佚名 發表於 2020-03-27 09:39:28
中小微企業是數量最大、最具活力的企業群體,是社會主義市場經濟的重要組成部分,是我國實體經濟的重要基礎。根據第四次全國經濟普查的數據顯示,截至2018年末,我國中小企業法人單位一共是1807萬家,佔全部規模企業法人單位的99.8%。
在網際網路經濟高速發展和數位化建設逐步加快的今天,保護信息資產對中小微企業的成功至關重要。對於需要滿足合規性要求或需要保護敏感數據的企業來說,保護信息資產已成為一個優先事項。畢竟攻擊的方式多種多樣,但安全防護的技術壁壘卻很高,而一旦被攻破,可能會造成數據洩露、數據篡改、服務停用甚至巨額賠償,危害和影響可謂是巨大的。而在這方面中小微企業都面臨的挑戰是:如何在控制投資和運營成本的同時,實施穩健的安全措施?這讓中小微企業管理人員頗為頭疼。下面我們就中小微企業安全防護面臨的問題進行剖析,並針對這些問題提出一些可行性建議。
一. 中小微企業面臨的網絡安全困境
1.1 網絡環境日趨複雜:部署難
1.1.1 雲與本地結合,界限模糊
在網際網路產品日新月異的今天,網絡的建設也進入了一個新的時代。以往的企業,想建設自己的網站,可能需要為本地機房租賃場地、購買昂貴的高性能伺服器,並安排專業的運維人員對基礎設施進行維護。而隨著雲計算的逐漸興起,公有雲、私有雲的出現,許多企業開始把數據往雲上遷移,以縮減成本,提高效率。但對於那些已經有本地機房的企業來說,短時間內可能無法完全放棄本地機房,於是就會出現一部分數據在雲上,一部分數據在本地,網絡界限模糊的情況,這就給網絡的安全防護帶來了新的問題。
1.1.2 異地辦公與遠程辦公
為了擴展業務,不少企業都在全國各地開設了分公司、辦事處等分支,分支的員工相對於總部來說,等於是異地辦公;同時,因為出差或職業性質關係、或為了節約成本、或因特殊情況(如抗擊疫情)等,不少員工需要遠程辦公。不論是異地辦公還是遠程辦公,都需要共享公司數據,訪問OA,運營網站等,如何同時保證本地、異地和遠程的網站訪問安全?這也對公司的網絡建設和安全防護提出了較高的要求。
1.1.3 等保合規要求高
2019年5月13日下午,《信息安全技術網絡安全等級保護基本要求》(以下簡稱:等保2.0)正式發布,2019年12月1日起正式實施。標誌著等級保護標準正式進入2.0時代。等保2.0是我國網絡安全領域的基本國策、基本制度和基本方法,為了滿足等保2.0中的合規要求,企業需要在網絡中串聯各種安全設備,並為了滿足高可用性,對鏈路進行冗餘部署,隨著安全設備越來越多,網絡環境越來越複雜,成本也直線上升。如何省心又省錢地滿足等保合規要求,成為中小微企業不得不面對的難題。
1.2 攻擊方式層出不窮:防護難
網絡攻擊的方式多種多樣,已知的如DDoS攻擊,WEB攻擊,資料庫攻擊等,歷史悠久,攻擊方式已被大眾所熟知,但相關安全事件仍舊層出不窮。
最近幾年, 勒索病毒、APT高級威脅、釣魚、社會工程又成為了網絡安全熱點,再加上Apache、 tomcat等web服務相關程序的漏洞不停被爆出,未知攻擊變得越來越多,防護設備所使用的技術領先性和持續更新就變得尤為重要,而傳統防護方式可能會因為企業已購硬體不支持升級最新版本,但又無力採購新硬體而使企業在面對未知攻擊時捉襟見肘,防護效果大打折扣。
1.3 廠商多、產品繁:選擇難
隨著我國網絡安全產業規模的快速增長,安全廠商也如雨後春筍般湧現。根據中國信通院發布的《中國網絡安全產業白皮書(2019年)》報告,2019年我國網絡安全從業企業近3000餘家。
安全產品分類也多種多樣,例如針對網站安全防護最有效的WAF產品,就可分為硬體WAF、軟體WAF和雲WAF,每種產品都有數十家甚至更多的供應商,讓沒有專業安全專家的中小微企業難以抉擇。
1.4 投資大、人才缺:成本高
網絡安全設備價格不菲,以硬體WAF為例,一臺性能為百兆的硬體WAF產品,價格約在十幾萬到幾十萬元不等。購買設備後,還需要每年續費以保證license有效,才能繼續升級最新功能和進行補丁更新,且一臺硬體WAF設備的生命周期約為五年,五年後,需要報廢重新購買,這些都成為企業網站安全防護潛在的成本。
同時,專業的安全運維人員也是必不可少的。眾所周知,網絡攻擊形式多樣,因此漏報和誤報率也一直居高不下。為了使企業能夠安全、平穩的運營,需要專業的安全運維人員對安全設備的告警進行響應和處理。而面對安全人員緊缺的現狀,缺少高薪和清晰的發展前景的中小微企業在招聘上無疑是沒有什麼競爭力的。
二. 中小微企業安全防護推薦解決方案:Sec-aaS服務
針對上述部署難、防護難、選擇難、成本高的問題,Sec-aaS服務是一個不錯的解決方案。
2.1 Sec-aaS(Security-as-a-service,安全即服務)是下一代託管安全服務,致力於通過網際網路提供專門的信息安全服務
Sec-aaS服務包含了所有的雲計算特性,例如使用方便、對共享資源池通過網絡按需訪問,同時也具有雲計算的缺點,即用戶可能對服務和任務的控制較少或沒有控制權。Sec-aaS可以使用軟體即服務(SaaS)、平臺即服務(PaaS)或基礎設施即服務(IaaS)交付,具體取決於企業購買的保護級別。
Sec-aaS供應商提供的常見安全服務包括:
•身份和訪問管理(IAM)
•電子郵件安全
•防病毒和反惡意軟體/間諜軟體
•入侵管理(檢測和防禦)
•安全基礎設施部署和管理
•安全信息監控和事件管理(SIEM)
•防火牆集成和管理
•加密
•完整性監控
•標記化
•網站安全和安全套接字層(SSL)證書
•遠程漏洞評估
•配置核查
•應用程式安全靜態和動態分析
•Internet流量過濾
•數據丟失管理(監控,預防和報告)
•風險評估
•業務連續性和災難恢復
•網絡安全
2.2 Sec-aaS服務能為企業帶來哪些好處?
顯而易見,使用Sec-aaS的最大好處是經濟上的,但也有人可能會說,在一個信息威脅不斷演變的世界裡,最大的優勢是能夠使用最新的技術來應對這些威脅。下面我們就來逐一看下Sec-aaS服務能為企業帶來的好處:
成本:企業僅為其使用的服務和資源支付成本,不用一次性投資到位,不佔用過多的營運資金,從而緩解企業資金不足的壓力;也完全不用考慮成本折舊問題。通過將安全服務和維護工作負載轉移到雲平臺,企業可以根據特定工作負載的即時需要,立即增加或減少資源。有了Sec-aaS,硬體和軟體所需的前期資本投資非常有限,也不需要太多複雜的技術,就幾乎可以從世界任何地方提供和訪問服務。運行安全應用程式的伺服器減少意味著數據中心佔用空間更小,這可以轉化為房租、電費的直接節約,以及設施維護的間接節約。
易於管理和操作:Sec-aaS供應商負責管理和操作用於向企業提供服務的硬體和軟體。使用web界面控制臺,企業可以查看安全環境和活動,並執行其選擇管理的控制任務。控制臺提醒企業需要注意的安全事件,並提供有關安全活動和合規性的報告。通過將這些任務轉移到Sec-aaS,企業不再需要專門的運維人員。
專注於核心能力:由於不需要專門的維護和管理人員,一些重複性和資源密集型的工作,如日誌管理、設備維護等,都可以由Sec-aaS服務商來完成。從而使企業資源可以集中於核心IT功能,加快企業的發展。
可擴展性:Sec-aaS提供了快速的按需擴展。企業信息安全基礎架構的使用可以快速擴展,以滿足新的工作負載需求。
快速資源調配:Sec-aaS提高了資源調配和取消資源調配時用戶、設備和安全應用程式的速度。企業可以通過接口控制臺或通過聯繫服務提供者來請求增加或減少安全服務。這些更改可以是永久的,也可以是臨時的,具體取決於企業的需要。
專業技能:Sec-aaS的專業性使它能為中小微企業提供更專業的安全專業技能,無需企業專門招聘或培養專業安全人員。
持續更新:Sec-aaS提供持續和自動化的安全應用程式和基礎設施更新,使企業能夠迅速得到最新的技術應用,及時獲得最新硬體平臺和最佳解決方案。如果這些更新在企業內部的傳統設備上執行,可能需要更多的精力和資源。
2.3 Sec-aaS服務有風險嗎?如何應對?
使用Sec-aaS服務時,最令企業擔心的就是數據保護和控制權,這也是企業必須接受的額外風險,畢竟企業可以外包信息安全服務,但不能外包最終的安全責任。
因此,為了能安全地使用Sec-aaS服務,企業需要有較為完善的安全管理流程,在流程中對可能會遇到的數據保護、安全責任劃分等問題進行詳細分析和制定風險應對措施。例如誰負責保護什麼?誰有權訪問哪些數據?重要的安全數據(審計日誌、用戶憑據等)存儲在哪裡,需要時可以訪問它們嗎?銷毀和歸檔程序是什麼?跨境數據傳輸會引發哪些法律和司法問題?
另外,企業還應該嚴格審查Sec-aaS合同,重點了解誰負責企業要求的具體安全控制措施,同時也還要確保服務的安全設置滿足合規性。在合同談判過程中,最重要的是要記住,企業對其資產的安全負有最終責任。
2.4 總結
安全服務需求的深度和廣度正在前所未有地迅速擴大,而Sec-aaS服務為各種規模的企業提供了安全競爭環境。通過使用Sec-aaS服務,中小微企業現在可以使用只有大企業才能負擔得起的工具,卻不需要巨額的資金投入和專業技能。只要使用得當,中小微企業就能有效地降低與信息安全相關的成本,將更多資金和精力投入到企業發展中,不斷將企業壯大。
三. 如何挑選Sec-aaS服務商?
從上文所述的Sec-aaS服務為中小微企業帶來的好處和挑戰、風險中可以歸納出,挑選Sec-aaS服務商的關鍵因素有兩個:
1、技術先進
面對各種已知和未知攻擊,能夠及時、高效地進行檢測、防禦和響應的Sec-aaS服務,才是中小微企業最需要的安全服務。而這些,需要Sec-aaS服務商具有一流的安全引擎、持續更新的安全規則、能力出眾的安全專家來支撐。
2、平臺可靠
近期發生的某公司運維人員刪庫的安全事件,想必大家還記憶深刻。為了保證企業數據的完整性、保密性、可用性,不僅要對外部威脅進行防護,還要更加注意內部安全。因此,與承載Sec-aaS服務的平臺可靠性、信息資產的訪問控制和備份恢復、與Sec-aaS服務商之間的責任約定等,就成為企業選擇服務的重要考量。
綜上所述,安全幫®安全服務平臺不失為中小微企業安全防護的一個理想選擇。
安全幫來自中國電信研究院雲安全研究所,具有運營商背景,平臺可靠。其提供的Sec-aaS服務產品,具備運營商量級安全防護能力的資源池,能夠提供安全專家的防護策略跟蹤定製,深度適配客戶業務,提供主動、智能的安全防護能力。並結合大數據分析與人工智慧技術,通過多維度安全能力間的持續自動化協同,實現自主決策和自主響應,並不斷優化的安全防禦機制。
責任編輯;zl
打開APP閱讀更多精彩內容聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容圖片侵權或者其他問題,請聯繫本站作侵刪。 侵權投訴