中小企业数据安全规划之路

同步地，在国家政策不断明晰和行业监管持续引导的大背景下，数据安全已经成为网络安全行业的投融资热点，更是全社会焦点话题。但不尽如人意的是，参与数据安全相关法律法规和行业标准制定的多是部委机关、科研院所以及行业寡头;试点落实数据安全防护技术多是监管单位和大型企业;数据安全保护技术亦呈现出技术壁垒极高，成本造价极高的态势。数据安全似乎与中小企业关系甚少。

事实上，一方面，中小企业是国民经济的重要组成。根据国家经济统计局数据，中小企业占比中国企业总数90%，GDP贡献达全国65%，税收贡献超过50%，并解决75%以上的城镇就业。另一方面，面对数据安全威胁和攻击，中小企业风险抵御能力极差。根据卡巴斯基2019年安全报告，全球46%中小企业遭遇数据泄露。根据2019年Zogby Analytics报告，数据泄露可能导致25%的中小企业破产。

如此，破解中小企业数据安全困局已是势在必行，更要善建慎行。

一、分析安全威胁，排查致命缺陷

针对数据安全风险，以下内容对中小企业面临的五个最突出安全威胁进行简要分析。

1. 管理者对数据价值认知不足，导致投入少关注少

可能的原因：

数据价值缺乏量化分析。在数据的货币化价值探索方面，中小企业组无法得到直观的数据价值感知。

价值数据缺少持续投入。据统计，中小企业存活周期的平均寿命只有2.9年，由此带来的是体系化数据安全建设周期和资金保障不足。

关键业务数据关注较少。企业运营过程中，关注点会放在了业务组织架构和流程，以及业务模型等，在积累大量的价值数据之前，管理层对数据的价值缺少必要的关注，同时在利用数据驱动企业数字化能力方面略显不足。

2. 难以打造纵深防御体系，黑客攻击更加容易

与大型企业不同，受限于业务规模和安全投入，中小企业业务架构简洁，网络复杂性低，缺少网络安全的整体性思考。在面对恶意攻击时，较短的攻击路径使得核心数据更容易暴露。中小企业由于在安全投入方面较少，因而无法打造一个完整保护体系，如边界防御、访问控制、网络隔离、应用保护、入侵检测、病毒防御、数据防泄漏等等，缺少层层安全策略，层层操作规则。根据电信运营商Verizon《2019年数据泄露调查报告》对于中小企业，70%数据安全攻击事件，在3个攻击步骤内完成攻击。

3. 安全知识储备不足，安全意识仍待提高

中小企业设立1名或多名专职数据管理岗位已然困难;更多，在全社会网络和数据安全专业人员缺口达百万级情况下，中小企业招聘专业安全人员多是“郎有情来妾无意”。

上述情况，可能导致出现常识性安全误区。比如，某中小企业在意识到数据安全重要性后，特别采购满足等保三级要求的云服务器;然而，在使用过程中，不修改默认口令，不关闭特权账号远程登陆，不进行中间件升级，最终导致黑客轻易控制服务器。对于大型企业，安全管理和运营是体系化闭环管理，网络、平台、应用、数据等实现了模块化控制措施部署。

安全意识缺乏亦中小企业重要威胁。传统地，安全意识提升会占较多精力和资源，而且只有大型企业才需要定期开展体系化意识提升。事实上，在日常办公和项目实施中融入意识提升，成本极低，同时得益于规模小，中小企业的安全意识提升效果远超大型企业。

请切记：低级误操作和安全意识缺乏是数据泄露和网络攻击首要原因。

（编辑：大连站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!