摘 要:在数字化转型的过程中,中小企业面临着诸多信息安全挑战,通过对中小企业数字化转型中的信息系统安全问题进行分析,并提出了相应的保障措施,包括完善信息系统安全体系、强化数据安全保护、加强安全事件响应与漏洞管理、建立合作与信息共享机制、防范开源软件安全风险、保障联网设备安全升级服务等,旨在为中小企业提供信息系统安全的理论和实践指导,提高中小企业的信息系统安全意识和水平,为政府部门制定信息系统安全政策提供参考。

打开网易新闻 查看更多图片

内容目录:

0 引 言

1 中小企业数字化信息系统概述

1.1 中小企业信息系统的概念与特点

1.2 中小企业数字化转型中的信息系统现状分析

2 中小企业数字化转型中信息系统安全挑战

2.1 信息系统安全对中小企业数字化转型的影响

2.2 数字化转型过程中信息系统的安全隐患

2.3 中小企业信息系统安全管理难题

3 中小企业数字化转型中信息系统安全的关键要素

3.1 信息系统安全策略与规划

3.2 信息系统安全技术的运用

3.3 系统安全政策标准的执行

4 中小企业数字化转型中信息系统安全保障方法

4.1 完善信息系统安全体系

4.2 强化数据安全保护

4.3 加强安全事件响应与漏洞管理

4.4 建立合作与信息共享机制

4.5 防范开源软件安全风险

4.6 信息安全需覆盖云原生技术

4.7 保障联网设备安全升级服务

5 中小企业数字化转型中信息系统安全实践分析

5.1 信息安全联合创新

5.2 增强文化氛围软保护

5.3 开源软件持续更新与外网隔离

5.4 安全事件处置

5.5 分层分级实施保护

5.6 构建智能安全监测系统

6 结 语

打开网易新闻 查看更多图片

0 引 言

随着数字经济的快速发展,中小企业数字化转型已成为全球趋势。在转型过程中,信息系统成为中小企业实现数字化转型的重要载体,涵盖了应用软件、网络系统、数据库系统等关键组成部分,承载着企业的业务逻辑、数据、知识产权等重要信息。因此,中小企业信息系统的安全问题变得尤为重要,直接关系到企业的正常运营和发展。近年来,中小企业面临的信息系统安全事件频发,这些事件不仅给企业带来了直接的经济损失,还严重损害了企业的声誉和竞争力。鉴于此,本文旨在深入探讨中小企业数字化转型中的信息系统安全问题,并提出一系列有效的保障措施。当前,学术界对中小企业信息系统安全问题的关注度日益增加,已有研究主要集中在以下几个方面:一是中小企业数字化转型的现状及存在的问题;二是中小企业在数字化转型过程中遇到的信息系统安全挑战;三是针对这些挑战提出的对策和建议。尽管已有不少研究,但在具体实施信息安全措施、有效提升中小企业的安全意识等方面仍存留空白。因此,本文将从现状与挑战、关键要素、具体方法和实践案例4个方面,为中小企业提供可借鉴的经验。

1 中小企业数字化信息系统概述

1.1 中小企业信息系统的概念与特点

中小企业信息系统是指中小企业为实现生产经营目标而建立和使用的各种信息系统,具有规模小、人员少、业务多样化和资金投入有限等特点。规模小、人员少意味着信息系统规模相对较小,人员数量较少。业务多样化要求信息系统能够满足不同业务需求。资金投入有限导致信息系统的建设和维护成本相对较低。

1.2 中小企业数字化转型中的信息系统现状分析

数字经济下中小企业信息系统发生了显著的变化。从应用范围来看,中小企业信息系统的应用范围不断扩大,从传统的办公自动化、财务管理等领域,拓展到生产制造、供应链管理、客户关系管理等领域。从应用技术来看,中小企业信息系统越来越多地采用云计算、大数据、人工智能等新技术,提高了信息系统的应用效率和效能。首先,中小企业由于规模与资金的限制,在安全方面的资金与人才投入较少,因此无法打造一个完备的安全体系,缺少操作方法与安全策略指导。Verizon《2019年数据泄露调查报告》显示,对于中小企业,70%的数据安全攻击事件是在3个攻击步骤内完成的。其次,开源程序安全漏洞被利用是遭受数据泄露和网络攻击的第二大原因,根据Gartner调查报告,99%的组织在其IT系统中使用了开源程序,基于技术更新和成本控制等原因,中小企业使用开源组件亦是常态。

2 中小企业数字化转型中信息系统安全挑战

2.1 信息系统安全对中小企业数字化转型的影响

信息系统安全事件会给中小企业数字化转型带来严重影响,不仅会造成业务停滞、数据泄露等直接损失,还会损害企业的声誉。因此,中小企业必须重视信息系统安全,加强信息系统安全建设,保障数字化转型的顺利进行。

2.2 数字化转型过程中信息系统的安全隐患

中小企业数字化转型过程中,信息系统安全隐患主要源于以下几个方面:一是技术复杂性的增加。因为中小企业越来越多地采用云计算、大数据、人工智能等新技术,这些技术的复杂性增加了信息系统的安全风险。二是系统架构的复杂化。因为中小企业往往会将多个信息系统整合到一起,形成复杂的系统架构,这也增加了信息系统的安全风险。三是数据量的激增。因为中小企业会产生大量的数据,这些数据的安全也成为一大挑战。

2.3 中小企业信息系统安全管理难题

中小企业在数字化转型过程中,主要面临以下几个管理难题:一是难以投入大量资金用于信息系统安全建设;二是忽视信息系统安全的重要性,缺乏安全教育和培训,也不愿意投入足够的资源和人力来保障信息系统安全;三是没有有效的安全信息共享和协调机制,难以独立形成安全技术生态。

3 中小企业数字化转型中信息系统安全的关键要素

3.1 信息系统安全策略与规划
中小企业在数字化转型过程中,信息系统安全策略与规划是至关重要的一环,应建立完善的信息系统安全策略和规划。首先,需要分析当前的安全政策、安全防护技术体系、安全运营体系、安全支撑和安全度量等方面的状况,根据企业的战略规划和IT战略规划,明确信息安全的目标。其次,识别和评估企业可能面临的安全风险,包括数据泄露、服务中断、合规性问题等,并制定或更新企业的数据保护、访问控制、密码管理、合规性检查等安全策略。最后,规划并选择合适的安全技术实施,持续监控及改进。

3.2 信息系统安全技术的运用

中小企业应运用先进的信息系统安全技术,提高信息系统的安全防护能力。常用的安全技术包括使用防火墙、入侵检测系统、入侵防御系统来监控进出网络的流量以防止被恶意访问和网络攻击,推广数据加密技术以防止数据在传输过程中被截获和解读,加强访问控制以实施身份验证和授权机制,定期进行系统和软件的漏洞扫描以识别和修复安全漏洞,部署防病毒软件和反恶意软件工具以防止恶意软件感染和传播等。上述安全技术的运用是确保企业信息系统安全、保护数据完整性和防止未授权访问的关键。

3.3 系统安全政策标准的执行

中小企业应当定期组织学习相关政策和标准,在遵循标准及企业现实情况的基础上,制定出适合本企业的规章制度,有效防范数据泄露、网络攻击等安全风险,以保障信息系统的安全,保护企业和用户的利益。首先,针对信息系统安全,国家制定了多项国家标准,如GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 20274.1—2023《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》、GB/T 20984—2022《信息安全技术 信息安全风险评估方法》、GB/T 22080—2016《信息技术 安全技术 信息安全管理体系要求》等。其次,工业和信息化部印发了《工业和信息化领域数据安全管理办法(试行)》,以加强数据安全管理,保障数据安全。

4 中小企业数字化转型中信息系统安全保障方法

4.1 完善信息系统安全体系

为保护信息和信息系统的安全,中小企业应从硬件、软件、网络等方面完善信息系统安全体系。在硬件方面,通过部署防火墙、入侵检测系统等安全设备,定期更新安全软件,及时修复漏洞。在软件方面,通过对称加密、非对称加密、哈希函数、数字签名等加密技术将数据转换为不可读的形式,防止数据被访问或篡改,提高数据的机密性和完整性。在网络方面,通过防火墙和访问控制,过滤网络和互联网之间的数据,阻止恶意软件或不需要的数据进入网络,提高网络的安全性和可控性。此外,还可以根据中小企业规则和策略进行配置,限制用户的访问权限和行为。

4.2 强化数据安全保护

中小企业应强化数据安全保护,确保数据的安全性。为此,企业需要采取多种措施:一是采用安全的数据存储方式,定期备份数据,以防数据丢失或被破坏;二是加强数据访问控制,确保只有经过授权的人员才能访问敏感数据;三是建立和完善数据安全管理制度,确保各项措施得到有效执行,从而全面提高数据安全性。此外,通过备份和灾难恢复确保数据安全,防止数据丢失或损坏,减少数据的损失和影响。中小企业可以将数据备份到企业认可的统一的安全位置,如合作云端或统筹外部存储设备,在发生数据灾难时,快速地将数据恢复到正常状态。

4.3 加强安全事件响应与漏洞管理

中小企业应加强安全事件响应与漏洞管理,及时发现和处置安全事件。通过建立完善的安全事件响应流程和安全信息事件管理制度,监控分析网络安全事件,收集、整合、分析、报告和响应网络中的信息,提高网络的安全态势感知和风险评估能力,支持网络的安全决策和应急处置。该措施可以帮助中小企业低成本地发现和预防网络安全威胁。

4.4 建立合作与信息共享机制

过去信息系统的技术细节和安全防控布局在企业内部严格保密,一旦发生网络安全事件,对其分析和处置的相关信息也被严格控制在很小的范围内,以避免信息扩散,这种孤立的自我防御方式导致企业难以积累安全防范经验,也无法建立企业间的协同防御机制。因此,中小企业更应当在国家网信部门的统筹下,将其受到威胁、攻击等有关信息报告给国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD),加强对政府分享的有关网络安全的信息、情报、研判等信息的学习,促进各中小企业间的交流借鉴,从而提高安全防护水平。

4.5 防范开源软件安全风险

中小企业因规模及资金限制,在企业办公业务系统中大量使用开源软件。据Synopsis发布的《2023开源安全与风险分析报告》统计,2022年审查的1 703个代码库中,包含开源代码的库占比96%,包含高风险漏洞的代码库占比高达48%,54%的代码库存在许可证冲突,89%的代码库包含至少已过期4年的开源代码,因此开发人员应根据企业的业务模型,合理选择具备持续更新能力、由强大社区提供技术支持的开源组件,并定期查看开源组件更新日志,及时升级开源组件的版本。

4.6 信息安全需覆盖云原生技术

云原生正通过改进企业的IT技术和基础设施的方式持续加速企业IT要素的变革,成为企业用云的新范式。目前,中小企业为节约成本,快速实现部署,大量采用云化部署方案,但采用云原生技术并不能将安全风险完全推给云服务厂商。例如,企业应用的容器大部分是来自第三方的镜像库,比如Docker hub,镜像很多是定制的、开源的,所以很有可能存在漏洞,或者被提前嵌入恶意代码。将其导入生产环境运行,很有可能成为攻击者的“跳板机”,对内部环境发起攻击。因此,云计算用户必须了解公有云服务时与云服务客户的安全责任划分和安全责任共担,并能够主动设计和实现充分的安全控制,模型如图1所示。由于中小企业运维资源有限,通常采用基础设施即服务(Infrastructure as a Service,IaaS)、平台即服务(Platform as a Service,PaaS)和软件即服务(Software as a Service,SaaS)3类云服务部署方式,在云计算安全责任共担模型中需防范网络控制、应用、数据、身份与访问管理(Identity and Access Management,IAM)层风险。在网络控制层,云环境可能成为黑客攻击的目标,特别是分布式拒绝服务(Distributed Denial of Service,DDoS)攻击和Web应用层攻击等网络攻击风险,需使用安全监控工具和入侵检测系统来实时监控云环境的安全状况。在应用层,云服务的宕机或服务中断可能导致业务连续性中断,需定期备份数据,并制订灾难恢复计划以确保在服务中断时快速恢复业务。在数据层,首先需确保云服务商对数据存储和处理符合相关的合规性要求,其次针对数据可能因安全措施不当导致的未授权访问或泄露问题,需对存储在云中的敏感数据进行加密,并实施严格的访问控制政策。在IAM层,因不安全的身份验证、权限过度授权、访问控制不当、身份凭据泄露导致的安全问题,需通过多因素认证、最小权限原则、强密码策略、定期审计和监控等措施确保只有授权用户才能访问敏感信息和应用的关键组件。通过上述措施,保障中小企业上云安全控制。

打开网易新闻 查看更多图片
图1 云计算安全责任共担模型

4.7 保障联网设备安全升级服务

中小企业要么本身的业务范围就涉及联网设备,要么在业务或办公环境中不可避免地使用联网设备。CNVD发布的2024年第三期(2024年1月15—21日)周报显示,联网设备漏洞占本周漏洞总数约20%。物联网设备的安全性是当前最重要的一个薄弱环节,由于设备来源多样性、软件采用开源代码改编等多方面原因,这个问题尚未得到系统性缓解,可能导致设备被攻击入侵,进而导致设备数据和用户信息泄露、设备被控、感染僵尸木马程序及被当作跳板攻击内网主机和其他信息基础设施等安全风险。CNVD漏洞数量按影响类型分布如图2所示。

打开网易新闻 查看更多图片
图2 CNVD漏洞数量按影响类型分布

物联网设备对局域网安全的影响是全方位的,如果不多加防范,导致部署在设备上的防火墙和入侵检测系统等防护手段被攻击者绕过,将显著地削弱局域网整体的安全性。因此,局域网内部的分区域隔离变得非常重要。在区域之间部署防火墙和入侵检测系统,通过指定的链路和堡垒机对重要区域进行访问。物联网设备也可能位于需要强保护的区域,比如医疗设备关系到生命安全、电力设备关系到生产安全,需要有专网来连接这些设备。同时,中小企业要保持与互联网设备厂商的技术沟通渠道,在部署业务时务必确保OTA服务可用,如有设备安全更新,须及时进行升级。

5 中小企业数字化转型中信息系统安全实践分析

5.1 信息安全联合创新

某国企产业链配套的中小企业为解决信息系统安全问题,结合自身资金人员特点,提出了如图3所示的防护方案。该解决方案基于合作服务商的防护引擎和DDoS、Web应用防火墙等防护产品构建多层防御体系,对各层攻击流量分层而治,对不同场景攻击流量分层治理,并结合端侧特征实现攻击流量的精准识别,从而实现防护的高效性与可靠性。同时,该方案使用自主研发的新型防护算法,并结合传统防护策略,能够有效抵御反射攻击、中间盒攻击等多种攻击手法,为客户业务提供优质的防护体验。

打开网易新闻 查看更多图片
图3 中小企业信息安全防护方案

5.2 增强文化氛围软保护

社会工程学攻击作为一种非技术性攻击,能利用系统弱点并结合人性的弱点进行入侵,当黑客攻击与社会工程学攻击融为一体时,将极大降低技术安全系统的防范效果,其攻击方式包括伪造邮件攻击方式、网络钓鱼攻击方式、诱骗点击恶意挂马网页方式、社交网站利用方式、社工字典利用方式、搜索引擎利用方式、辅助安全问题利用方式等。针对社会工程学攻击,企业应不断增强员工的安全意识,开展长期的信息安全宣贯,通过OA内网、移动门户App等多种方式推送安全小知识及公司安全制度等,积极开展“网络安全周”宣传活动,通过线上、线下跨平台、全方位的宣传,使信息安全理念深入人心,在企业上下形成“信息安全、人人有责”的文化氛围,全面提升员工的信息安全意识。

5.3 开源软件持续更新与外网隔离

某安全分析平台在公网捕获一起黑产出售某网贷平台用户信息的安全事件,每天数千条涉及客户敏感信息,极有可能被黑产用于诈骗。经该网贷平台内部排查,定位到数据泄露原因是开源框架Spring Boot未授权漏洞,应用程序编程接口(Application Programming Interface,API)泄露了数据库的连接信息,数据库还支持公网连接,Spring Boot内置监控功能 Actuator,当Actuator配置不当时,攻击者可通过访问默认的内置API,轻易获得应用程序的敏感信息,在Actuator 1.5.x以下版本,所有API都默认无须授权直接访问,存在巨大的安全隐患,平台升级版本后该事件得到有效处置。

5.4 安全事件处置

按照事前预警、事中有效防护、事后分析的原则,为中小企业提供全事件、全覆盖的防护过程,依托海量带宽储备资源与优质的共享多线路,使用千兆级的多线程分布式带宽资源,抵御超大流量的DDoS攻击。攻击流量在被系统检测识别后能够被率先清洗和过滤,从而保障正常流量能够顺利回注到源站,使业务免遭大规模流量攻击的同时享受优质的网络质量。在事前预警和事后分析方面,处置系统提供完备的数据可视化与安全事件告警能力,帮助企业人员更快构成防护DDoS、应用层CC攻击的纵深防御体系。

5.5 分层分级实施保护

聚焦核心数据保护诉求,在信息化战略规划层面将信息安全建设分为筑围墙、坚堡垒、精管控3个阶段逐步推进。首先,按照等级保护的要求,进行了核心系统的安全加固工作,确保基本的安全防护措施到位;其次,通过建立更为严密的安全管理体系,强化对核心数据的保护,提高整体防御能力;最后,通过精细化管理手段,持续优化信息安全策略,确保信息安全管理的有效性和持续改进。

5.6 构建智能安全监测系统

针对实践中安全攻防能力不对等、地区公司防护薄弱、企业内网平坦、单点漏洞等现实问题,中小企业采用了多层次、多维度的安全检测手段来提高系统安全性。由于传统的安全检测手段已经无法满足企业的需求,本文尝试从不同角度对安全事件进行检测,特别是部署了网络安全检测、应用安全检测、终端安全检测和数据安全检测等合适的安全检测手段。同时,中小企业可以根据自身情况选择合适的裁剪方式,并构建复合的安全检测体系。此外,尝试引入人工智能和机器学习技术以提高安全检测的自动化和智能化水平,帮助中小企业以较高效的方式发现潜在的安全威胁,提高检测的准确性,并通过构建智能安全监测系统,实现安全威胁的自动发现和预警。

6 结 语

中小企业应高度重视信息系统安全,加强信息系统安全建设,才能确保数字化转型的顺利推进。中小企业在加强信息系统安全建设时,首先应重点加强顶层设计,制定完善的信息系统安全策略和规划;其次运用先进的信息系统安全技术,提高信息系统的安全防护能力;最后结合中小企业人员特色,加强员工的信息系统安全意识培养,提高主动的安全防护能力。

打开网易新闻 查看更多图片

引用格式:林紫微, 杨超, 邱江, 等. 中小企业信息系统安全研究[J]. 信息安全与通信保密 ,2024(6):2-9.

作者简介 >>>

林紫微,男,硕士,中级工程师,主要研究方向为嵌入式系统设计、物联网、设备安全等;

杨 超,男,硕士,高级工程师,主要研究方向为工业互联网应用、数据智能、数据安全、工业大数据等;

邱 江,男,硕士,高级工程师,主要研究方向为数字硬件、通信技术、网络安全和新技术等;

刘 娇,男,硕士,中级工程师,主要研究方向为嵌入式系统设计、自动化、工业互联网安全等;

张佳佳,女,硕士,工程师,主要研究方向为中小企业政策、工业互联网安全、企业信息安全等。

选自《信息安全与通信保密》2024年第6期(为便于排版,已省去原文参考文献)