中小企业数据安全建设之途
发布时间:2022-07-22 08:44:26 所属栏目:安全 来源:互联网
导读:同步地,在国家政策不断明晰和行业监管持续引导的大背景下,数据安全已经成为网络安全行业的投融资热点,更是全社会焦点话题。但不尽如人意的是,参与数据安全相关法律法规和行业标准制定的多是部委机关、科研院所以及行业寡头;试点落实数据安全防护技术多是
|
同步地,在国家政策不断明晰和行业监管持续引导的大背景下,数据安全已经成为网络安全行业的投融资热点,更是全社会焦点话题。但不尽如人意的是,参与数据安全相关法律法规和行业标准制定的多是部委机关、科研院所以及行业寡头;试点落实数据安全防护技术多是监管单位和大型企业;数据安全保护技术亦呈现出技术壁垒极高,成本造价极高的态势。数据安全似乎与中小企业关系甚少。 针对数据安全风险,以下内容对中小企业面临的五个最突出安全威胁进行简要分析。 1. 管理者对数据价值认知不足,导致投入少关注少 可能的原因: 数据价值缺乏量化分析。在数据的货币化价值探索方面,中小企业组无法得到直观的数据价值感知。 价值数据缺少持续投入。据统计,中小企业存活周期的平均寿命只有2.9年,由此带来的是体系化数据安全建设周期和资金保障不足。 关键业务数据关注较少。企业运营过程中,关注点会放在了业务组织架构和流程,以及业务模型等,在积累大量的价值数据之前,管理层对数据的价值缺少必要的关注,同时在利用数据驱动企业数字化能力方面略显不足。 2. 难以打造纵深防御体系,黑客攻击更加容易 与大型企业不同,受限于业务规模和安全投入,中小企业业务架构简洁,网络复杂性低,缺少网络安全的整体性思考。在面对恶意攻击时,较短的攻击路径使得核心数据更容易暴露。中小企业由于在安全投入方面较少,因而无法打造一个完整保护体系,如边界防御、访问控制、网络隔离、应用保护、入侵检测、病毒防御、数据防泄漏等等,缺少层层安全策略,层层操作规则。根据电信运营商Verizon《2019年数据泄露调查报告》对于中小企业,70%数据安全攻击事件,在3个攻击步骤内完成攻击。 3. 安全知识储备不足,安全意识仍待提高 中小企业设立1名或多名专职数据管理岗位已然困难;更多,在全社会网络和数据安全专业人员缺口达百万级情况下,中小企业招聘专业安全人员多是“郎有情来妾无意”。 上述情况,可能导致出现常识性安全误区。比如,某中小企业在意识到数据安全重要性后,特别采购满足等保三级要求的云服务器;然而,在使用过程中,不修改默认口令,不关闭特权账号远程登陆,不进行中间件升级,最终导致黑客轻易控制服务器。对于大型企业,安全管理和运营是体系化闭环管理,网络、平台、应用、数据等实现了模块化控制措施部署。 安全意识缺乏亦中小企业重要威胁。传统地,安全意识提升会占较多精力和资源,而且只有大型企业才需要定期开展体系化意识提升。事实上,在日常办公和项目实施中融入意识提升,成本极低,同时得益于规模小,中小企业的安全意识提升效果远超大型企业。 请切记:低级误操作和安全意识缺乏是数据泄露和网络攻击首要原因。 4. 开源免费埋下安全“地雷” 根据Gartner调查报告,99%的组织在IT系统会采用使用开源程序。普遍地,基于技术更新和成本控制等原因,中小企业使用开源组件亦是常态。便利与安全相向而行。据统计,2019年开源软件漏洞较2018年增加50%,平均每1000行代码存在14个安全漏洞。更多的,安全漏洞暴露后,中小企业较难通过外围安全防护设备抑止安全影响,但直接升级程序和加固系统,风险高且难度大。基于此,中小企业修复开源漏洞周期平均超过24个月。 需要深思的是:开源程序安全隐患到底来自哪里? 其一,针对成熟的开源软件,安全再投入困难。一方面,较早的开源项目少有安全投入;另一方面,开源软件经过多年版本更新,要不由3、5个工程师,甚至1个工程师独立开发,安全加固将极大增加时间成本和精力成本;要不由上万人共同迭代,新老版本代码相互调试引用,复盘程序已十分困难,更不提安全构架。种种原因,造成成熟开源软件安全性提升困难大,且成效一般。 其二,新立项目,特别常用互联网应用开源框架项目,获得了企业经费赞助,甚至人力投入(参与核心编码),安全专家亦大量参与。然而,美中不足的是:为了提升代码易用性和扩展性,较多安全配置默认“关闭”。对于大型企业,特别是行业巨头对开源程序或软件安全性重视程度较高。较多企业建立了引入管理、软件版本管理、脆弱性检测、在线告警和补丁测试环境等体系化的管理。然而,对于中小企业,在使用开源代码时,极有可能“一目十行”,根本未关注安全配置。 事实上,中小企业亦通过小行动来强化开源程序安全使用,比如设立安全原则:针对开源程序版本已被CNVD通告存在高风险安全漏洞,则禁止研发人员任何理由使用。比如,根据CIS建立企业安全基线,要求开启开源软件95%以上安全配置。再比如,针对调用开源程序且是项目核心功能,要求兼容二种以上编码语言。 请切记:开源程序安全漏洞被利用是数据泄露和网络攻击第二原因。 5. 云化技术应用:天使魔鬼,结伴同路 近五年,云化技术堪称中小企业福音。大量中小企业利用云平台,在轻量化运营前提下,实现业务拓展和产能扩容。更多的,在新冠疫情背景下,工信部文件强调:支持数字化和智能化转型,助力中小企业复工复产。其中,引导大企业及专业服务机构面向中小企业推出云制造平台和云服务平台,推动中小企业业务系统云化部署是重要内容。 姑且,云化技术有安全验证,云化架构有安全设计,云服务商金口玉言,再三承诺贴合业务需求,匹配业务形态,提供可选高品质安全保障。但业务和数据毕竟是自有的,中小企业极需关注云化技术应用中业务和数据安全管理。 第一,云平台安全风险是X86和TCP/IP架构客观,曾记否Slack和CloudFlare安全漏洞泄露数百万用户个人信息,曾记否Verizon的Amazon S3服务器错误配置,泄露1400多万美国用户数据。 第二,在认识到风险后,中小企业可考虑采购国资或知名云服务;同时,根据业务模式和规模选购安全服务(注意:云平台安全服务更加论证了第一点:云平台存在安全风险)。为了减轻经营成本压力,笔者建议优先选购漏洞扫描、服务器加固等价格低但成本高安全服务。在此基础上,结合业务模式,选购业务风险、数据防泄露检测等服务。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号