中小企業(yè)數(shù)據(jù)安全建設(shè)指南

1、 中小企業(yè)數(shù)據(jù)安全建設(shè)指南目 錄 TOC o 1-3 h z u HYPERLINK l _Toc60751856 二、前言 PAGEREF _Toc60751856 h 3 HYPERLINK l _Toc60751857 三、分析安全威脅，排查致命缺陷 PAGEREF _Toc60751857 h 4 HYPERLINK l _Toc60751858 01 管理者對數(shù)據(jù)價值認知不足，導(dǎo)致投入少關(guān)注少 PAGEREF _Toc60751858 h 4 HYPERLINK l _Toc60751859 02 難以打造縱深防御體系，黑客攻擊更加容易 PAGEREF _Toc60751859 h

2、5 HYPERLINK l _Toc60751860 03 安全知識儲備不足，安全意識仍待提高 PAGEREF _Toc60751860 h 5 HYPERLINK l _Toc60751861 04 開源免費埋下安全“地雷” PAGEREF _Toc60751861 h 6 HYPERLINK l _Toc60751862 四、理清合規(guī)要求，重視戰(zhàn)略部署 PAGEREF _Toc60751862 h 9 HYPERLINK l _Toc60751863 01 個人信息保護 PAGEREF _Toc60751863 h 9 HYPERLINK l _Toc60751864 02 數(shù)據(jù)共享安全

3、PAGEREF _Toc60751864 h 10 HYPERLINK l _Toc60751865 03 數(shù)據(jù)出境安全 PAGEREF _Toc60751865 h 10 HYPERLINK l _Toc60751866 五、落地安全戰(zhàn)術(shù)，踐行第一舉措 PAGEREF _Toc60751866 h 11 HYPERLINK l _Toc60751867 01 安全意識 PAGEREF _Toc60751867 h 11 HYPERLINK l _Toc60751868 02 安全管理 PAGEREF _Toc60751868 h 12 HYPERLINK l _Toc60751869 03

4、安全技術(shù) PAGEREF _Toc60751869 h 13 HYPERLINK l _Toc60751870 04 專項工作 PAGEREF _Toc60751870 h 14前言從華住酒店集團近6億條數(shù)據(jù)被暴露，到點評類網(wǎng)站數(shù)據(jù)造假，再到微盟公司程序員刪庫跑路，無數(shù)血淋淋的案例告訴我們：對于今天的商業(yè)組織，數(shù)據(jù)就是核心資產(chǎn)和命脈；甚至可以說：“企業(yè)經(jīng)營的本質(zhì)即數(shù)據(jù)運營”。與核心數(shù)據(jù)資產(chǎn)相比，精干的管理人員好像沒那么重要，昂貴的設(shè)備好像沒那么重要，華美的辦公樓好像也沒那么重要。同步地，在國家政策不斷明晰和行業(yè)監(jiān)管持續(xù)引導(dǎo)的大背景下，數(shù)據(jù)安全已經(jīng)成為網(wǎng)絡(luò)安全行業(yè)的投融資熱點，更是全社會焦點話題

5、。但不盡如人意的是，參與數(shù)據(jù)安全相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)制定的多是部委機關(guān)、科研院所以及行業(yè)寡頭；試點落實數(shù)據(jù)安全防護技術(shù)多是監(jiān)管單位和大型企業(yè)；數(shù)據(jù)安全保護技術(shù)亦呈現(xiàn)出技術(shù)壁壘極高，成本造價極高的態(tài)勢。數(shù)據(jù)安全似乎與中小企業(yè)關(guān)系甚少。事實上，一方面，中小企業(yè)是國民經(jīng)濟的重要組成。根據(jù)國家經(jīng)濟統(tǒng)計局?jǐn)?shù)據(jù)，中小企業(yè)占比中國企業(yè)總數(shù)90%，GDP貢獻達全國65%，稅收貢獻超過50%，并解決75%以上的城鎮(zhèn)就業(yè)。另一方面，面對數(shù)據(jù)安全威脅和攻擊，中小企業(yè)風(fēng)險抵御能力極差。根據(jù)卡巴斯基2019年安全報告，全球46%中小企業(yè)遭遇數(shù)據(jù)泄露。根據(jù)2019年Zogby Analytics報告，數(shù)據(jù)泄露可能導(dǎo)致2

6、5%的中小企業(yè)破產(chǎn)。如此，破解中小企業(yè)數(shù)據(jù)安全困局已是勢在必行，更要善建慎行。分析安全威脅，排查致命缺陷針對數(shù)據(jù)安全風(fēng)險，以下內(nèi)容對中小企業(yè)面臨的五個最突出安全威脅進行簡要分析。01 管理者對數(shù)據(jù)價值認知不足，導(dǎo)致投入少關(guān)注少可能的原因：a.數(shù)據(jù)價值缺乏量化分析。在數(shù)據(jù)的貨幣化價值探索方面，中小企業(yè)組無法得到直觀的數(shù)據(jù)價值感知。b.價值數(shù)據(jù)缺少持續(xù)投入。據(jù)統(tǒng)計，中小企業(yè)存活周期的平均壽命只有2.9年，由此帶來的是體系化數(shù)據(jù)安全建設(shè)周期和資金保障不足。c.關(guān)鍵業(yè)務(wù)數(shù)據(jù)關(guān)注較少。企業(yè)運營過程中，關(guān)注點會放在了業(yè)務(wù)組織架構(gòu)和流程，以及業(yè)務(wù)模型等，在積累大量的價值數(shù)據(jù)之前，管理層對數(shù)據(jù)的價值缺少必要的

7、關(guān)注，同時在利用數(shù)據(jù)驅(qū)動企業(yè)數(shù)字化能力方面略顯不足。02 難以打造縱深防御體系，黑客攻擊更加容易與大型企業(yè)不同，受限于業(yè)務(wù)規(guī)模和安全投入，中小企業(yè)業(yè)務(wù)架構(gòu)簡潔，網(wǎng)絡(luò)復(fù)雜性低，缺少網(wǎng)絡(luò)安全的整體性思考。在面對惡意攻擊時，較短的攻擊路徑使得核心數(shù)據(jù)更容易暴露。中小企業(yè)由于在安全投入方面較少，因而無法打造一個完整保護體系，如邊界防御、訪問控制、網(wǎng)絡(luò)隔離、應(yīng)用保護、入侵檢測、病毒防御、數(shù)據(jù)防泄漏等等，缺少層層安全策略，層層操作規(guī)則。根據(jù)電信運營商Verizon2019年數(shù)據(jù)泄露調(diào)查報告對于中小企業(yè)，70%數(shù)據(jù)安全攻擊事件，在3個攻擊步驟內(nèi)完成攻擊。03 安全知識儲備不足，安全意識仍待提高中小企業(yè)設(shè)立1

8、名或多名專職數(shù)據(jù)管理崗位已然困難；更多，在全社會網(wǎng)絡(luò)和數(shù)據(jù)安全專業(yè)人員缺口達百萬級情況下，中小企業(yè)招聘專業(yè)安全人員多是“郎有情來妾無意”。上述情況，可能導(dǎo)致出現(xiàn)常識性安全誤區(qū)。比如，某中小企業(yè)在意識到數(shù)據(jù)安全重要性后，特別采購滿足等保三級要求的云服務(wù)器；然而，在使用過程中，不修改默認口令，不關(guān)閉特權(quán)賬號遠程登陸，不進行中間件升級，最終導(dǎo)致黑客輕易控制服務(wù)器。對于大型企業(yè)，安全管理和運營是體系化閉環(huán)管理，網(wǎng)絡(luò)、平臺、應(yīng)用、數(shù)據(jù)等實現(xiàn)了模塊化控制措施部署。安全意識缺乏亦中小企業(yè)重要威脅。傳統(tǒng)地，安全意識提升會占較多精力和資源，而且只有大型企業(yè)才需要定期開展體系化意識提升。事實上，在日常辦公和項目實

9、施中融入意識提升，成本極低，同時得益于規(guī)模小，中小企業(yè)的安全意識提升效果遠超大型企業(yè)。請切記：低級誤操作和安全意識缺乏是數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊首要原因。04 開源免費埋下安全“地雷”根據(jù)Gartner調(diào)查報告，99%的組織在IT系統(tǒng)會采用使用開源程序。普遍地，基于技術(shù)更新和成本控制等原因，中小企業(yè)使用開源組件亦是常態(tài)。便利與安全相向而行。據(jù)統(tǒng)計，2019年開源軟件漏洞較2018年增加50%，平均每1000行代碼存在14個安全漏洞。更多的，安全漏洞暴露后，中小企業(yè)較難通過外圍安全防護設(shè)備抑止安全影響，但直接升級程序和加固系統(tǒng)，風(fēng)險高且難度大?；诖?，中小企業(yè)修復(fù)開源漏洞周期平均超過24個月。需要深思

10、的是：開源程序安全隱患到底來自哪里？其一，針對成熟的開源軟件，安全再投入困難。一方面，較早的開源項目少有安全投入；另一方面，開源軟件經(jīng)過多年版本更新，要不由3、5個工程師，甚至1個工程師獨立開發(fā)，安全加固將極大增加時間成本和精力成本；要不由上萬人共同迭代，新老版本代碼相互調(diào)試引用，復(fù)盤程序已十分困難，更不提安全構(gòu)架。種種原因，造成成熟開源軟件安全性提升困難大，且成效一般。其二，新立項目，特別常用互聯(lián)網(wǎng)應(yīng)用開源框架項目，獲得了企業(yè)經(jīng)費贊助，甚至人力投入（參與核心編碼），安全專家亦大量參與。然而，美中不足的是：為了提升代碼易用性和擴展性，較多安全配置默認“關(guān)閉”。對于大型企業(yè)，特別是行業(yè)巨頭對開源

11、程序或軟件安全性重視程度較高。較多企業(yè)建立了引入管理、軟件版本管理、脆弱性檢測、在線告警和補丁測試環(huán)境等體系化的管理。然而，對于中小企業(yè)，在使用開源代碼時，極有可能“一目十行”，根本未關(guān)注安全配置。事實上，中小企業(yè)亦通過小行動來強化開源程序安全使用，比如設(shè)立安全原則：針對開源程序版本已被CNVD通告存在高風(fēng)險安全漏洞，則禁止研發(fā)人員任何理由使用。比如，根據(jù)CIS建立企業(yè)安全基線，要求開啟開源軟件95%以上安全配置。再比如，針對調(diào)用開源程序且是項目核心功能，要求兼容二種以上編碼語言。請切記：開源程序安全漏洞被利用是數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊第二原因。05云化技術(shù)應(yīng)用：天使魔鬼，結(jié)伴同路近五年，云化技術(shù)堪

12、稱中小企業(yè)福音。大量中小企業(yè)利用云平臺，在輕量化運營前提下，實現(xiàn)業(yè)務(wù)拓展和產(chǎn)能擴容。更多的，在新冠疫情背景下，工信部文件強調(diào)：支持?jǐn)?shù)字化和智能化轉(zhuǎn)型,助力中小企業(yè)復(fù)工復(fù)產(chǎn)。其中，引導(dǎo)大企業(yè)及專業(yè)服務(wù)機構(gòu)面向中小企業(yè)推出云制造平臺和云服務(wù)平臺，推動中小企業(yè)業(yè)務(wù)系統(tǒng)云化部署是重要內(nèi)容。姑且，云化技術(shù)有安全驗證，云化架構(gòu)有安全設(shè)計，云服務(wù)商金口玉言，再三承諾貼合業(yè)務(wù)需求，匹配業(yè)務(wù)形態(tài)，提供可選高品質(zhì)安全保障。但業(yè)務(wù)和數(shù)據(jù)畢竟是自有的，中小企業(yè)極需關(guān)注云化技術(shù)應(yīng)用中業(yè)務(wù)和數(shù)據(jù)安全管理。第一，云平臺安全風(fēng)險是X86和TCP/IP架構(gòu)客觀，曾記否Slack和CloudFlare安全漏洞泄露數(shù)百萬用戶個人信

13、息，曾記否Verizon的Amazon S3服務(wù)器錯誤配置，泄露1400多萬美國用戶數(shù)據(jù)。第二，在認識到風(fēng)險后，中小企業(yè)可考慮采購國資或知名云服務(wù)；同時，根據(jù)業(yè)務(wù)模式和規(guī)模選購安全服務(wù)（注意：云平臺安全服務(wù)更加論證了第一點：云平臺存在安全風(fēng)險）。為了減輕經(jīng)營成本壓力，筆者建議優(yōu)先選購漏洞掃描、服務(wù)器加固等價格低但成本高安全服務(wù)。在此基礎(chǔ)上，結(jié)合業(yè)務(wù)模式，選購業(yè)務(wù)風(fēng)險、數(shù)據(jù)防泄露檢測等服務(wù)。理清合規(guī)要求，重視戰(zhàn)略部署根據(jù)網(wǎng)絡(luò)安全法、個人信息安全規(guī)范等法律標(biāo)準(zhǔn)要求，網(wǎng)絡(luò)運營者、數(shù)據(jù)控制者需要承擔(dān)數(shù)據(jù)保護義務(wù)。針對中小企業(yè)，需要重點關(guān)注三個關(guān)鍵合規(guī)要求。01 個人信息保護掌握持續(xù)增長的個性化的個人信

14、息可能是中小企業(yè)與行業(yè)寡頭競爭中的“王牌”。這張“王牌”成立的首要前提做好保護義務(wù)。a.根據(jù)刑法、消費者權(quán)益保護法、數(shù)據(jù)安全管理辦法諸多法規(guī)和國標(biāo)、行標(biāo)，個人信息收集、處理、利用受到嚴(yán)格約束和管制。b.需要強調(diào)，個人信息保護是法律約束，經(jīng)粗略統(tǒng)計，2019年平均每3天新增1個侵害個人信息判例。02 數(shù)據(jù)共享安全流轉(zhuǎn)是數(shù)據(jù)天然屬性，變現(xiàn)也是數(shù)據(jù)最終目標(biāo)，但流轉(zhuǎn)不代表隨意傳播，變現(xiàn)不等于數(shù)據(jù)售賣。數(shù)據(jù)共享要求做好事前預(yù)防，事中監(jiān)測，事后審計。03 數(shù)據(jù)出境安全當(dāng)下，較多中小企業(yè)業(yè)務(wù)涉及跨境交易，同步地，部分?jǐn)?shù)據(jù)可能跨境流轉(zhuǎn)。涉及數(shù)據(jù)出境業(yè)務(wù)，一方面，需要注意數(shù)據(jù)接收方所在國法律法規(guī)約束，如歐盟GD

15、PR，如新加坡、泰國等國家數(shù)據(jù)安全保護法令；另一方面，需要注意國內(nèi)個人信息出境安全評估辦法等要求。特別注意，數(shù)據(jù)安全和網(wǎng)絡(luò)安全是國家針對全行業(yè)國家網(wǎng)絡(luò)空間安全可控戰(zhàn)略要求，是無論規(guī)模、形態(tài)的企事業(yè)都必須遵循安全監(jiān)管。遵循安全合規(guī)需要上升到中小企業(yè)主經(jīng)營管理戰(zhàn)略目標(biāo)。落地安全戰(zhàn)術(shù)，踐行第一舉措中小企業(yè)不適用搭建一個事無巨細的完整數(shù)據(jù)安全保護框架，宜采用“精準(zhǔn)發(fā)力，有的放矢”安全戰(zhàn)術(shù)。以下從意識提升、安全管理、安全技術(shù)、專項工作等4方面分析提出優(yōu)先安全舉措來推演中小企業(yè)數(shù)據(jù)安全建設(shè)，即從諸多安全舉措中找出最迫切選項（本文會給出兩個項目以供讀者參考）。01 安全意識安全意識提升形式多樣，方法靈活?？?/p>

16、慮到，中小企業(yè)經(jīng)營成本限制和實施便捷要求，建議優(yōu)先開展兩項意識提升工作：a.案例宣貫。整理個人信息侵害判例或同行業(yè)數(shù)據(jù)泄露事件，在例會前，進行10分鐘案例學(xué)習(xí)，對照分析本企業(yè)不足，提升企業(yè)主對數(shù)據(jù)資產(chǎn)價值認識，強化員工違規(guī)思想的威懾。b.知識學(xué)習(xí)。整理安全運營簡要知識或常見設(shè)備和系統(tǒng)默認口令或典型安全漏洞分析，在月度總結(jié)中，進行30分鐘集中學(xué)習(xí)。02 安全管理完整的數(shù)據(jù)安全管理可能至少覆蓋崗位、人員、制度、流程、監(jiān)管配合等，但對于中小企業(yè)可優(yōu)先嘗試如下兩項工作來開展數(shù)據(jù)安全管理：a.建章立制。不可因為對制度落地期望低，或?qū)嵤┬Ч疃芙^建立制度。制度是現(xiàn)代企業(yè)管理的“神經(jīng)”。特別地，對于數(shù)據(jù)安

17、全工作，制度的建立更是正視數(shù)據(jù)工作第一步，亦可能成為安全事件發(fā)生后，公安機關(guān)追責(zé)時，相關(guān)人員“適當(dāng)勤奮”第一證明。針對制度執(zhí)行落地難，第一，建議在企業(yè)內(nèi)部強化安全制度的統(tǒng)一性、權(quán)威性和嚴(yán)肅性，要做到“令行禁止”；第二，建議企業(yè)減少“家長式”管理，可考慮場景化演練、安全制度專題活動等，增強企業(yè)數(shù)據(jù)安全文化建設(shè)，激發(fā)執(zhí)行層員工參與感。b.聘用兼職顧問。如前文，專職人員培養(yǎng)難、成本高，建議中小企業(yè)，特別員工數(shù)量不足150人中小企業(yè)，建議聘用兼職數(shù)據(jù)安全顧問進行技能指導(dǎo)。03 安全技術(shù)大型企業(yè)數(shù)據(jù)安全防護技術(shù)可以覆蓋整個數(shù)據(jù)活動生命周期，可能從資產(chǎn)識別，覆蓋到分類分級、威脅檢測、安全監(jiān)視等。然而，數(shù)據(jù)

18、的安全命運可歸納為二種：被破壞、被非法訪問（含泄露）。再結(jié)合前面安全威脅分析，建議中小企業(yè)優(yōu)先開展如下兩項工作：a.數(shù)據(jù)備份。不論是本地數(shù)據(jù)還是云端數(shù)據(jù)，備份是抵御攻擊低成本策略，是降低數(shù)據(jù)被破壞影響最優(yōu)解。b.加密應(yīng)用。對于非法訪問，大型企業(yè)極有可能采購和部署完備的訪問控制系統(tǒng)，覆蓋網(wǎng)絡(luò)邊界、主機服務(wù)、應(yīng)用業(yè)務(wù)、甚至指令級的權(quán)限管理。不足之處，此類訪問控制會在后續(xù)不斷增加管理成本，如訪問控制策略要頻繁調(diào)整，會增加額外人力；如業(yè)務(wù)或網(wǎng)絡(luò)擴容，引發(fā)訪問控制系統(tǒng)同步擴容，會增加額外成本。建議中小企業(yè)利用加密技術(shù)減緩來自非法訪問威脅（加密技術(shù)是開放性技術(shù)，多數(shù)情況下，算法完全公開）。注：加密并不能解決非法訪問，但對于小規(guī)模組織，可以減少數(shù)據(jù)暴露和傳播。04 專項工作結(jié)合威脅分析和合規(guī)要求，建議中小企業(yè)開展如下兩項專項工作。a.個人信息保護。特別是在2020版?zhèn)€人信息保護規(guī)范發(fā)布后，個人信息保護工作是對全行業(yè)剛性要求，中小企業(yè)的個人信息保護專項工作需要至少包含隱私政策管理、數(shù)據(jù)收集授權(quán)同