網絡安全是企業(yè)的競爭底氣

魏資杰

網絡安全災難是危言聳聽還是現實上演

網絡安全好比“蝴蝶效應”。一個小小的Bug，至今仍可能引發(fā)企業(yè)的動蕩。微軟新推出Windows11、甚至尚未大規(guī)模推廣，2021年10月17日，來自中國KKK團隊的白帽子黑客僅用3 s就成功攻克系統(tǒng)并接管所有Windows系統(tǒng)，包括Windows11。聽到這個消息，在擔心電腦安全與否的同時，我們也意識到，加速奔跑在信息陽光下，網絡安全已經成為身邊同速相伴、無法拋開的影子。

隱形的網絡安全“弱勢群體”

信息時代讓人類的視野變大了，可以觸及更遙遠的宇宙，也讓地球變小了，萬里之外也能極速抵達，但是讓一切便利的同時，原本隱形的網絡安全也開始浮出水面。

2021年10月初，外交部新聞發(fā)言人趙立堅為國家網絡安全宣傳周打Call，鏗鏘有力的話語背后，彰顯出我國加速領跑全球經濟的同時，早已把網絡安全作為一項“慣例”。

2021年上海車展上，除車企外更有多國極具代表性的高科技企業(yè)，碰撞出了不少驚艷火花，飽含科技與安全的較量。眾所周知，高科技企業(yè)產品中融合移動智能終端是一種標配，而這些終端在不同程序的控制下可以360°采集與安全相關的信息。曾經聚焦戰(zhàn)略、產業(yè)、技術等體系的經濟框架，在數據與信息的激發(fā)下，網絡安全成為其必不可少的基石，也讓我國對于安全主場地位愈發(fā)警醒。在大洋彼岸頻繁出現“翻車”，諸如“網紅”特朗普推特賬號被盜、奧巴馬賬號遭黑客攻擊?！獰o論名人還是名企，常因安全被成為“焦點”：

英國開出2 000萬英鎊（約合2580萬美元）的天價罰單，因為英航公司出現影響逾40萬客戶的數據泄露；為空客、波音等提供飛機零部件設計的供應商ASCO遭受黑客攻擊，4個國家的工廠被迫停工……

一起起事件反映出網絡安全和經濟發(fā)展已密不可分，如果經濟是牽引者，那么安全便是保護者。隨著企業(yè)數字化轉型的深入，對網絡安全的重視從國家層面延展到頭部企業(yè)：中石油與大數據協(xié)同安全技術國家工程實驗室，聯(lián)合建立了安全研究中心；國家電網則成立了信息網絡安全實驗室。

與此同時，作為網絡安全金字塔“基石”的民眾安全意識亦越來越高。數年前常能看到有人在街頭以派發(fā)小禮物的形式邀請路人下載、注冊App。路人會蜂擁而上，偶爾還會比較一下小禮物的價格高低。如今在國家網絡犯罪違法舉報網站上赫然寫著13條公民網絡安全提醒，包括不使用公共WiFi、不安裝陌生軟件等。越來越多的國民發(fā)現不知何時泄露了個人信息，導致會接到準確叫出自己名字的騷擾電話……每一次小小觸發(fā)都仿佛警鐘，面對過去很受歡迎的“獲取小禮物”來犧牲個人隱私，每個人都開始謹慎。

網絡安全越來越重要的今天，你是不是感覺少了點什么？的確，在國家和頭部企業(yè)愈發(fā)重視安全、國人全方位提高警惕的同時，占據了全國企業(yè)總數的超90 %的腰部以下企業(yè)或機構仿佛成為了“無聲地帶”。這些企業(yè)與機構遠比尋常認知的范圍更廣：既有學校、醫(yī)院等與民生息息相關的機構，也有民辦企業(yè)、政府非垂直企業(yè)乃至同一行業(yè)內的相似或相關企業(yè)，這些恰恰是中國經濟中最為龐大的艦隊。面對數字化經濟風浪，中小企業(yè)或許駛出了數據化的海灣，卻在網絡安全的“暗礁”前止步。

中小企業(yè)更需要有溫度的全方位安全

數字化轉型好似蓋樓，安全則似配套安防，太急著把樓蓋起來、住進去，網絡安全沒跟上，反倒會讓中小企業(yè)陷入被動的泥潭。尤其大量的醫(yī)院、學校，以及處于創(chuàng)業(yè)關鍵期的民企，依舊是“老三樣”———防火墻、網站防入侵和終端殺毒。這些在2010年還算先進，但當時代的車輪前行到2020年代，從物聯(lián)網到云計算，再到大數據分析，哪怕在新型冠狀病毒肺炎疫情引發(fā)的特殊態(tài)勢下，網絡安全只做到這一步已然不夠。中小企業(yè)直面的“命懸一線”更需要“強身健體”：如果主營業(yè)務是“骨骼”“肌肉”，那么網絡安全是供給營養(yǎng)的重要“血脈”，如果主營業(yè)務是引領前行的“大腦”，那么網絡安全便是支撐“大腦”的“中樞神經”。

網絡安全融入競爭實力的過程中，亦會產生越來越多的“后門”。安全策略前置便是將這些難以被察覺又極易積壓的“后門”解決于未然。國家針對中小企業(yè)的安全痛點架設了“網絡安全漏洞共享平臺”，但全球爆發(fā)的WannaCry勒索病毒事件時，我國也有近30萬臺主機和電腦被感染，實際上僅需要殺毒軟件包及時更新便可避免，而從國家到中小企業(yè)的傳遞鏈漫長，無形中讓信息減速。對于中小企業(yè)來說，后知后覺可能意味著痛徹心扉，根據Hiscox公司調查顯示，全球有47 %的小型企業(yè)和63 %的中型企業(yè)曾遭遇網絡安全事件。面對嚴峻局面，中小企業(yè)反倒出現了2種聲音。

一種是心有余而力不足的“無暇顧及”。加拿大一家為汽車制造商和供應商生產自動化程序的工程服務供應商因未設置有效的用戶訪問權限，導致近4.7萬份工廠文件泄露，內容包括設計原理圖、裝配線原理圖、工廠平面圖以及采購合同等敏感信息，影響遍及全球多家知名車企。調查發(fā)現，竟是在使用遠程同步工具處理數據時，備份服務器沒有限制使用者的IP地址，也未設置身份驗證等訪問權限?？此苹A的安全策略設置，對全心忙于主營業(yè)務的企業(yè)而言是不易察覺的挑戰(zhàn)。類似的網絡安全風險如同發(fā)展道路上的大坑，廣泛存在于企業(yè)的日常安全治理過程中，一旦踩空，后果難以預料。不少中外安全專家在惋惜的同時，也認為利用IT技術高速發(fā)展的中小企業(yè)不僅不能忽視安全問題，更要將安全“化矛為盾”，讓傷害企業(yè)的因素轉化為保護發(fā)展的能力。對非專業(yè)安全廠商的中小企業(yè)而言，設備、專家、機制、經驗和策略等日常網絡安全風險治理無一不是挑戰(zhàn)?？梢钥紤]云化安全服務的模式，將專業(yè)的問題托管給專業(yè)的機構處理，不僅極大地發(fā)揮出安全保護功效，降低安全風險和壓力，還讓企業(yè)能夠聚焦精力創(chuàng)新業(yè)務，放心利用IT技術驅動業(yè)務高速發(fā)展。

另一種聲音是被動等待的“無計可施”。英格蘭地區(qū)超過1/3的國家醫(yī)療服務體系（NHS）多次受到攻擊，因網絡安全問題不得不取消超過1.9萬人次的就診預約。NHS多次出現“預約取消”事件背后是數字化進程的不同步———同一行業(yè)內地區(qū)與地區(qū)的不同步、機構與機構的不同步，帶來了數據化與安全的不同步。為此英國組織專家多方探索，最后選擇和英國電信合作，專門成立了NHS業(yè)務運營中心（NSOC），提供端到端、全天候的服務，針對重大事件的出現，及時調配由高技能人才組成的虛擬專家團隊，盡快在不同的地點共同解決問題。這正是我們如今十分熟悉的安全云端托管服務。

而更多的現狀是中小企業(yè)的安全“未解之謎”———用各種“笨辦法”應對。據某市級醫(yī)院的醫(yī)生介紹，半年多內、每到周二，全院會組織1～2 h的集中學習，學習前，要求每位醫(yī)生必須把電腦上的殺毒軟件運行起來，起因是門診掛號系統(tǒng)連續(xù)4～5次出現“不知原因的崩潰”、無法正常接診。院領導聘請了網絡開發(fā)人員，檢查后認為是感染病毒，但提不出扎實有效的防范措施。于是院里想出了“學習一小時”來進行電腦殺毒“抵御”門診系統(tǒng)“中毒”?？上到y(tǒng)崩潰仍時有發(fā)生，網絡安全是講求細節(jié)、缺一不可的，簡單復制的安全策略、非專業(yè)的人員隊伍、不完善的安全機制，在安全漏洞的面前往往不堪一擊。

國內某高校得到國家政策加持和資金注入，添置網絡安全設備后便以為高枕無憂，但因無專業(yè)團隊，導致網絡安全威脅，某學術成果數據暴露?？梢娋退慊ù髢r錢部署安全設備，并不等于有了網絡安全。更多中小企業(yè)因網絡安全不能迅速帶來顯而易見的回報而止步，依靠辦公室的行政人員或IT人員處理復雜的安全性任務成為常態(tài)。難以自建專業(yè)安全工程師隊伍、無法不眠不休地監(jiān)控數據、面對罕見的安全攻擊方式不知如何應對、漏洞難以被及時發(fā)現和修復、單一的防守策略不能及升級為動態(tài)優(yōu)化策略……這些又豈是“笨辦法”“買設備”能解決的？網絡安全失守對一些頭部企業(yè)來說尚有可能被推上風口浪尖，對中小企業(yè)更可能意味著“災難”。

讓我們回過頭反思安全專家給出的建議：中小企業(yè)應考慮使用云端安全管控與托管服務。實際上，以色列的Matam科技園區(qū)有近430家的網絡安全公司面向全球用戶提供云托管與服務；八千公里外的新加坡，網絡安全則采取了云端支持和共享策略；加拿大從2019年起公布面向中小企業(yè)的自愿性認證，經認證機構的審核通過便被授予使用政府認可的網絡安全標志。這些看似加緊加嚴的要求，從另一個角度給予了中小企業(yè)活下去的保證，也是各國看到中小企業(yè)受惠于安全云端服務紅利后的舉措。

而在中國也有提供安全云托管與服務的供應商。如具有二十多年安全管理經驗的深信服，早在2018年就提出了托管式安全運營服務的理念，革新了傳統(tǒng)堆人和堆技術的方法，將安全改由服務的方式交付。讓國內中小企業(yè)不僅享受到和世界網絡安全同步的支撐，更通過運營中心平臺的多種前沿技術接入和云端安全專家矩陣，實現中小企業(yè)的人才和設備效果最大化。從更長遠的視角來看，深信服提供的不僅是服務，更是前行路上的安全智庫、伙伴與戰(zhàn)友。

在和中小企業(yè)同進步的深信服看來，安全與發(fā)展不僅是擰成一股繩的合力，更要形成閉環(huán)體系。據全球網絡安全調查數據顯示，在2021年上半年發(fā)生3億多次勒索軟件攻擊未遂事件，同比增長151 %。而在我國感染惡意程序的主機數量約為446萬臺，同比增長46.8 %。信息時代里的網絡安全從來不是單打獨斗的個體事件，只有當國家、企業(yè)、個人各自履行責任、承擔義務，方能形成一整套互相關聯(lián)與成就的體系。中小企業(yè)和機構才能通過安全網絡云托管與云服務，掌握簡單高效、高性價比的破局方法，心無旁騖地搞生產，有質量地活下去。這一體系又將構成國家網絡安全體系的重要部分，反過來讓中小企業(yè)自主掌握網絡安全的命脈、與國家同步發(fā)展前行。

其實在中小企業(yè)的發(fā)展中，每一個安全隱患都如同這部神話里所描述的困難。發(fā)展征程上，沒有演習唯有實戰(zhàn)。披上守護安全的“隱形披風”，化身時代浪潮下的“企業(yè)超人”，一路避坑升級，方可大膽追逐信息時代里的星辰與大海。