报告，数据泄露可能导致25%的中小企业破产。

这样，解决中小企业的数据安全困境就势在必行，更有必要建立一个良好而审慎的系统。

一、安全威胁分析和致命缺陷调查

针对数据安全风险，以下内容简要分析了中小企业面临的五大最突出的安全威胁。

1.管理者对数据价值的了解不足，导致投资减少和关注减少
可能的原因：

数据值缺乏定量分析。在对数据货币化价值的探索中，中小企业集团无法获得对数据价值的直观感知。
价值数据缺乏连续输入。据统计，中小企业的平均寿命只有2.9年，导致数据安全建设周期系统化，资金保障不足。

对关键业务数据的关注较少。在企业运营过程中，重点将放在业务组织结构和流程，以及业务模式等方面。在积累大量价值数据之前，管理层对数据的价值缺乏必要的关注，同时在利用数据推动企业数字化能力方面稍显不足。

2.很难建立一个纵深防御系统，黑客攻击更容易。

与大型企业不同，中小企业受到业务规模和证券投资的限制。他们的业务结构简单，网络复杂度低，缺乏对网络安全的整体考虑。面对恶意攻击，较短的攻击路径使得核心数据更容易暴露。中小型企业由于在安全方面的投资较少，无法构建完整的保护系统，如边界防御、访问控制、网络隔离、应用程序保护、入侵检测、病毒防御、数据泄漏预防等。他们缺乏逐层的安全策略和逐层的操作规则。根据Verizon 《2019年数据泄露调查报告》，对于中小型企业，70%的数据安全攻击是在3个攻击步骤中完成的。

3.缺乏安全知识储备，安全意识仍需提高

中小企业已经很难设立一个或多个专职数据管理岗位。此外，随着全社会网络和数据安全专业人员的缺口达到百万级，中小企业招聘专业安全人员大多是“情有可原，无心之过”。

上述情况可能会导致常识性的安全错误。例如，在认识到数据安全的重要性后，中小型企业专门购买满足第三级同等保护要求的云服务器。但是，在使用过程中，黑客不会更改默认密码、关闭特权帐户、远程登录和升级中间件，从而使黑客很容易控制服务器。对于大型企业来说，安全管理和操作是系统化的闭环管理，以及网络、平台、应用、数据等。采用模块化控制措施。

缺乏安全意识也是中小企业面临的一个重要威胁。传统上，提高安全意识需要消耗更多的能源和资源，只有大型企业需要定期进行系统的提高意识活动。事实上，将提高意识融入日常办公室工作和项目实施的成本极低。同时，由于规模小，中小企业的安全意识提升效果远远大于大企业。

请记住，低级别的误操作和缺乏安全意识是数据泄漏和网络攻击的主要原因。

4.开源\免费放置安全“地雷”

根据高德纳统计，99%的组织将在信息技术系统中使用开源程序。一般来说，由于技术更新和成本控制，中小型企业使用开源组件也是正常的。便利和安全是相互面对的。据统计，与2018年相比，2019年开源软件漏洞增加了50%，平均每1000行代码有14个安全漏洞。此外，安全漏洞暴露后，中小企业很难通过外围安全防护设备来抑制安全影响。然而，直接升级程序和加强系统是危险和困难的。基于此，中小型企业修复开源漏洞的平均时间超过了24个月。

需要思考的是：开源程序的隐患从何而来？

首先，对于成熟的开源软件，很难安全地再投资。一方面，早期的开源项目几乎没有安全投资；另一方面，如果开源软件在经过多年的版本更新后，不是由3或5个工程师甚至1个工程师独立开发的，那么安全加固将大大增加时间成本和能源成本；没有成千上万人的联合迭代，没有新老版本代码的相互调试和引用，复制程序已经非常困难，更不用说安全框架了。由于各种原因，很难提高成熟开源软件的安全性，而且效果平平。

其次，新立项目，尤其是常用互联网应用的开源框架项目，得到了企业的赞助，甚至人力投入(参与核心编码)和大量安全专家也参与了。然而，美国和中国有一个缺点：为了提高代码的可用性和可扩展性，更多的安全配置被默认关闭。对于大型企业，尤其是行业巨头，他们非常重视源程序或软件的安全性。许多企业已经建立了系统管理，包括引入管理、软件版本管理、漏洞检测、在线报警和补丁测试环境。然而，对于中小型企业来说，当使用开源代码时，很可能“一次做十件事”，而不注意安全配置。事实上，中小企业也通过小行动加强了开源程序的安全使用。例如，他们建立了一个安全原则，当CNVD通知他们存在高风险安全漏洞时，禁止开发人员以任何理由使用开源程序。例如，根据CIS建立企业安全基线需要开源软件超过95%的安全配置。再举一个例子，为了调用开源程序并成为项目的核心功能，需要两种以上的编码语言兼容。

请记住，开源程序安全漏洞的利用是数据泄漏和网络攻击的第二个原因。

5.云技术的应用：天使和魔鬼以同样的方式走到一起。

在过去的五年里，云技术堪称中小企业的福音。大量中小企业在轻量级运营的前提下，利用云平台实现业务扩展和容量扩展。此外，在新的皇冠疫情背景下，工信部文件强调：支持数字化和智能化转型，协助中小企业重返工作岗位并恢复生产。其中，引导大型企业和专业服务机构推出面向中小企业的云制造平台和云服务平台，促进中小企业业务系统的云部署非常重要。

目前，云技术有安全验证，云架构有安全设计。云服务提供商金口玉表示，他已多次承诺满足业务需求、匹配业务模式并提供可选的高质量安全保障。然而，业务和数据毕竟是自己的，中小企业在应用云技术时需要高度重视业务和数据的安全管理。

首先，云平台的安全风险是X86和TCP/IP架构的客观性。您是否记得Slack和CloudFlare安全漏洞泄露了数百万用户的个人信息，或者Verizon的亚马逊S3服务器配置错误，泄露了美国？ 1400多万用户的数据

其次，中小企业在认识到风险后，可能会考虑购买国有资产或知名云服务。同时，根据业务模式和规模选择和购买安全服务(注：云平台安全服务进一步证明了第一点：云平台存在安全风险)。为了减轻运营成本的压力，作者建议优先购买低成本但高成本的安全服务，如漏洞扫描和服务器加固。在此基础上，结合业务模式，选择和购买业务风险、数据泄漏检测等服务。

第二，明确合规要求，重视战略部署

据《网络安全法》和《个人信息安全规范》等法律标准，网络运营商和数据控制器必须承担数据保护义务。对于中小企业，需要重点关注三个关键的合规要求。

1.个人信息保护
把握个性化个人信息的持续增长可能是中小企业与行业寡头竞争的“王牌”。确立这一“王牌”的首要前提是履行保护义务。

根据《刑法》、《消费者权益保护法》和《数据安全管理办法》的许多法律法规以及国家标准，个人信息的收集、处理和利用受到严格限制和控制。需要强调的是，个人信息保护是一种法律约束。根据粗略统计，2019年每3天将增加一个针对个人信息的案例。

2.数据共享安全性

流通是数据的自然属性，实现也是数据的最终目标，但流通并不意味着随机传播，实现也不意味着数据销售。数据共享需要提前预防、进行中监控和事后审计。

3.数据退出安全性

目前，越来越多的中小企业涉及跨境交易。同时，一些数据可能会跨境传输。对于数据出站业务，一方面要注意数据接收方所在国的法律法规，如欧盟，的GDPR；另一方面要注意国家数据安全保护的法律法规，如新加坡、泰国等；另一方面要注意国内的要求，如《个人信息出境安全评估办法》。

要特别注意的是，数据安全和网络安全是国家对整个行业的国家网络空间安全的可控战略要求，企业和机构无论规模或形式都必须服从安全监管。遵守安全和合规性需要提升到中小型企业所有者的战略目标。

三、着陆安全战术，练习第一步

中小型企业不适合建立没有细节的完整数据安全保护框架。相反，他们应该采取“精确发电和瞄准”的安全策略。以下从提高认识、安全管理、安全技术和专项工作四个方面分析并提出了中小企业数据安全建设的重点保障措施，即从众多保障措施中寻找最紧迫的选项(本文将给出两个项目供读者参考)。

1.安全意识
提高安全意识有多种形式和灵活的方法。考虑到中小企业的运营成本限制和便利性要求，建议优先开展两项宣传工作：

这个案子被公开了。组织同一行业的个人信息侵权案件或数据泄露事件，在例会前进行10分钟的案例研究，对比分析企业的不足，增强企业所有者对数据资产价值的认识，加强对员工违规思想的威慑。
知识学习。组织对常用设备和系统的安全操作或默认密码或典型安全漏洞分析的简要知识，每月总结进行30分钟的集中学习。

2.安全管理

一个完整的数据安全管理可能至少涵盖职位、人员、系统、流程、监管合作等。但是，对于中小型企业，可以优先考虑以下两项任务来进行数据安全管理：

建立规章制度体系。不要因为对系统实施的期望低或实施效果差而拒绝建立系统。制度是现代企业管理的“神经”。特别是对于数据安全工作，系统的建立是直面数据工作的第一步。这也可能成为公安机关在安全事故后承担责任时，相关人员“尽职”的第一个证明。鉴于该制度实施的难度，建议一是加强企业内部安全制度的统一性、权威性和严肃性，并“以令禁止”；第二，建议企业减少“家长式”管理，考虑基于场景的安全系统演练和专项活动，以加强企业数据安全文化建设，激发员工在管理层的参与。雇佣兼职顾问。如上所述，培训全职人员既困难又昂贵。建议中小型企业，尤其是员工少于150人的企业，雇用兼职数据安全顾问进行技能指导。

3.安全技术

面向大型企业的数据安全保护技术可以覆盖整个数据活动生命周期，从资产识别到分类、威胁检测、安全监控等。然而，数据的安全命运可以归纳为两种类型：被破坏和非法访问(包括泄露)。结合前面的安全威胁分析，建议中小企业优先考虑以下两项任务：

数据备份。无论是本地数据还是云数据，备份都是抵御攻击的低成本策略，也是减少数据损坏影响的最佳解决方案。

文件加密软件。对于非法访问，大型企业可能会购买和部署完整的文件加密软件访问控制系统，覆盖网络边界、主机服务、应用程序服务，甚至是命令级权限管理。缺点是，这种访问控制会不断增加后续的管理成本，如频繁调整访问控制策略会增加额外的人力；如果业务或网络扩展导致访问控制系统同步扩展，将增加额外成本。建议中小型企业使用加密技术来减轻非法访问的威胁(加密技术是一种开放技术，在大多数情况下，算法是完全开放的)。

注意：加密软件可以有效防止内部数据被非法泄露，但对于小规模组织，可以减少数据暴露和传播。

4.特殊工作

结合威胁分析和合规性要求，建议中小型企业执行以下两项特殊任务。

个人信息保护。特别是在2020版《个人信息保护规范》发布之后，个人信息保护对整个行业来说是一个严格的要求。中小企业个人信息保护专项工作至少应包括隐私政策管理、数据采集授权和安全保护(范围和频率)、加密传输、加密存储、不保留原始身份数据和及时处置。

数据退出管理。数据共享和交换的安全性是企业数据管理的关键。其中，数据退出需要特别注意。GDPR 2018年的实施，明确了中国企业参与欧盟业务的数据管理要求，更加明确了数据跨境流动的方式和渠道。此外，随着《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(征求意见稿)》的相继发布，数据出口合规性管理显然会越来越严格。特别是对于从事跨境电子商务和跨境贸易的中小企业，建议至少从数据出口范围控制、数据出口风险评估和影响分析、数据接受方的法律合同约束等方面开展数据出口安全专项工作。