2020-06-03 17:01:56.0 725浏览
破解中小企业数据安全困局已是势在必行,更要善建慎行。针对数据安全风险,以下内容对中小企业面临的五个最突出安全威胁进行简要分析。
从华住酒店集团近6亿条数据被暴露,到点评类网站数据造假,再到微盟公司程序员删库跑路,无数血淋淋的案例告诉我们:对于今天的商业组织,数据就是核心资产和命脉;甚至可以说:“企业经营的本质即数据运营”。与核心数据资产相比,精干的管理人员好像没那么重要,昂贵的设备好像没那么重要,华美的办公楼好像也没那么重要。
同步地,在国家政策不断明晰和行业监管持续引导的大背景下,数据安全已经成为网络安全行业的投融资热点,更是全社会焦点话题。但不尽如人意的是,参与数据安全相关法律法规和行业标准制定的多是部委机关、科研院所以及行业寡头;试点落实数据安全防护技术多是监管单位和大型企业;数据安全保护技术亦呈现出技术壁垒极高,成本造价极高的态势。数据安全似乎与中小企业关系甚少。
事实上,一方面,中小企业是国民经济的重要组成。根据国家经济统计局数据,中小企业占比中国企业总数90%,GDP贡献达全国65%,税收贡献超过50%,并解决75%以上的城镇就业。另一方面,面对数据安全威胁和攻击,中小企业风险抵御能力极差。根据卡巴斯基2019年安全报告,全球46%中小企业遭遇数据泄露。根据2019年Zogby Analytics报告,数据泄露可能导致25%的中小企业破产。
如此,破解中小企业数据安全困局已是势在必行,更要善建慎行。
一、分析安全威胁,排查致命缺陷
针对数据安全风险,以下内容对中小企业面临的五个最突出安全威胁进行简要分析。
1. 管理者对数据价值认知不足,导致投入少关注少
可能的原因:
2. 难以打造纵深防御体系,黑客攻击更加容易
与大型企业不同,受限于业务规模和安全投入,中小企业业务架构简洁,网络复杂性低,缺少网络安全的整体性思考。在面对恶意攻击时,较短的攻击路径使得核心数据更容易暴露。中小企业由于在安全投入方面较少,因而无法打造一个完整保护体系,如边界防御、访问控制、网络隔离、应用保护、入侵检测、病毒防御、数据防泄漏等等,缺少层层安全策略,层层操作规则。根据电信运营商Verizon《2019年数据泄露调查报告》对于中小企业,70%数据安全攻击事件,在3个攻击步骤内完成攻击。
3. 安全知识储备不足,安全意识仍待提高
中小企业设立1名或多名专职数据管理岗位已然困难;更多,在全社会网络和数据安全专业人员缺口达百万级情况下,中小企业招聘专业安全人员多是“郎有情来妾无意”。
上述情况,可能导致出现常识性安全误区。比如,某中小企业在意识到数据安全重要性后,特别采购满足等保三级要求的云服务器;然而,在使用过程中,不修改默认口令,不关闭特权账号远程登陆,不进行中间件升级,最终导致黑客轻易控制服务器。对于大型企业,安全管理和运营是体系化闭环管理,网络、平台、应用、数据等实现了模块化控制措施部署。
安全意识缺乏亦中小企业重要威胁。传统地,安全意识提升会占较多精力和资源,而且只有大型企业才需要定期开展体系化意识提升。事实上,在日常办公和项目实施中融入意识提升,成本极低,同时得益于规模小,中小企业的安全意识提升效果远超大型企业。
请切记:低级误操作和安全意识缺乏是数据泄露和网络攻击首要原因。
4. 开源\免费埋下安全“地雷”
根据Gartner调查报告,99%的组织在IT系统会采用使用开源程序。普遍地,基于技术更新和成本控制等原因,中小企业使用开源组件亦是常态。便利与安全相向而行。据统计,2019年开源软件漏洞较2018年增加50%,平均每1000行代码存在14个安全漏洞。更多的,安全漏洞暴露后,中小企业较难通过外围安全防护设备抑止安全影响,但直接升级程序和加固系统,风险高且难度大。基于此,中小企业修复开源漏洞周期平均超过24个月。
需要深思的是:开源程序安全隐患到底来自哪里?
事实上,中小企业亦通过小行动来强化开源程序安全使用,比如设立安全原则:针对开源程序版本已被CNVD通告存在高风险安全漏洞,则禁止研发人员任何理由使用。比如,根据CIS建立企业安全基线,要求开启开源软件95%以上安全配置。再比如,针对调用开源程序且是项目核心功能,要求兼容二种以上编码语言。
请切记:开源程序安全漏洞被利用是数据泄露和网络攻击第二原因。
5. 云化技术应用:天使魔鬼,结伴同路
近五年,云化技术堪称中小企业福音。大量中小企业利用云平台,在轻量化运营前提下,实现业务拓展和产能扩容。更多的,在新冠疫情背景下,工信部文件强调:支持数字化和智能化转型,助力中小企业复工复产。其中,引导大企业及专业服务机构面向中小企业推出云制造平台和云服务平台,推动中小企业业务系统云化部署是重要内容。
姑且,云化技术有安全验证,云化架构有安全设计,云服务商金口玉言,再三承诺贴合业务需求,匹配业务形态,提供可选高品质安全保障。但业务和数据毕竟是自有的,中小企业极需关注云化技术应用中业务和数据安全管理。
二、理清合规要求,重视战略部署
根据《网络安全法》、《个人信息安全规范》等法律标准要求,网络运营者、数据控制者需要承担数据保护义务。针对中小企业,需要重点关注三个关键合规要求。
1. 个人信息保护
掌握持续增长的个性化的个人信息可能是中小企业与行业寡头竞争中的“王牌”。这张“王牌”成立的首要前提做好保护义务。
2. 数据共享安全
流转是数据天然属性,变现也是数据最终目标,但流转不代表随意传播,变现不等于数据售卖。数据共享要求做好事前预防,事中监测,事后审计。
3. 数据出境安全
当下,较多中小企业业务涉及跨境交易,同步地,部分数据可能跨境流转。涉及数据出境业务,一方面,需要注意数据接收方所在国法律法规约束,如欧盟GDPR,如新加坡、泰国等国家数据安全保护法令;另一方面,需要注意国内《个人信息出境安全评估办法》等要求。
特别注意,数据安全和网络安全是国家针对全行业国家网络空间安全可控战略要求,是无论规模、形态的企事业都必须遵循安全监管。遵循安全合规需要上升到中小企业主经营管理战略目标。
三、落地安全战术,践行第一举措
中小企业不适用搭建一个事无巨细的完整数据安全保护框架,宜采用“精准发力,有的放矢”安全战术。以下从意识提升、安全管理、安全技术、专项工作等4方面分析提出优先安全举措来推演中小企业数据安全建设,即从诸多安全举措中找出最迫切选项(本文会给出两个项目以供读者参考)。
1. 安全意识
安全意识提升形式多样,方法灵活。考虑到,中小企业经营成本限制和实施便捷要求,建议优先开展两项意识提升工作:
2. 安全管理
完整的数据安全管理可能至少覆盖岗位、人员、制度、流程、监管配合等,但对于中小企业可优先尝试如下两项工作来开展数据安全管理:
3. 安全技术
大型企业数据安全防护技术可以覆盖整个数据活动生命周期,可能从资产识别,覆盖到分类分级、威胁检测、安全监视等。然而,数据的安全命运可归纳为二种:被破坏、被非法访问(含泄露)。再结合前面安全威胁分析,建议中小企业优先开展如下两项工作:
注:加密并不能解决非法访问,但对于小规模组织,可以减少数据暴露和传播。
4. 专项工作
结合威胁分析和合规要求,建议中小企业开展如下两项专项工作。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
对不起!让你吐槽了
上传图片
可上传3张图片