從華住酒店集團近6億條數據被暴露，到點評類網站數據造假，再到微盟公司程序員刪庫跑路，無數血淋淋的案例告訴我們：對于今天的商業組織，數據就是核心資產和命脈;甚至可以說：“企業經營的本質即數據運營”。與核心數據資產相比，精干的管理人員好像沒那么重要，昂貴的設備好像沒那么重要，華美的辦公樓好像也沒那么重要。

[[328758]]

同步地，在國家政策不斷明晰和行業監管持續引導的大背景下，數據安全已經成為網絡安全行業的投融資熱點，更是全社會焦點話題。但不盡如人意的是，參與數據安全相關法律法規和行業標準制定的多是部委機關、科研院所以及行業寡頭;試點落實數據安全防護技術多是監管單位和大型企業;數據安全保護技術亦呈現出技術壁壘極高，成本造價極高的態勢。數據安全似乎與中小企業關系甚少。

事實上，一方面，中小企業是國民經濟的重要組成。根據國家經濟統計局數據，中小企業占比中國企業總數90%，GDP貢獻達全國65%，稅收貢獻超過50%，并解決75%以上的城鎮就業。另一方面，面對數據安全威脅和攻擊，中小企業風險抵御能力極差。根據卡巴斯基2019年安全報告，全球46%中小企業遭遇數據泄露。根據2019年Zogby Analytics報告，數據泄露可能導致25%的中小企業破產。

如此，破解中小企業數據安全困局已是勢在必行，更要善建慎行。

一、分析安全威脅，排查致命缺陷

針對數據安全風險，以下內容對中小企業面臨的五個最突出安全威脅進行簡要分析。

1. 管理者對數據價值認知不足，導致投入少關注少

可能的原因：

• 數據價值缺乏量化分析。在數據的貨幣化價值探索方面，中小企業組無法得到直觀的數據價值感知。
• 價值數據缺少持續投入。據統計，中小企業存活周期的平均壽命只有2.9年，由此帶來的是體系化數據安全建設周期和資金保障不足。
• 關鍵業務數據關注較少。企業運營過程中，關注點會放在了業務組織架構和流程，以及業務模型等，在積累大量的價值數據之前，管理層對數據的價值缺少必要的關注，同時在利用數據驅動企業數字化能力方面略顯不足。

2. 難以打造縱深防御體系，黑客攻擊更加容易

與大型企業不同，受限于業務規模和安全投入，中小企業業務架構簡潔，網絡復雜性低，缺少網絡安全的整體性思考。在面對惡意攻擊時，較短的攻擊路徑使得核心數據更容易暴露。中小企業由于在安全投入方面較少，因而無法打造一個完整保護體系，如邊界防御、訪問控制、網絡隔離、應用保護、入侵檢測、病毒防御、數據防泄漏等等，缺少層層安全策略，層層操作規則。根據電信運營商Verizon《2019年數據泄露調查報告》對于中小企業，70%數據安全攻擊事件，在3個攻擊步驟內完成攻擊。

3. 安全知識儲備不足，安全意識仍待提高

中小企業設立1名或多名專職數據管理崗位已然困難;更多，在全社會網絡和數據安全專業人員缺口達百萬級情況下，中小企業招聘專業安全人員多是“郎有情來妾無意”。

上述情況，可能導致出現常識性安全誤區。比如，某中小企業在意識到數據安全重要性后，特別采購滿足等保三級要求的云服務器;然而，在使用過程中，不修改默認口令，不關閉特權賬號遠程登陸，不進行中間件升級，最終導致黑客輕易控制服務器。對于大型企業，安全管理和運營是體系化閉環管理，網絡、平臺、應用、數據等實現了模塊化控制措施部署。

安全意識缺乏亦中小企業重要威脅。傳統地，安全意識提升會占較多精力和資源，而且只有大型企業才需要定期開展體系化意識提升。事實上，在日常辦公和項目實施中融入意識提升，成本極低，同時得益于規模小，中小企業的安全意識提升效果遠超大型企業。

請切記：低級誤操作和安全意識缺乏是數據泄露和網絡攻擊首要原因。

4. 開源\免費埋下安全“地雷”

根據Gartner調查報告，99%的組織在IT系統會采用使用開源程序。普遍地，基于技術更新和成本控制等原因，中小企業使用開源組件亦是常態。便利與安全相向而行。據統計，2019年開源軟件漏洞較2018年增加50%，平均每1000行代碼存在14個安全漏洞。更多的，安全漏洞暴露后，中小企業較難通過外圍安全防護設備抑止安全影響，但直接升級程序和加固系統，風險高且難度大。基于此，中小企業修復開源漏洞周期平均超過24個月。

需要深思的是：開源程序安全隱患到底來自哪里?

• 其一，針對成熟的開源軟件，安全再投入困難。一方面，較早的開源項目少有安全投入;另一方面，開源軟件經過多年版本更新，要不由3、5個工程師，甚至1個工程師獨立開發，安全加固將極大增加時間成本和精力成本;要不由上萬人共同迭代，新老版本代碼相互調試引用，復盤程序已十分困難，更不提安全構架。種種原因，造成成熟開源軟件安全性提升困難大，且成效一般。
• 其二，新立項目，特別常用互聯網應用開源框架項目，獲得了企業經費贊助，甚至人力投入(參與核心編碼)，安全專家亦大量參與。然而，美中不足的是：為了提升代碼易用性和擴展性，較多安全配置默認“關閉”。對于大型企業，特別是行業巨頭對開源程序或軟件安全性重視程度較高。較多企業建立了引入管理、軟件版本管理、脆弱性檢測、在線告警和補丁測試環境等體系化的管理。然而，對于中小企業，在使用開源代碼時，極有可能“一目十行”，根本未關注安全配置。

事實上，中小企業亦通過小行動來強化開源程序安全使用，比如設立安全原則：針對開源程序版本已被CNVD通告存在高風險安全漏洞，則禁止研發人員任何理由使用。比如，根據CIS建立企業安全基線，要求開啟開源軟件95%以上安全配置。再比如，針對調用開源程序且是項目核心功能，要求兼容二種以上編碼語言。

請切記：開源程序安全漏洞被利用是數據泄露和網絡攻擊第二原因。

5. 云化技術應用：天使魔鬼，結伴同路

近五年，云化技術堪稱中小企業福音。大量中小企業利用云平臺，在輕量化運營前提下，實現業務拓展和產能擴容。更多的，在新冠疫情背景下，工信部文件強調：支持數字化和智能化轉型,助力中小企業復工復產。其中，引導大企業及專業服務機構面向中小企業推出云制造平臺和云服務平臺，推動中小企業業務系統云化部署是重要內容。

姑且，云化技術有安全驗證，云化架構有安全設計，云服務商金口玉言，再三承諾貼合業務需求，匹配業務形態，提供可選高品質安全保障。但業務和數據畢竟是自有的，中小企業極需關注云化技術應用中業務和數據安全管理。

• 第一，云平臺安全風險是X86和TCP/IP架構客觀，曾記否Slack和CloudFlare安全漏洞泄露數百萬用戶個人信息，曾記否Verizon的Amazon S3服務器錯誤配置，泄露1400多萬美國用戶數據。
• 第二，在認識到風險后，中小企業可考慮采購國資或知名云服務;同時，根據業務模式和規模選購安全服務(注意：云平臺安全服務更加論證了第一點：云平臺存在安全風險)。為了減輕經營成本壓力，筆者建議優先選購漏洞掃描、服務器加固等價格低但成本高安全服務。在此基礎上，結合業務模式，選購業務風險、數據防泄露檢測等服務。

二、理清合規要求，重視戰略部署

根據《網絡安全法》、《個人信息安全規范》等法律標準要求，網絡運營者、數據控制者需要承擔數據保護義務。針對中小企業，需要重點關注三個關鍵合規要求。

1. 個人信息保護

掌握持續增長的個性化的個人信息可能是中小企業與行業寡頭競爭中的“王牌”。這張“王牌”成立的首要前提做好保護義務。

• 根據《刑法》、《消費者權益保護法》、《數據安全管理辦法》諸多法規和國標、行標，個人信息收集、處理、利用受到嚴格約束和管制。
• 需要強調，個人信息保護是法律約束，經粗略統計，2019年平均每3天新增1個侵害個人信息判例。

2. 數據共享安全

流轉是數據天然屬性，變現也是數據最終目標，但流轉不代表隨意傳播，變現不等于數據售賣。數據共享要求做好事前預防，事中監測，事后審計。

3. 數據出境安全

當下，較多中小企業業務涉及跨境交易，同步地，部分數據可能跨境流轉。涉及數據出境業務，一方面，需要注意數據接收方所在國法律法規約束，如歐盟GDPR，如新加坡、泰國等國家數據安全保護法令;另一方面，需要注意國內《個人信息出境安全評估辦法》等要求。

特別注意，數據安全和網絡安全是國家針對全行業國家網絡空間安全可控戰略要求，是無論規模、形態的企事業都必須遵循安全監管。遵循安全合規需要上升到中小企業主經營管理戰略目標。

三、落地安全戰術，踐行第一舉措

中小企業不適用搭建一個事無巨細的完整數據安全保護框架，宜采用“精準發力，有的放矢”安全戰術。以下從意識提升、安全管理、安全技術、專項工作等4方面分析提出優先安全舉措來推演中小企業數據安全建設，即從諸多安全舉措中找出最迫切選項(本文會給出兩個項目以供讀者參考)。

1. 安全意識

安全意識提升形式多樣，方法靈活。考慮到，中小企業經營成本限制和實施便捷要求，建議優先開展兩項意識提升工作：

• 案例宣貫。整理個人信息侵害判例或同行業數據泄露事件，在例會前，進行10分鐘案例學習，對照分析本企業不足，提升企業主對數據資產價值認識，強化員工違規思想的威懾。
• 知識學習。整理安全運營簡要知識或常見設備和系統默認口令或典型安全漏洞分析，在月度總結中，進行30分鐘集中學習。

2. 安全管理

完整的數據安全管理可能至少覆蓋崗位、人員、制度、流程、監管配合等，但對于中小企業可優先嘗試如下兩項工作來開展數據安全管理：

• 建章立制。不可因為對制度落地期望低，或實施效果差而拒絕建立制度。制度是現代企業管理的“神經”。特別地，對于數據安全工作，制度的建立更是正視數據工作第一步，亦可能成為安全事件發生后，公安機關追責時，相關人員“適當勤奮”第一證明。針對制度執行落地難，第一，建議在企業內部強化安全制度的統一性、權威性和嚴肅性，要做到“令行禁止”;第二，建議企業減少“家長式”管理，可考慮場景化演練、安全制度專題活動等，增強企業數據安全文化建設，激發執行層員工參與感。
• 聘用兼職顧問。如前文，專職人員培養難、成本高，建議中小企業，特別員工數量不足150人中小企業，建議聘用兼職數據安全顧問進行技能指導。

3. 安全技術

大型企業數據安全防護技術可以覆蓋整個數據活動生命周期，可能從資產識別，覆蓋到分類分級、威脅檢測、安全監視等。然而，數據的安全命運可歸納為二種：被破壞、被非法訪問(含泄露)。再結合前面安全威脅分析，建議中小企業優先開展如下兩項工作：

• 數據備份。不論是本地數據還是云端數據，備份是抵御攻擊低成本策略，是降低數據被破壞影響最優解。
• 加密應用。對于非法訪問，大型企業極有可能采購和部署完備的訪問控制系統，覆蓋網絡邊界、主機服務、應用業務、甚至指令級的權限管理。不足之處，此類訪問控制會在后續不斷增加管理成本，如訪問控制策略要頻繁調整，會增加額外人力;如業務或網絡擴容，引發訪問控制系統同步擴容，會增加額外成本。建議中小企業利用加密技術減緩來自非法訪問威脅(加密技術是開放性技術，多數情況下，算法完全公開)。

注：加密并不能解決非法訪問，但對于小規模組織，可以減少數據暴露和傳播。

4. 專項工作

結合威脅分析和合規要求，建議中小企業開展如下兩項專項工作。

• 個人信息保護。特別是在2020版《個人信息保護規范》發布后，個人信息保護工作是對全行業剛性要求，中小企業的個人信息保護專項工作需要至少包含隱私政策管理、數據收集授權同意和安全保護(范圍、頻次)、加密傳輸、加密存儲、不留存原始身份特征數據和及時處置。
• 數據出境管理。數據共享交換安全是企業數據管理重頭戲。其中，數據出境尤其需要特別關注。2018年GDPR的實施，對涉歐盟業務的中國企業明確了數據管理要求，更加明確了數據跨境流動的方式和通道。更多，隨著《個人信息和重要數據出境安全評估辦法(征求意見稿)》和《信息安全技術 數據出境安全評估指南(征求意見稿)》相繼發布，顯然數據出境合規管理將日趨嚴格。特別地，針對從事跨境電商、跨境貿易的中小企業，建議至少從數據出境范圍管控、數據出境風險評估和影響分析以及數據接收方法律合同約束等方面開展數據出境安全專項工作。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文