作為網(wǎng)絡(luò)安全行業(yè)的專業(yè)媒體,，每天我們都會(huì)關(guān)注發(fā)生在全球范圍內(nèi)的各種與網(wǎng)絡(luò)安全有關(guān)的新聞，但相信大家也和我們感受一樣,，那就是只有那些規(guī)模較大的大型企業(yè)甚至是行業(yè)巨頭會(huì)經(jīng)常占據(jù)頭條,，諸如某某某昨天遭到勒索攻擊導(dǎo)致業(yè)務(wù)中斷，誰誰誰今天因?yàn)楹诳凸魧?dǎo)致數(shù)據(jù)泄露等等,，這里面的某某某和誰誰誰大多數(shù)時(shí)候都是耳熟能詳?shù)摹按笕宋铩薄?/p>

　　但實(shí)際上,，中小企業(yè)是整體經(jīng)濟(jì)的重要貢獻(xiàn)者，比如中小微企業(yè)對(duì)我國就有著“五六七八九”的貢獻(xiàn),，具體則指的是他們貢獻(xiàn)了我國50%以上的稅收,、60%以上的GDP、70%以上的技術(shù)創(chuàng)新,、80%以上的城鎮(zhèn)勞動(dòng)就業(yè)以及90%以上的企業(yè)數(shù)量,。

　　而就歐盟而言，中小企業(yè)對(duì)經(jīng)濟(jì)的支柱作用也十分明顯,，他們代表了歐盟99%的企業(yè),，占?xì)W洲GDP的一半以上，并且雇傭人數(shù)達(dá)到約1億人,，幾乎在所有行業(yè)的發(fā)展中都發(fā)揮著關(guān)鍵作用,。

　　由此可見，中小企業(yè)對(duì)于經(jīng)濟(jì)的貢獻(xiàn)度并不遜于那些大型企業(yè),，而且在數(shù)字化轉(zhuǎn)型的過程中,，他們更是十分重要的力量，但同時(shí)我們也很清楚,，很多企業(yè)面對(duì)疫情為了能夠繼續(xù)生存,，不得不選擇或加快了數(shù)字化轉(zhuǎn)型，這種倒逼的轉(zhuǎn)型,，總是會(huì)有一些倉促,，導(dǎo)致安全只能放在一個(gè)重要性并不是很強(qiáng)的位置，由此帶來的后果無需多言,。

　　為什么中小企業(yè)的網(wǎng)絡(luò)安全挑戰(zhàn)巨大,？

　　根據(jù)360天樞智庫于今年發(fā)布的《2022中小微企業(yè)數(shù)字安全報(bào)告》顯示，針對(duì)中小微企業(yè)的網(wǎng)絡(luò)攻擊已呈現(xiàn)出更加復(fù)雜的趨勢,，在過去的一年中,，針對(duì)我國中小微企業(yè)的破壞性攻擊威脅主要來源于惡意軟件入侵（68%）、勒索攻擊（65.3%）,、系統(tǒng)漏洞（65.4%）以及網(wǎng)絡(luò)釣魚（42.7%）等。同時(shí)，報(bào)告數(shù)據(jù)顯示,，有近半數(shù)中小微企業(yè)表示在2021年曾遭到過網(wǎng)絡(luò)攻擊,，有10%的受訪者表示自己甚至遭受過10次以上的攻擊。

　　同樣的情況在海外也是差不多,，在ENISA發(fā)布的《中小企業(yè)網(wǎng)絡(luò)安全報(bào)告》中,，也是近一半的企業(yè)（46%）在過去的12個(gè)月內(nèi)遭遇過網(wǎng)絡(luò)安全攻擊，盡管這其中受訪的大型企業(yè)遭遇過攻擊的比例更高（75%）,，但受訪的中型企業(yè)中,，也承認(rèn)自己遭遇過攻擊的比例也達(dá)到了68%。

　　所以,，從全球的角度看,，針對(duì)中小企業(yè)的攻擊比例整體來看來并不低，而中小企業(yè)所面臨的網(wǎng)絡(luò)安全條件無疑也是巨大的,。

　　那么目前對(duì)于中小企業(yè)的安全挑戰(zhàn)主要集中在以下幾點(diǎn)：

　　1,、人員的網(wǎng)絡(luò)安全意識(shí)低。

　　2,、對(duì)關(guān)鍵和敏感信息的保護(hù)不夠,。

　　3、缺乏預(yù)算,。

　　4,、缺乏網(wǎng)絡(luò)安全相關(guān)人才、專家,。

　　5,、缺乏針對(duì)中小企業(yè)的網(wǎng)絡(luò)安全指南。

　　6,、企業(yè)管理層對(duì)安全的支持力度普遍偏低,。

　　在這之中，最核心的問題主要體現(xiàn)在第六點(diǎn),，實(shí)際上對(duì)于人員規(guī)模相對(duì)中等以及偏少的中小企業(yè)而言,，管理層對(duì)安全的支持力度普遍決定了整個(gè)公司的網(wǎng)絡(luò)安全水平，包括人員網(wǎng)絡(luò)安全意識(shí),、對(duì)信息的保護(hù),、預(yù)算、人員等等,，其實(shí)都是由企業(yè)的管理層決定的,，如果上面沒有表現(xiàn)出足夠的重視，那么下面對(duì)于安全的態(tài)度就可想而知,，至于中層的安全主管或團(tuán)隊(duì),，毫無疑問，要忍受著上、下雙重壓力,，出了問題也只能是扮演一個(gè)背鍋的角色,。

　　中小企業(yè)真的不關(guān)注安全嗎？

　　提出這個(gè)問題的時(shí)候其實(shí)我們也在思考,，隨著網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的不斷施行,，中小企業(yè)會(huì)不關(guān)注安全嗎？全球的安全事件不斷爆出,，中小企業(yè)會(huì)沒有觸動(dòng)嗎,？

　　我們認(rèn)為這一定會(huì)，那么如果為了合規(guī)不得不關(guān)注安全,，也可能會(huì)做,，但也只能做到合規(guī)而已，至于實(shí)際上是否能抵御攻擊,，另當(dāng)別論,。至于那些安全事件，只要沒發(fā)生在自己身上,，那么對(duì)于很多人而言,，就是一個(gè)旁觀者的角色去看一個(gè)新聞而已，有觸動(dòng)嗎,？有,，但也僅此而已，因?yàn)樽龊冒踩ㄔO(shè)不是靠一兩個(gè)新聞就行的,，當(dāng)然,，如果這個(gè)新聞的主角是自己的話，恐怕就是另一種情況,。

　　因此,，僥幸恐怕還是更多中小企業(yè)對(duì)待安全的態(tài)度?！?022中小微企業(yè)數(shù)字安全報(bào)告》也有指出,，比如像絕大多數(shù)中小微企業(yè)對(duì)未來防御網(wǎng)絡(luò)攻擊持悲觀的態(tài)度，其實(shí)就是對(duì)自己的防御能力沒有信心,，還有近八成中小微企業(yè)擔(dān)心供應(yīng)鏈安全會(huì)引發(fā)其自身安全風(fēng)險(xiǎn)增加,。這些似乎都說明了一個(gè)問題——中小微企業(yè)對(duì)于自身的安全狀況還是有一些“自知之明”，但即便如此,，又能如何,？它們真的能做好嗎？

　　生存仍然是中小微企業(yè)的第一要?jiǎng)?wù)

　　關(guān)于中小微企業(yè)的生存狀況,，我們?cè)吹竭^很多內(nèi)容,，尤其是對(duì)于小微企業(yè),，平均存活周期只有3-5年左右，試問在這樣的情況之下,，他們有什么樣的能力去大力的投入安全建設(shè),？首先要保證自己能夠跨過3年、5年的坎,，然后再去談更多別的，否則一切都是以業(yè)務(wù)為重,，相比之下,，融資更是最令他們頭疼的主要問題。

　　在人才方面,，如果說中型企業(yè)對(duì)于人才的吸引力還有一定水平,，那么小微企業(yè)就很難了，更別說去吸引那些有能力的安全人才,，依靠自身去搞好安全可謂天方夜譚,。

　　在投入方面，可以說更加可憐,，此前就曾有民間團(tuán)隊(duì)做過針對(duì)中小企業(yè)的調(diào)查,，盡管這些企業(yè)貢獻(xiàn)了70%的技術(shù)創(chuàng)新，但在研發(fā)投入方面普遍不足,，他們所依靠的更多是基于自身靈活的機(jī)制,，一切基于業(yè)務(wù)、效率優(yōu)先導(dǎo)向所帶來的優(yōu)勢,，可見對(duì)于技術(shù)型企業(yè)在主營業(yè)務(wù)的研發(fā)投入方面都不太夠的情況下,，理應(yīng)作為基礎(chǔ)性工作的安全都已經(jīng)成為了奢侈品。

　　所以,，中小微企業(yè)的網(wǎng)絡(luò)安全態(tài)勢不容樂觀,，除了企業(yè)的主觀原因之外，也有客觀原因,，但是否中小企業(yè)就不用管安全了呢,？

　　在我們看來，答案一定是否定的,，因?yàn)樵谥行∥⑵髽I(yè)瘋狂擁抱數(shù)字化轉(zhuǎn)型浪潮的當(dāng)下,，一個(gè)安全問題就很有可能會(huì)讓一個(gè)中小微企業(yè)直接停擺甚至消失，在力所能及的情況下,，必須要對(duì)安全給予足夠的重視,。正如我們所常說的，健康是1,，其他是0,，如果沒有了安全,，那風(fēng)險(xiǎn)的來臨只是一個(gè)事件問題而已。

　　中小企業(yè)應(yīng)如何做好安全建設(shè),？

　　低成本+針對(duì)性強(qiáng)+力所能及是優(yōu)先選項(xiàng)

　　在ENISA的報(bào)告中顯示,，歐洲的許多中小企業(yè)都已經(jīng)采取了一些類似的網(wǎng)絡(luò)安全措施，諸如部署防火墻,、防病毒軟件等等,，但大多都是歸屬于企業(yè)內(nèi)負(fù)責(zé)IT的人員或IT部（如果有的話），但這些肯定是不夠的,，但鑒于前面所說的那些問題,，低成本將是面向中小微企業(yè)網(wǎng)絡(luò)安全建設(shè)的關(guān)鍵詞，這也是上述兩份報(bào)告中都重點(diǎn)提及的內(nèi)容,。

　　不過,，在我們看來，最大的先決條件依然是這些企業(yè)的高級(jí)管理人員對(duì)網(wǎng)絡(luò)安全的認(rèn)知和態(tài)度,，畢竟低成本也是成本,。在360天樞智庫看來，低成本甚至免費(fèi)的安全服務(wù),，其重要的作用在于讓中小微企業(yè)更進(jìn)一步的認(rèn)知自身所存在的安全問題,，也就是對(duì)自己的安全狀況有一個(gè)較為直觀的認(rèn)識(shí)，這對(duì)于后面如何建設(shè),，重要的是有針對(duì)性的安全建設(shè)是很有意義的,，這意味著中小微企業(yè)無須在所有的環(huán)節(jié)都去進(jìn)行投入，換言之,，就是盡量通過20%的投入降低80%的風(fēng)險(xiǎn),，減輕中小微企業(yè)的安全負(fù)擔(dān)，同時(shí)快速補(bǔ)足自身安全短板,。

　　針對(duì)中小微企業(yè),，如何低成本的讓自己有一個(gè)基礎(chǔ)的安全保障呢，我們總結(jié)了業(yè)內(nèi)的一些主要觀點(diǎn),，主要從人員,、過程、技術(shù)三方面來看,，力所能及可做到的主要有以下幾點(diǎn)：

　　一,、人員方面

　　1、明確責(zé)任歸屬,。一方面是明確安全誰來負(fù)責(zé),，即便是沒有專門的人員，建議也應(yīng)設(shè)定一個(gè)高級(jí)管理人員兼任,，其他的人對(duì)于安全需要承擔(dān)什么樣的附加或連帶責(zé)任也應(yīng)明確,。

　　2,、制定安全政策或制度并讓員工知曉并簽署。不同企業(yè)的不同發(fā)展階段,，都應(yīng)有相應(yīng)的安全制度,，并且要讓所有的員工知曉，當(dāng)然,，更重要的是必須要讓企業(yè)的高級(jí)管理層的簽署以及全力支持（這的確很難,，但最好做到）。

　　3,、強(qiáng)化員工的安全意識(shí),。這一點(diǎn)同上面的安全制度其實(shí)是相銜接的，制度制定出來如果大家不遵守就相當(dāng)于沒有制度,，而想要讓員工更好的執(zhí)行這些制度，還是盡量要讓他們理解,，比如如何識(shí)別釣魚郵件,？當(dāng)發(fā)現(xiàn)潛在的安全威脅時(shí)應(yīng)該如何做，自己第一時(shí)間應(yīng)該如何處置,？向誰匯報(bào),？這些內(nèi)容，其實(shí)都需要讓員工明白和清楚,，哪些情況會(huì)危及企業(yè)乃至自己的信息安全,。

　　4、安全培訓(xùn)及演練,。這里主要是兩方面,，一方面是安全責(zé)任相關(guān)人員（無論是專職還是兼職），必須要保持一定節(jié)奏的安全培訓(xùn),，以時(shí)刻保證對(duì)安全的敏感性,。另一方面，則是整體公司的員工,，如果培訓(xùn)很枯燥,，那么最好還是通過模擬演練的方式去訓(xùn)練他們，以更好的執(zhí)行前面所說的那些安全制度,。

　　5,、針對(duì)第三方的管理。這里的第三方也包括供應(yīng)商,，所有會(huì)涉及到與企業(yè)自身系統(tǒng),、信息的權(quán)限，在對(duì)任何第三方授權(quán)的時(shí)候都必須要嚴(yán)格管理,，其意義和價(jià)值不言而喻,。

　　二,、過程方面

　　1、審計(jì),。要確保定期對(duì)防火墻和外部等關(guān)鍵系統(tǒng)進(jìn)行安全測試,，尤其是漏洞相關(guān)的，要做到有更新就安裝,，有補(bǔ)丁就打上,。同時(shí)最好還要確保所有企業(yè)內(nèi)的終端上不存在非法軟件等內(nèi)容。

　　2,、安全事件計(jì)劃及響應(yīng),。這個(gè)說實(shí)話不太容易，尤其是對(duì)于那些沒有經(jīng)歷過安全事件的企業(yè)而言,，但建議還是要根據(jù)一些最佳實(shí)踐去調(diào)整并制定適合自身安全事件響應(yīng)及計(jì)劃,，并明確相關(guān)的角色和職責(zé)，以確保企業(yè)在遇到風(fēng)險(xiǎn)時(shí),，至少能夠一定的應(yīng)對(duì)策略,，而不是慌亂，無論是對(duì)于網(wǎng)絡(luò)攻擊還是其他災(zāi)害（如火災(zāi)等）都是如此,。

　　3,、密碼。坦率地說,，很多企業(yè)在這上面吃了虧,，因?yàn)樵O(shè)備或重要系統(tǒng)的密碼出現(xiàn)問題導(dǎo)致企業(yè)遭遇嚴(yán)重?fù)p失的事件層出不窮，因此這塊必須要做到嚴(yán)格的管理,，尤其是像弱密碼,，以及從第三方購買產(chǎn)品中的默認(rèn)密碼等等，統(tǒng)統(tǒng)都要修改,，并應(yīng)該定期檢查,，不能讓企業(yè)內(nèi)的任何人輕易暴露以上問題。

　　4,、軟件更新及補(bǔ)丁的管理,。前面說到有更新就安裝，有補(bǔ)丁就打上,，但這里其實(shí)還需要特別強(qiáng)調(diào)的一點(diǎn)就是在部署這些的時(shí)候需要經(jīng)過審核,，以進(jìn)一步的確保安全性，尤其是當(dāng)前很多供應(yīng)鏈攻擊都是從這個(gè)層面發(fā)起,，但需要注意的是,，這個(gè)審核不能成為這些更新或補(bǔ)丁及時(shí)部署的障礙。

　　5,、數(shù)據(jù)保護(hù),。對(duì)于中小企業(yè)而言,，這里更重要的是合規(guī)，確保自身的數(shù)據(jù)以及涉及到個(gè)人信息的數(shù)據(jù)都能獲得相對(duì)較為妥善的保護(hù),，以確保符合包括數(shù)據(jù)安全法,、個(gè)人信息保護(hù)法等相關(guān)法律法規(guī)的要求。

　　三,、技術(shù)方面

　　1,、反病毒。對(duì)任何終端而言,，這其實(shí)都是基礎(chǔ)操作了,，在安裝并使用的同時(shí)，也要注意及時(shí)更新病毒庫等操作,。另外,，企業(yè)版的反病毒軟件雖然需要付費(fèi)，但整體來看,，其費(fèi)用支出并不是很大的,，也應(yīng)值得考慮。

　　2,、加密。理論上,，凡是涉及存儲(chǔ)企業(yè)相關(guān)數(shù)據(jù)的設(shè)備都最好實(shí)施全盤加密,，以保證即便是被攻擊，數(shù)據(jù)也不會(huì)輕易的直接落入攻擊者手中,。

　　3,、物理安全。這部分的安全措施其實(shí)也很重要,，比如重要IT資源要確保放在一個(gè)安全的環(huán)境中,，而不是人來人往隨意進(jìn)出的地方，對(duì)于居家辦公的人員也同樣重要,，個(gè)人使用卻存有企業(yè)數(shù)據(jù)的設(shè)備是否足夠安全,？不會(huì)被包括家人、朋友等等在內(nèi)的任何人隨意查看,？事實(shí)上,，很多安全問題都是源于這些保護(hù)不夠，而做好這些,，其實(shí)對(duì)安全意識(shí)相對(duì)淡薄的中小企業(yè)而言也很關(guān)鍵,。

　　4、備份,。事實(shí)證明,，良好的備份可以使企業(yè)能夠在遭遇勒索軟件攻擊后快速地恢復(fù)業(yè)務(wù),，極大的挽回?fù)p失，對(duì)中小企業(yè)而言更是尤為重要,。具體相關(guān)內(nèi)容此前我們也曾有過專門針對(duì)一場真實(shí)發(fā)生的勒索軟件攻擊案例進(jìn)行過采訪報(bào)道,，在那場事件中，對(duì)方依靠專業(yè)力量提供的災(zāi)備服務(wù)成功的抵御了一場勒索金額高達(dá)上千萬美元的攻擊,。（延伸閱讀：《向千萬美元贖金說不 記一場企業(yè)出海遭遇勒索攻擊的背后故事》）

　　其實(shí)通過上述內(nèi)容可以看出,，從人、制度流程,、技術(shù)這幾個(gè)方面入手,，在不需要付出太多成本的情況下，也能保證一個(gè)相對(duì)基本的安全,。對(duì)于那些收入較為穩(wěn)定的中小企業(yè)而言,，一些普惠性的SaaS安全服務(wù)、產(chǎn)品也可以考慮,，相對(duì)于一次性地投入高額成本,，這種訂閱付費(fèi)的方式對(duì)于成本控制而言還是有一定的優(yōu)勢，而且安全能力也會(huì)隨著專業(yè)廠商端的不斷提升而自動(dòng)獲得提升,，能夠與時(shí)俱進(jìn)的加強(qiáng)自身抵御網(wǎng)絡(luò)安全威脅的能力,，而成本上依然是相對(duì)可控的。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<