安全帮：处理中小微企业安全防护之痛

中小微企业是数量最大、最具活力的企业群体，是社会主义市场经济的重要组成部分，是我国实体经济的重要基础。根据第四次全国经济普查的数据显示，截至2018年末，我国中小企业法人单位一共是1807万家，占全部规模企业法人单位的99.8%。

在互联网经济高速发展和数字化建设逐步加快的今天，保护信息资产对中小微企业的成功至关重要。对于需要满足合规性要求或需要保护敏感数据的企业来说，保护信息资产已成为一个优先事项。毕竟攻击的方式多种多样，但安全防护的技术壁垒却很高，而一旦被攻破，可能会造成数据泄露、数据篡改、服务停用甚至巨额赔偿，危害和影响可谓是巨大的。而在这方面中小微企业都面临的挑战是：如何在控制投资和运营成本的同时，实施稳健的安全措施？这让中小微企业管理人员颇为头疼。下面我们就中小微企业安全防护面临的问题进行剖析，并针对这些问题提出一些可行性建议。

一.  中小微企业面临的网络安全困境

1.1  网络环境日趋复杂：部署难

1.1.1  云与本地结合，界限模糊

在互联网产品日新月异的今天，网络的建设也进入了一个新的时代。以往的企业，想建设自己的网站，可能需要为本地机房租赁场地、购买昂贵的高性能服务器，并安排专业的运维人员对基础设施进行维护。而随着云计算的逐渐兴起，公有云、私有云的出现，许多企业开始把数据往云上迁移，以缩减成本，提高效率。但对于那些已经有本地机房的企业来说，短时间内可能无法完全放弃本地机房，于是就会出现一部分数据在云上，一部分数据在本地，网络界限模糊的情况，这就给网络的安全防护带来了新的问题。

1.1.2  异地办公与远程办公

为了扩展业务，不少企业都在全国各地开设了分公司、办事处等分支，分支的员工相对于总部来说，等于是异地办公；同时，因为出差或职业性质关系、或为了节约成本、或因特殊情况（如抗击疫情）等，不少员工需要远程办公。不论是异地办公还是远程办公，都需要共享公司数据，访问OA，运营网站等，如何同时保证本地、异地和远程的网站访问安全？这也对公司的网络建设和安全防护提出了较高的要求。

1.1.3  等保合规要求高

2019年5月13日下午，《信息安全技术网络安全等级保护基本要求》（以下简称：等保2.0）正式发布，2019年12月1日起正式实施。标志着等级保护标准正式进入2.0时代。等保2.0是我国网络安全领域的基本国策、基本制度和基本方法，为了满足等保2.0中的合规要求，企业需要在网络中串联各种安全设备，并为了满足高可用性，对链路进行冗余部署，随着安全设备越来越多，网络环境越来越复杂，成本也直线上升。如何省心又省钱地满足等保合规要求，成为中小微企业不得不面对的难题。

1.2  攻击方式层出不穷：防护难

网络攻击的方式多种多样，已知的如DDoS攻击，WEB攻击，数据库攻击等，历史悠久，攻击方式已被大众所熟知，但相关安全事件仍旧层出不穷。

最近几年， 勒索病毒、APT高级威胁、钓鱼、社会工程又成为了网络安全热点，再加上Apache、 tomcat等web服务相关程序的漏洞不停被爆出，未知攻击变得越来越多，防护设备所使用的技术领先性和持续更新就变得尤为重要，而传统防护方式可能会因为企业已购硬件不支持升级最新版本，但又无力采购新硬件而使企业在面对未知攻击时捉襟见肘，防护效果大打折扣。

1.3  厂商多、产品繁：选择难

随着我国网络安全产业规模的快速增长，安全厂商也如雨后春笋般涌现。根据中国信通院发布的《中国网络安全产业白皮书（2019年）》报告，2019年我国网络安全从业企业近3000余家。

安全产品分类也多种多样，例如针对网站安全防护最有效的WAF产品，就可分为硬件WAF、软件WAF和云WAF，每种产品都有数十家甚至更多的供应商，让没有专业安全专家的中小微企业难以抉择。

1.4  投资大、人才缺：成本高

网络安全设备价格不菲，以硬件WAF为例，一台性能为百兆的硬件WAF产品，价格约在十几万到几十万元不等。购买设备后，还需要每年续费以保证license有效，才能继续升级最新功能和进行补丁更新，且一台硬件WAF设备的生命周期约为五年，五年后，需要报废重新购买，这些都成为企业网站安全防护潜在的成本。

同时，专业的安全运维人员也是必不可少的。众所周知，网络攻击形式多样，因此漏报和误报率也一直居高不下。为了使企业能够安全、平稳的运营，需要专业的安全运维人员对安全设备的告警进行响应和处理。而面对安全人员紧缺的现状，缺少高薪和清晰的发展前景的中小微企业在招聘上无疑是没有什么竞争力的。

二.  中小微企业安全防护推荐解决方案：Sec-aaS服务

针对上述部署难、防护难、选择难、成本高的问题，Sec-aaS服务是一个不错的解决方案。

2.1  Sec-aaS（Security-as-a-service，安全即服务）是下一代托管安全服务，致力于通过互联网提供专门的信息安全服务

Sec-aaS服务包含了所有的云计算特性，例如使用方便、对共享资源池通过网络按需访问，同时也具有云计算的缺点，即用户可能对服务和任务的控制较少或没有控制权。Sec-aaS可以使用软件即服务（SaaS）、平台即服务（PaaS）或基础设施即服务（IaaS）交付，具体取决于企业购买的保护级别。

Sec-aaS供应商提供的常见安全服务包括：

•身份和访问管理（IAM）

•电子邮件安全

•防病毒和反恶意软件/间谍软件

•入侵管理（检测和防御）

•安全基础设施部署和管理

•安全信息监控和事件管理（SIEM）

•防火墙集成和管理

•加密

•完整性监控

•标记化

•网站安全和安全套接字层（SSL）证书

•远程漏洞评估

•配置核查

•应用程序安全静态和动态分析

•Internet流量过滤

•数据丢失管理（监控，预防和报告）

•风险评估

•业务连续性和灾难恢复

•网络安全

2.2  Sec-aaS服务能为企业带来哪些好处？

显而易见，使用Sec-aaS的最大好处是经济上的，但也有人可能会说，在一个信息威胁不断演变的世界里，最大的优势是能够使用最新的技术来应对这些威胁。下面我们就来逐一看下Sec-aaS服务能为企业带来的好处：

（编辑：大连站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!