隨著網(wǎng)絡(luò)應(yīng)用的普及，中小企業(yè)對(duì)網(wǎng)絡(luò)的依賴程度已經(jīng)越來越高。不僅基于網(wǎng)絡(luò)進(jìn)行日常的業(yè)務(wù)經(jīng)營活動(dòng)，還會(huì)通過網(wǎng)絡(luò)與合作伙伴進(jìn)行協(xié)作。由于大型企業(yè)的企業(yè)總部承載著重要的核心業(yè)務(wù)，一直以來，管理者非常重視對(duì)企業(yè)總部信息資產(chǎn)的安全加固，選購大量的安全防護(hù)設(shè)備，將企業(yè)總部保護(hù)得如同銅墻鐵壁一般。而大企業(yè)的分支機(jī)構(gòu)和中小企業(yè)又普遍處于怎樣的狀態(tài)呢？一個(gè)辦公室內(nèi)的上網(wǎng)用戶往往只通過寬帶貓、無線路由就接入了互聯(lián)網(wǎng)，與外部進(jìn)行數(shù)據(jù)通信，安全防護(hù)措施少之又少，可以說，基本上沒有采取恰當(dāng)?shù)木W(wǎng)絡(luò)安全保護(hù)措施。

近期，國內(nèi)網(wǎng)絡(luò)安全事件頻發(fā)，從支付寶的大面積訪問故障，到攜程網(wǎng)被黑，種種安全事件再次引發(fā)了人們對(duì)于網(wǎng)絡(luò)安全的憂慮。那么，網(wǎng)絡(luò)攻擊更喜歡針對(duì)大型企業(yè)嗎？其實(shí)不然。員工數(shù)量較少的中小企業(yè)更容易遭受網(wǎng)絡(luò)攻擊。相對(duì)于資源充裕與安全防護(hù)投入巨大的大型企業(yè)來說，中小企業(yè)的安全投入通常比較薄弱，這使得中小企業(yè)更易淪為網(wǎng)絡(luò)攻擊的受害者。

有調(diào)查資料表明，中小企業(yè)已經(jīng)超越政府部門和大型企業(yè)成為黑客攻擊的主要目標(biāo)。針對(duì)中小企業(yè)的攻擊行為已占所有針對(duì)性攻擊總量的30%以上。很明顯，中小企業(yè)對(duì)于網(wǎng)絡(luò)安全的輕視是其被頻繁攻擊的主要原因。有些中小企業(yè)認(rèn)為網(wǎng)絡(luò)攻擊并沒有什么影響，難以對(duì)其造成直接損失，所以寧愿將資源投入到銷售和營銷活動(dòng)中。但在攻擊者眼中，中小企業(yè)的銀行賬戶、客戶數(shù)據(jù)和知識(shí)產(chǎn)權(quán)等信息都是非常具有價(jià)值和誘惑力的。

中小企業(yè)面臨的常見安全威脅

信息泄露

企業(yè)或組織內(nèi)部的服務(wù)器上通常存放著經(jīng)營活動(dòng)相關(guān)的重要信息資料。這些信息資料可能會(huì)遭到來自內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的未經(jīng)授權(quán)的存取或修改行為，從而造成信息泄露，對(duì)持有信息資料的組織、企業(yè)或個(gè)人造成負(fù)面影響。

案例：

2014年5月13日晚，小米論壇用戶數(shù)據(jù)庫疑似泄露。據(jù)安全專家分析，此次事件涉及800萬使用小米手機(jī)、MIUI系統(tǒng)等小米產(chǎn)品的用戶。泄露數(shù)據(jù)包含大量用戶資料，可被用來訪問小米云服務(wù)并獲取更多的私密信息，甚至可以取得通訊錄、短信、照片、定位、鎖定手機(jī)及刪除信息等權(quán)限。

2014年12月25日，12306網(wǎng)站的子網(wǎng)站暴露了高危漏洞，造成131653條用戶信息被泄露。此次泄露的信息全部含有用戶的明文密碼，并在互聯(lián)網(wǎng)上被瘋傳販?zhǔn)邸ｋS后，中國鐵路客戶服務(wù)中心迅速在其官方網(wǎng)站發(fā)布公告確認(rèn)了用戶信息泄露事件。

高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊

高級(jí)持續(xù)性威脅攻擊是一種針對(duì)特定組織的多方位攻擊行為。攻擊者往往以超過目標(biāo)防護(hù)能力并具有復(fù)雜和多樣性的手段，針對(duì)單一企業(yè)或組織進(jìn)行長期、持續(xù)的定制化攻擊。APT攻擊的目標(biāo)通常是高價(jià)值的企業(yè)、政府機(jī)構(gòu)，其目的是竊取商業(yè)機(jī)密，破壞競(jìng)爭(zhēng)。任何規(guī)模的企業(yè)組織，只要員工可以訪問網(wǎng)站，使用電子郵件，傳輸文件等，就有可能受到APT攻擊。APT攻擊的典型案例有火焰病毒、震網(wǎng)病毒，以及暴雷漏洞等。來自Verizon的報(bào)告顯示，2014年全球有接近8萬家企業(yè)受到過APT攻擊，其中有2122家企業(yè)公開確認(rèn)信息被竊取，蒙受了巨大的財(cái)產(chǎn)和品牌損失。

案例：

2013 年 12 月底，一起針對(duì)國內(nèi)政府機(jī)構(gòu)的APT攻擊被成功捕獲。當(dāng)時(shí)攻擊者向國內(nèi)政府機(jī)構(gòu)的辦公人員發(fā)送釣魚郵件，企圖利用 WPS2012/2013 版本的零日漏洞侵入政府辦公人員的電腦。攻擊者將郵件主題寫為“2014 年中國經(jīng)濟(jì)形勢(shì)解析高層報(bào)告組委會(huì)”，如果政府工作人員用 WPS 打開附件文檔，電腦就會(huì)被病毒感染。

拒絕服務(wù)及分布式拒絕服務(wù)（DoS/DDoS）攻擊

拒絕服務(wù)（DoS）攻擊是一種簡(jiǎn)單有效并且具有很大危害性的攻擊方法，可以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源，使系統(tǒng)的正常服務(wù)陷入癱瘓狀態(tài)，從而拒絕正常用戶的訪問請(qǐng)求。而分布式拒絕服務(wù)（DDoS）攻擊是基于DoS攻擊的一種特殊攻擊形式。攻擊者通常會(huì)組織多臺(tái)受控制的主機(jī)一起向目標(biāo)主機(jī)發(fā)起大規(guī)模的DoS攻擊，占用或耗光目標(biāo)主機(jī)的資源或服務(wù)，降低系統(tǒng)的可用性，導(dǎo)致正常用戶無法使用系統(tǒng)所提供的服務(wù)。

案例：

2014年1月23日，阿里巴巴的來往服務(wù)器連續(xù)遭受了兩波DDoS攻擊，部分用戶短時(shí)間內(nèi)出現(xiàn)訪問速度變慢甚至無法連接的問題。

2014年11月28日，CSDN網(wǎng)站因遭受網(wǎng)絡(luò)攻擊導(dǎo)致用戶無法正常登錄或訪問。經(jīng)排查，此次攻擊屬于DDoS攻擊，攻擊流量曾一度達(dá)到50G以上。

惡意程序

惡意程序通常是指具有攻擊意圖的一段程序。惡意程序可以分成兩種類別：需要宿主程序的惡意程序和可獨(dú)立運(yùn)行的惡意程序。前者是不能獨(dú)立于某個(gè)實(shí)際的應(yīng)用程序或系統(tǒng)程序的程序片段；后者是可以被操作系統(tǒng)調(diào)度和運(yùn)行的獨(dú)立程序。惡意程序的典型代表包括計(jì)算機(jī)病毒、蠕蟲、木馬、間諜程序以及廣告程序等。其造成的影響包括破壞系統(tǒng)正常運(yùn)作、修改或破壞系統(tǒng)文件、復(fù)制或刪除文件、使系統(tǒng)宕機(jī)、竄改文檔資料、監(jiān)控主機(jī)活動(dòng)等。

案例：

2015年6月，根據(jù)賽迪網(wǎng)報(bào)道，近期在互聯(lián)網(wǎng)上出現(xiàn)了被稱為Grabit的針對(duì)企業(yè)的最新網(wǎng)絡(luò)間諜攻擊行動(dòng)。攻擊造成大量中小型企業(yè)約10,000份文件被盜，這些企業(yè)主要位于泰國、印度和美國。受攻擊的行業(yè)包括化工行業(yè)、納米技術(shù)行業(yè)、教育業(yè)、農(nóng)業(yè)、媒體以及建筑業(yè)等。其他受影響的國家還包括阿拉伯聯(lián)合酋長國、德國、以色列、加拿大、法國、奧地利、斯里蘭卡、智利和比利時(shí)。攻擊者使用Hawkeye Products公司出品的一款商業(yè)間諜工具——HawkEye鍵盤記錄器和一個(gè)包含大量遠(yuǎn)程管理工具（RAT）的配置模塊控制受害者。Grabit的攻擊規(guī)模較大，僅需命令和控制服務(wù)器中的一個(gè)鍵盤記錄器，攻擊者就可以從4928臺(tái)不同的內(nèi)部和外部主機(jī)中竊取2887個(gè)密碼、1053封電子郵件和3023個(gè)用戶名信息，包括Outlook、Facebook、Skype、Google mail、Pinterest、Yahoo、LinkedIn和Twitter等服務(wù)以及銀行賬戶和其他賬號(hào)。

社交工程攻擊

社交工程攻擊一般會(huì)通過交談、欺騙、假冒或口語用字等方式，使用戶疏于防范，掉入陷阱，暴露用戶系統(tǒng)的秘密。對(duì)于企業(yè)級(jí)用戶來說，攻擊者會(huì)直接從核心員工那里套取機(jī)密信息，如用戶名密碼、商業(yè)戰(zhàn)略和研發(fā)機(jī)密等。網(wǎng)絡(luò)釣魚和電信詐騙是最常見的社交工程攻擊形式。如今，網(wǎng)絡(luò)釣魚不再是簡(jiǎn)簡(jiǎn)單單地發(fā)送釣魚郵件，還可以通過惡意的網(wǎng)絡(luò)廣告、即時(shí)通訊軟件、社交網(wǎng)站等渠道進(jìn)行。電信詐騙也不再限于話費(fèi)欠費(fèi)等內(nèi)容的垃圾短信，那些盜取即時(shí)通信工具賬號(hào)，假冒他人身份，針對(duì)企業(yè)法人和財(cái)務(wù)人員的詐騙犯罪也在呈高發(fā)態(tài)勢(shì)。

案例：

據(jù)河北省公安廳透露，2014年以來，一個(gè)詐騙犯罪團(tuán)伙將目標(biāo)轉(zhuǎn)向了各企事業(yè)單位法定代表人和財(cái)務(wù)人員。犯罪嫌疑人通過搜索財(cái)務(wù)人員QQ群，以“會(huì)計(jì)資格考試大綱文件”等為誘餌發(fā)送木馬病毒，盜取財(cái)務(wù)人員使用的QQ號(hào)碼，并分析出財(cái)務(wù)人員主管的QQ號(hào)碼，再冒充公司主管向財(cái)務(wù)人員發(fā)送轉(zhuǎn)賬匯款指令。2014年6月3日，河北一家公司會(huì)計(jì)接到假冒財(cái)務(wù)總監(jiān)的QQ信息，要求其往一個(gè)銀行賬戶匯款118萬元。在沒有仔細(xì)分辨的情況下，該會(huì)計(jì)于當(dāng)日將款項(xiàng)匯入該賬戶。匯款完畢，會(huì)計(jì)電話回復(fù)領(lǐng)導(dǎo)才發(fā)現(xiàn)，財(cái)務(wù)總監(jiān)根本沒有發(fā)出任何指令。

入侵Web網(wǎng)站

針對(duì)Web網(wǎng)站的入侵行為包括在Web頁面內(nèi)植入惡意程序、癱瘓網(wǎng)站使其無法正常運(yùn)作、篡改網(wǎng)站主頁，或者將網(wǎng)站首頁重定向至特定頁面等。這些行為背后不乏惡意競(jìng)爭(zhēng)和故意破壞等因素。有調(diào)查資料表明，在被入侵的Web網(wǎng)站中，中小型企業(yè)官網(wǎng)占了40.7%，已近半數(shù)之多。除此之外，地方社區(qū)網(wǎng)站、科技媒體網(wǎng)站、高校官網(wǎng)、事業(yè)單位網(wǎng)站分別占了總量的24.4%、10.6%、7.3%、4.9%，其他類型網(wǎng)站共占12.1%。

案例：

一個(gè)號(hào)稱來自阿爾巴尼亞的黑客組織“Barbaros-DZ”從2012年7月份開始，不斷對(duì)中國政府網(wǎng)站進(jìn)行攻擊，到2013年1月份已經(jīng)有接近4000個(gè)中國政府網(wǎng)站被其入侵，并被篡改了主頁。遭遇Barbaros-DZ攻擊的網(wǎng)站首頁被直接篡改，部分網(wǎng)站還被獲取了后臺(tái)權(quán)限，攻擊者利用后臺(tái)功能在網(wǎng)站中添加了一些挑釁的記錄。

賬號(hào)盜用

賬號(hào)盜用指攻擊者通過如惡意程序、社交工程、網(wǎng)站系統(tǒng)漏洞等方式，取得目標(biāo)對(duì)象的帳號(hào)密碼。

案例：

2012年7月，溫州某眼鏡企業(yè)的郵箱賬號(hào)被盜，導(dǎo)致客戶信息與來往信件全部被黑客截獲。黑客趁機(jī)注冊(cè)“釣魚郵箱”，告知海外客戶收款方式變更，導(dǎo)致該眼鏡企業(yè)損失了13萬美元的貨款。

為中小企業(yè)構(gòu)建全面的安全防護(hù)體系

面對(duì)上述種種安全威脅，中小企業(yè)如何采取安全防護(hù)對(duì)策呢？網(wǎng)絡(luò)安全防護(hù)不單單是在安全產(chǎn)品和技術(shù)方面需要考量的事情，而應(yīng)當(dāng)從安全產(chǎn)品、安全管理和人員培訓(xùn)等多方面綜合構(gòu)建全面的安全防護(hù)體系。

選擇適合的網(wǎng)絡(luò)安全產(chǎn)品

由于資源有限，中小企業(yè)在選購安全產(chǎn)品時(shí)往往更加關(guān)注產(chǎn)品的性價(jià)比，既有多樣化的安全需求和產(chǎn)品性能要求，同時(shí)又對(duì)價(jià)格敏感。由此，首先應(yīng)當(dāng)從分析中小企業(yè)的網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)類型入手，確定安全防護(hù)需求，進(jìn)而選取恰當(dāng)?shù)陌踩a(chǎn)品。

與大型企業(yè)相比，中小企業(yè)的網(wǎng)絡(luò)拓?fù)渫ǔ１容^簡(jiǎn)單，主要是局域網(wǎng)與外網(wǎng)連接，部分用戶開始有智能移動(dòng)終端的無線接入需求，并且已經(jīng)或正準(zhǔn)備部署信息管理系統(tǒng)，如 ERP 、CRM 、SCM等。雖然網(wǎng)絡(luò)拓?fù)浜蜆I(yè)務(wù)類型相對(duì)簡(jiǎn)單，但是中小企業(yè)對(duì)病毒防護(hù)、漏洞管理、資產(chǎn)管理、行為審計(jì)等網(wǎng)絡(luò)安全管理功能需求較為全面。

要滿足此類需求，企業(yè)通常需要部署一整套由硬件防火墻、入侵防御、網(wǎng)絡(luò)審計(jì)、防病毒等組件構(gòu)成的網(wǎng)絡(luò)安全解決方案。利用架設(shè)在網(wǎng)絡(luò)出口位置的安全產(chǎn)品，在安全威脅闖入內(nèi)部網(wǎng)絡(luò)之前就將其攔截住，這是更加有效的方法。傳統(tǒng)的機(jī)架式硬件防火墻產(chǎn)品融合了眾多安全功能，性能優(yōu)異。但此類產(chǎn)品不但價(jià)格昂貴，在管理維護(hù)上還會(huì)對(duì)帶寬較低、網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單的中小型企業(yè)辦公系統(tǒng)帶來較大負(fù)擔(dān)。

對(duì)于中小企業(yè)來說，選擇一款功能全面、易于部署和管理的統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品，不但可以在第一時(shí)間內(nèi)對(duì)各類流量進(jìn)行掃描過濾，同時(shí)也可以大大減輕網(wǎng)絡(luò)內(nèi)部服務(wù)器和主機(jī)的負(fù)荷。目前，針對(duì)中小企業(yè)量身定做的桌面型統(tǒng)一安全網(wǎng)關(guān)已經(jīng)成為一個(gè)最佳選擇。主流的網(wǎng)絡(luò)安全廠商也在紛紛推出這種類型的安全產(chǎn)品。比如，東軟網(wǎng)絡(luò)安全最新發(fā)布的一款擁有自主知識(shí)產(chǎn)權(quán)的桌面型統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品——NISG5K-SG600，可以廣泛適用于企業(yè)辦公室、醫(yī)院、藥房、零售網(wǎng)點(diǎn)、生產(chǎn)廠房、倉庫、金融/教育/政府部門的分支機(jī)構(gòu)等網(wǎng)絡(luò)環(huán)境。該款產(chǎn)品具備有線、無線（WiFi和3G/4G接入）統(tǒng)一的安全防護(hù)能力，融合了防火墻、VPN、應(yīng)用控制、入侵防御系統(tǒng)、防病毒、防垃圾郵件等安全功能，可用于防止信息泄露，對(duì)已知及未知威脅的入侵攻擊進(jìn)行有效防御，實(shí)施基于應(yīng)用的訪問控制和上網(wǎng)行為管理，為中小企業(yè)業(yè)務(wù)的正常進(jìn)行和使用提供可信的安全保障。

建立完善的網(wǎng)絡(luò)安全管理制度，有效實(shí)施日常安全管理活動(dòng)

一般情況下，大型企業(yè)相對(duì)于中小企業(yè)具有更加完善的安全體系架構(gòu)和更健全的組織結(jié)構(gòu)，在網(wǎng)絡(luò)安全管理方面做的比較完善。而中小企業(yè)人力資源緊張，職責(zé)重疊交叉，網(wǎng)絡(luò)安全管理制度不健全的現(xiàn)象普遍存在，日常安全管理的隨意性較大，極易出現(xiàn)責(zé)權(quán)不明、管理混亂等問題。

只有建立完善、可操作性強(qiáng)的安全管理制度，才能預(yù)防可能出現(xiàn)的安全問題，確保在出現(xiàn)問題時(shí)能及時(shí)進(jìn)行處理，封堵已經(jīng)出現(xiàn)的漏洞，從而確保今后類似問題不再重復(fù)出現(xiàn)。在制定安全管理制度時(shí)，需要明確網(wǎng)絡(luò)安全管理人員在工作中所承擔(dān)的職責(zé)，在設(shè)備管理上要責(zé)任到人，實(shí)行誰主管、誰負(fù)責(zé)的原則。在系統(tǒng)使用上，必須明確操作人員的權(quán)限，不可賦予網(wǎng)絡(luò)安全管理人員工作需要以外的額外權(quán)限，合理劃分各部門安全職責(zé)，確定配置人員角色。正確執(zhí)行這些措施，可以在很大程度上降低安全管理出現(xiàn)紕漏的概率。

對(duì)于網(wǎng)絡(luò)安全產(chǎn)品的日常管理來說，考慮到中小企業(yè)用戶在網(wǎng)絡(luò)知識(shí)，特別是網(wǎng)絡(luò)安全知識(shí)上的不足，產(chǎn)品的可維護(hù)性和易用性需要盡量做到簡(jiǎn)便高效。以東軟桌面型統(tǒng)一安全網(wǎng)關(guān)NISG5K-SG600舉例，它的配置向?qū)Чδ芴峁┝撕?jiǎn)單易用的配置邏輯，可以輔助用戶快速配置常用的網(wǎng)絡(luò)和安全功能，即便僅具有基本網(wǎng)絡(luò)知識(shí)的用戶也能夠快速上手。此外，在日常使用的過程中，可以通過直觀的Dashboard，對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，動(dòng)態(tài)過濾出重要的系統(tǒng)信息。

組織和落實(shí)網(wǎng)絡(luò)安全培訓(xùn)，深化全員網(wǎng)絡(luò)安全意識(shí)和安全防護(hù)技能

網(wǎng)絡(luò)安全意識(shí)淡薄是網(wǎng)絡(luò)安全事件多發(fā)的關(guān)鍵因素之一。缺乏安全防護(hù)意識(shí)，輕信網(wǎng)上虛假信息、輕率打開不明郵件、隨意訪問不良網(wǎng)站、設(shè)置過于簡(jiǎn)單的登錄密碼等做法，常常會(huì)引發(fā)信息泄露、惡意程序攻擊、網(wǎng)絡(luò)詐騙等安全問題，嚴(yán)重侵害中小企業(yè)的信息資產(chǎn)安全。

網(wǎng)絡(luò)安全“三分靠技術(shù)，七分靠管理”，安全管理是企業(yè)網(wǎng)絡(luò)安全的核心，而安全管理的重點(diǎn)歸根結(jié)底則是人的管理，應(yīng)當(dāng)把深化中小企業(yè)用戶的網(wǎng)絡(luò)安全意識(shí)放在重要地位。普及網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，提升用戶的網(wǎng)絡(luò)安全技能是維護(hù)網(wǎng)絡(luò)安全的第一道防線。為此，需要對(duì)中小企業(yè)用戶進(jìn)行定期的網(wǎng)絡(luò)安全技能培訓(xùn)，改善整體操作水平和業(yè)務(wù)素質(zhì)。隨著用戶安全維護(hù)能力的提高，網(wǎng)絡(luò)的安全性也將隨之提高。

目前，中小企業(yè)已占國內(nèi)企業(yè)總數(shù)的99%以上，創(chuàng)造了中國國內(nèi)生產(chǎn)總值的60%以上份額。隨著越來越多的中小企業(yè)投身網(wǎng)絡(luò)化，面臨的安全威脅也在持續(xù)加大。因此，對(duì)于網(wǎng)絡(luò)安全問題和隱患，中小企業(yè)的管理者需要引起足夠重視。長遠(yuǎn)來看，只有運(yùn)用綜合手段，從安全產(chǎn)品、安全管理和人員培訓(xùn)等多方面去構(gòu)建安全防護(hù)體系，才能真正保護(hù)好中小企業(yè)重要的信息資產(chǎn)和網(wǎng)絡(luò)安全。