从华住酒店集团近6亿条数据曝光,到点评网站数据造假,再到微盟程序员删库出逃,血案数不胜数告诉我们:对于当今的商业组织,数据是核心资产和命脉;甚至可以说:“业务运营的本质是数据运营”。与核心数据资产相比,有能力的管理者似乎没有那么重要,昂贵的设备似乎没有那么重要,华丽的办公楼似乎没有那么重要。同时,在国家政策不断明晰、行业监管不断引导的背景下,数据安全成为网络安全行业投融资的热点,也是全社会关注的焦点话题。然而,令人不尽如人意的是,参与数据安全相关法律法规和行业标准制定的部委、科研院所、行业寡头居多;数据安全保护技术试点多为监管机构和大型企业;呈现出技术壁垒极高、成本极高的趋势。数据安全似乎与中小企业无关。事实上,一方面,中小企业是国民经济的重要组成部分。据国家经济统计局统计,中小企业占中国企业总数的90%,贡献了全国65%的GDP,贡献了50%以上的税收,解决了75%以上的问题。的城市就业。另一方面,面对数据安全威胁和攻击,中小企业的抗风险能力极差。根据卡巴斯基2019年安全报告,全球46%的中小企业遭受数据泄露。根据2019年ZogbyAnalytics报告,数据泄露可能导致25%的中小企业破产。如此一来,解决中小企业的数据安全困局势在必行,更需谨慎建设和谨慎行事。一、分析安全威胁,排查致命漏洞针对数据安全风险,以下内容简要分析中小企业面临的最突出的五种安全威胁。1、管理者对数据价值的认识不够,导致投入少、重视少。可能原因:缺乏对数据价值的量化分析。在数据货币化价值探索方面,中小企业群体无法获得直观的数据价值感知。价值数据缺乏持续投入。据统计,中小企业生存周期的平均寿命仅为2.9年,这带来的是缺乏系统的数据安全建设周期和资金保障不足。业务关键数据较少受到关注。企业在运营过程中,重点会放在业务组织结构和流程,以及商业模式等方面,在积累大量价值数据之前,管理层缺乏对数据价值的必要关注。略显不足。2、纵深防御体系建设难度大,黑客攻击的可能性更大。与受限于业务规模和安全投入的大型企业不同,中小企业业务结构简单,网络复杂度低,缺乏对网络安全的整体思考。面对恶意攻击,攻击路径越短,核心数据越容易暴露。中小企业安全投入少,无法构建完善的防护体系,如边界防御、访问控制、网络隔离、应用防护、入侵检测、病毒防御、数据泄露防护等,缺乏层层把关层安全策略,逐层运行规则。根据电信运营商Verizon《2019年数据泄露调查报告》针对中小企业的数据,70%的数据安全攻击是在3个攻击步骤内完成的。3、安全知识储备不足,安全意识有待提高。中小企业设置一个或多个专职数据管理岗位已经很困难;更有什者,在全社会网络和数据安全人才紧缺的情况下,中小企业招聘的专业安全人员大多是“男有情,妾无心”。上述情况可能会导致常识性的安全误区。例如,某中小企业意识到数据安全的重要性后,专门购买了符合三级险要求的云服务器;但是在使用过程中,没有修改默认密码,没有关闭远程登录的特权账号,没有升级中间件,最终导致黑客轻易控制服务器。对于大型企业来说,安全管理和运营是系统化的闭环管理,对网络、平台、应用、数据都部署了模块化的管控措施。缺乏安全意识也是中小企业面临的一大威胁。传统上,提高安全意识会占用更多的精力和资源,只有大型企业才需要定期进行系统的意识提升。事实上,将意识提升融入到日常办公和项目实施中的成本是极低的。同时,由于规模小,提高中小企业安全意识的效果远大于大型企业。请记住:低级别的滥用和缺乏安全意识是数据泄露和网络攻击的首要原因。4、开源/免费埋下安全“地雷”根据Gartner的调查报告,99%的组织在其IT系统中使用开源程序。一般来说,中小企业出于技术更新、成本控制等原因使用开源组件是很正常的。便利性和安全性齐头并进。据统计,2019年开源软件漏洞较2018年增长50%,平均每千行代码有14个安全漏洞。更何况,安全漏洞暴露后,中小企业很难通过外围的安全防护设备来压制安全影响,而直接升级程序、加固系统则风险大、难度大。据此计算,中小企业修复开源漏洞的平均周期超过24个月。需要深思的是:开源程序的安全风险从何而来?首先,对于成熟的开源软件,很难在安全上进行再投资。一方面,早期的开源项目在安全方面的投入很少;另一方面,开源软件经过多年的版本更新,由3、5个工程师,甚至1个工程师独立开发,安全加固会大大增加时间和精力的成本。;如果几万人一起迭代,新旧版本的代码互相调试,互相引用,审查程序都非常困难,更不用说安全框架了。由于种种原因,成熟开源软件的安全性提升难度较大,效果平平。第二,新的项目,特别是互联网应用的开源框架项目,得到了企业的资金赞助,甚至人力投入(参与核心编码),也有大量的安全专家参与。不过也有美中不足的地方:为了提高代码的可用性和可扩展性,很多安全配置默认是“关闭”的。对于大型企业,尤其是行业巨头,他们非常重视开源程序或软件安全。很多企业建立了引入管理、软件版本管理、漏洞检测、在线告警和补丁测试环境等系统化管理。然而,对于中小企业来说,在使用开源代码时,很可能“一眼看到十行”,根本不注意安全配置。事实上,中小企业也有一些小动作来加强开源程序的安全使用,比如建立一个安全原则:对于被CNVD通报存在高危安全漏洞的开源程序版本,开发者禁止以任何理由使用它们。例如,建立基于CIS的企业安全基线,要求开源软件的安全配置达到95%以上。再比如,调用作为项目核心功能的开源程序,需要兼容两种以上的编码语言。请记住:利用开源程序中的安全漏洞是数据泄露和网络攻击的第二大原因。5、云技术应用:天使与魔鬼同路近五年,云技术堪称中小企业的福音。大量中小企业在轻量化运营的前提下,利用云平台实现业务扩张和扩容。更有,在新冠疫情背景下,工信部文件强调:支持数字化、智能化转型,助力中小企业复工复产。其中,重点引导大型企业和专业服务机构推出面向中小企业的云制造平台和云服务平台,推动中小企业业务系统云化部署。暂时来说,云技术有安全验证,云架构有安全设计。云服务商多次承诺满足业务需求,匹配业务形态,提供可选的优质安全保障。但业务和数据毕竟是自己的,中小企业在应用云技术时需要注意业务和数据的安全管理。首先,云平台的安全风险是X86和TCP/IP架构的目标。您是否记得Slack和CloudFlare的安全漏洞泄露了数百万用户的个人信息?您是否记得Verizon的AmazonS3服务器配置错误并泄露了超过1400万美国用户的数据?.其次,在认识到风险后,中小企业可以考虑购买国有或知名云服务;同时,根据业务模式和规模购买安全服务(注:云平台安全服务进一步论证第一点:云平台存在安全风险)。为降低运营成本压力,笔者建议优先购买价格低但成本高的漏洞扫描、服务器加固等安全服务。在此基础上,结合业务模型,采购业务风险、数据防泄露检测等服务。2.明确合规要求,注重战略部署根据《网络安全法》、《个人信息安全规范》等法律标准,网络运营者和数据控制者需要承担数据保护义务。对于中小企业,需要关注三个关键的合规要求。1、个人信息保护把握个人信息不断增长的个性化可能是中小企业与行业寡头竞争的“王牌”。这张“王牌”成立的首要前提是做好保护义务。根据《刑法》、《消费者权益保护法》、《数据安全管理办法》等多项法律法规、国家标准、行业标准,对个人信息的收集、处理和使用进行了严格的限制和规范。需要强调的是,个人信息保护是一种法律约束。据粗略统计,2019年平均每3天新增1起侵犯个人信息案件。2、数据共享和安全流通是数据的天然属性,货币化也是数据的最终目的,但流通不等于随意传播,货币化不等于数据销售。数据共享需要事前预防、持续监控和事后审计。3.数据出境安全目前,很多中小企业的业务都涉及到跨境交易。同时,一些数据可能会跨境流动。涉及到数据导出业务,一方面需要注意数据接收方所在国家的法律法规,比如欧盟GDPR,比如新加坡、泰国等国家的数据安全保护法;另一方面,需要注意《个人信息出境安全评估办法》等国内要求。特别是数据安全和网络安全是国家战略要求,对全行业网络空间安全可控,企事业单位无论规模大小、形式如何,都必须服从安全监管。遵循安全合规需要上升为中小企业主管理的战略目标。3.首先实施安全策略。不适合中小企业搭建完整的数据安全防护框架,宜采取“精准发力、针对性”的安全策略。下面分析从意识提升、安全管理、安全技术、专项工作四个方面提出优先的安全措施,推导出中小企业的数据安全建设,即从众多安全措施中寻找最紧迫的选择。措施(本文将给出两项供读者参考)。1、安全意识提高安全意识的形式多样,方法灵活。考虑到中小企业运营成本的限制和便于实施的要求,建议优先做好案例公示和实施两项宣传工作。组织同行业的个人信息侵权案件或数据泄露事件。例会前,进行10分钟案例分析,对比分析企业短板,提高企业主对数据资产价值的认识,加强对员工违法思想的震慑。知识学习。整理安全操作或常用设备和系统默认密码的简要知识或典型安全漏洞分析,并在月度总结中进行30分钟的强化学习。2、安全管理完整的数据安全管理可能至少包括岗位、人员、制度、流程、监管配合等,但对于中小企业而言,可优先从以下两方面进行数据安全管理:建立规章制度。不要因为对制度实施的期望值低或实施效果不佳而拒绝建立制度。制度是现代企业管理的“神经”。尤其是对于数据安全工作,制度的建立是正视数据工作的第一步,也可能成为公安机关事后追究相关人员“勤勉尽责”的第一个证明。安全事件发生。针对制度实施难的问题,一是建议加强企业内部安全制度的统一性、权威性和严肃性,做到“令行禁止”;二是建议企业减少“家长式”管理,考虑场景化演练、安全体系专项活动等,加强企业数据安全文化建设,激发高管层员工的参与意识。聘请兼职顾问。如上所述,培训全职人员既困难又昂贵。建议中小企业,尤其是150人以下的企业,聘请兼职数据安全顾问进行技能指导。3.安全技术大型企业的数据安全防护技术可以覆盖数据活动的全生命周期,可能涵盖从资产识别到分级分类、威胁检测、安全监控等,但数据的安全归宿可归纳为两种:销毁和非法获取(包括泄露)。结合前面对安全威胁的分析,建议中小企业优先做好以下两项工作:数据备份。无论是本地数据还是云端数据,备份都是一种低成本的抵御攻击的策略,也是减少数据损坏影响的最优方案。加密的应用程序。对于非法访问,大型企业很可能会购买并部署一套完整的访问控制系统,涵盖网络边界、主机服务、应用服务,甚至指挥级权限管理。不利的是,这种访问控制将在未来继续增加管理成本。例如,门禁政策的频繁调整会增加额外的人力;如业务或网络扩容,会造成门禁系统同步扩容,增加额外成本。建议中小企业使用加密技术来缓解非法访问带来的威胁(加密技术是一种开放技术,大多数情况下算法是完全开放的)。注意:加密并不能解决非法访问,但对于小型组织,它可以减少数据暴露和传播。4、专项工作结合威胁分析和合规要求,建议中小企业开展以下两项专项工作。个人信息保护。尤其是2020版《个人信息保护规范》发布后,个人信息保护工作更是对整个行业的硬性要求。中小企业个人信息保护专项工作至少需要包括隐私政策管理、数据采集授权同意和安全保护(范围、频率)、加密传输、加密存储、不保留原始身份数据并及时处理。数据导出管理。数据共享和交换安全是企业数据管理的重头戏。其中,数据的导出需要特别注意。2018年GDPR的实施,明确了涉及欧盟业务的中国企业的数据管理要求,明确了数据跨境流动的方式和渠道。并且,随着《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(征求意见稿)》的相继发布,可见数据出境合规管理将日趋严格。特别是对于从事跨境电子商务和跨境贸易的中小企业,建议至少从数据出境范围控制、数据出境风险等方面开展数据出境安全专项工作评估和影响分析,以及数据接收者的法律合同约束。【本文为专栏作者“安牛”原创文章,转载请通过安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
