隨著網(wǎng)絡應用的普及，中小企業(yè)對網(wǎng)絡的依賴程度已經(jīng)越來越高。不僅基于網(wǎng)絡進行日常的業(yè)務經(jīng)營活動，還會通過網(wǎng)絡與合作伙伴進行協(xié)作。由于大型企業(yè)的企業(yè)總部承載著重要的核心業(yè)務，一直以來，管理者非常重視對企業(yè)總部信息資產(chǎn)的安全加固，選購大量的安全防護設備，將企業(yè)總部保護得如同銅墻鐵壁一般。而大企業(yè)的分支機構和中小企業(yè)又普遍處于怎樣的狀態(tài)呢？一個辦公室內的上網(wǎng)用戶往往只通過寬帶貓、無線路由就接入了互聯(lián)網(wǎng)，與外部進行數(shù)據(jù)通信，安全防護措施少之又少，可以說，基本上沒有采取恰當?shù)木W(wǎng)絡安全保護措施。

近期，國內網(wǎng)絡安全事件頻發(fā)，從支付寶的大面積訪問故障，到攜程網(wǎng)被黑，種種安全事件再次引發(fā)了人們對于網(wǎng)絡安全的憂慮。那么，網(wǎng)絡攻擊更喜歡針對大型企業(yè)嗎？其實不然。員工數(shù)量較少的中小企業(yè)更容易遭受網(wǎng)絡攻擊。相對于資源充裕與安全防護投入巨大的大型企業(yè)來說，中小企業(yè)的安全投入通常比較薄弱，這使得中小企業(yè)更易淪為網(wǎng)絡攻擊的受害者。

有調查資料表明，中小企業(yè)已經(jīng)超越政府部門和大型企業(yè)成為黑客攻擊的主要目標。針對中小企業(yè)的攻擊行為已占所有針對性攻擊總量的30%以上。很明顯，中小企業(yè)對于網(wǎng)絡安全的輕視是其被頻繁攻擊的主要原因。有些中小企業(yè)認為網(wǎng)絡攻擊并沒有什么影響，難以對其造成直接損失，所以寧愿將資源投入到銷售和營銷活動中。但在攻擊者眼中，中小企業(yè)的銀行賬戶、客戶數(shù)據(jù)和知識產(chǎn)權等信息都是非常具有價值和誘惑力的。

中小企業(yè)面臨的常見安全威脅

信息泄露

企業(yè)或組織內部的服務器上通常存放著經(jīng)營活動相關的重要信息資料。這些信息資料可能會遭到來自內部網(wǎng)絡或外部網(wǎng)絡的未經(jīng)授權的存取或修改行為，從而造成信息泄露，對持有信息資料的組織、企業(yè)或個人造成負面影響。

案例：

2014年5月13日晚，小米論壇用戶數(shù)據(jù)庫疑似泄露。據(jù)安全專家分析，此次事件涉及800萬使用小米手機、MIUI系統(tǒng)等小米產(chǎn)品的用戶。泄露數(shù)據(jù)包含大量用戶資料，可被用來訪問小米云服務并獲取更多的私密信息，甚至可以取得通訊錄、短信、照片、定位、鎖定手機及刪除信息等權限。

2014年12月25日，12306網(wǎng)站的子網(wǎng)站暴露了高危漏洞，造成131653條用戶信息被泄露。此次泄露的信息全部含有用戶的明文密碼，并在互聯(lián)網(wǎng)上被瘋傳販售。隨后，中國鐵路客戶服務中心迅速在其官方網(wǎng)站發(fā)布公告確認了用戶信息泄露事件。

高級持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊

高級持續(xù)性威脅攻擊是一種針對特定組織的多方位攻擊行為。攻擊者往往以超過目標防護能力并具有復雜和多樣性的手段，針對單一企業(yè)或組織進行長期、持續(xù)的定制化攻擊。APT攻擊的目標通常是高價值的企業(yè)、政府機構，其目的是竊取商業(yè)機密，破壞競爭。任何規(guī)模的企業(yè)組織，只要員工可以訪問網(wǎng)站，使用電子郵件，傳輸文件等，就有可能受到APT攻擊。APT攻擊的典型案例有火焰病毒、震網(wǎng)病毒，以及暴雷漏洞等。來自Verizon的報告顯示，2014年全球有接近8萬家企業(yè)受到過APT攻擊，其中有2122家企業(yè)公開確認信息被竊取，蒙受了巨大的財產(chǎn)和品牌損失。

案例：

2013 年 12 月底，一起針對國內政府機構的APT攻擊被成功捕獲。當時攻擊者向國內政府機構的辦公人員發(fā)送釣魚郵件，企圖利用 WPS2012/2013 版本的零日漏洞侵入政府辦公人員的電腦。攻擊者將郵件主題寫為“2014 年中國經(jīng)濟形勢解析高層報告組委會”，如果政府工作人員用 WPS 打開附件文檔，電腦就會被病毒感染。

拒絕服務及分布式拒絕服務（DoS/DDoS）攻擊

拒絕服務（DoS）攻擊是一種簡單有效并且具有很大危害性的攻擊方法，可以消耗網(wǎng)絡帶寬和系統(tǒng)資源，使系統(tǒng)的正常服務陷入癱瘓狀態(tài)，從而拒絕正常用戶的訪問請求。而分布式拒絕服務（DDoS）攻擊是基于DoS攻擊的一種特殊攻擊形式。攻擊者通常會組織多臺受控制的主機一起向目標主機發(fā)起大規(guī)模的DoS攻擊，占用或耗光目標主機的資源或服務，降低系統(tǒng)的可用性，導致正常用戶無法使用系統(tǒng)所提供的服務。

案例：

2014年1月23日，阿里巴巴的來往服務器連續(xù)遭受了兩波DDoS攻擊，部分用戶短時間內出現(xiàn)訪問速度變慢甚至無法連接的問題。

2014年11月28日，CSDN網(wǎng)站因遭受網(wǎng)絡攻擊導致用戶無法正常登錄或訪問。經(jīng)排查，此次攻擊屬于DDoS攻擊，攻擊流量曾一度達到50G以上。

惡意程序

惡意程序通常是指具有攻擊意圖的一段程序。惡意程序可以分成兩種類別：需要宿主程序的惡意程序和可獨立運行的惡意程序。前者是不能獨立于某個實際的應用程序或系統(tǒng)程序的程序片段；后者是可以被操作系統(tǒng)調度和運行的獨立程序。惡意程序的典型代表包括計算機病毒、蠕蟲、木馬、間諜程序以及廣告程序等。其造成的影響包括破壞系統(tǒng)正常運作、修改或破壞系統(tǒng)文件、復制或刪除文件、使系統(tǒng)宕機、竄改文檔資料、監(jiān)控主機活動等。

案例：

2015年6月，根據(jù)賽迪網(wǎng)報道，近期在互聯(lián)網(wǎng)上出現(xiàn)了被稱為Grabit的針對企業(yè)的最新網(wǎng)絡間諜攻擊行動。攻擊造成大量中小型企業(yè)約10,000份文件被盜，這些企業(yè)主要位于泰國、印度和美國。受攻擊的行業(yè)包括化工行業(yè)、納米技術行業(yè)、教育業(yè)、農(nóng)業(yè)、媒體以及建筑業(yè)等。其他受影響的國家還包括阿拉伯聯(lián)合酋長國、德國、以色列、加拿大、法國、奧地利、斯里蘭卡、智利和比利時。攻擊者使用Hawkeye Products公司出品的一款商業(yè)間諜工具——HawkEye鍵盤記錄器和一個包含大量遠程管理工具（RAT）的配置模塊控制受害者。Grabit的攻擊規(guī)模較大，僅需命令和控制服務器中的一個鍵盤記錄器，攻擊者就可以從4928臺不同的內部和外部主機中竊取2887個密碼、1053封電子郵件和3023個用戶名信息，包括Outlook、Facebook、Skype、Google mail、Pinterest、Yahoo、LinkedIn和Twitter等服務以及銀行賬戶和其他賬號。

社交工程攻擊

社交工程攻擊一般會通過交談、欺騙、假冒或口語用字等方式，使用戶疏于防范，掉入陷阱，暴露用戶系統(tǒng)的秘密。對于企業(yè)級用戶來說，攻擊者會直接從核心員工那里套取機密信息，如用戶名密碼、商業(yè)戰(zhàn)略和研發(fā)機密等。網(wǎng)絡釣魚和電信詐騙是最常見的社交工程攻擊形式。如今，網(wǎng)絡釣魚不再是簡簡單單地發(fā)送釣魚郵件，還可以通過惡意的網(wǎng)絡廣告、即時通訊軟件、社交網(wǎng)站等渠道進行。電信詐騙也不再限于話費欠費等內容的垃圾短信，那些盜取即時通信工具賬號，假冒他人身份，針對企業(yè)法人和財務人員的詐騙犯罪也在呈高發(fā)態(tài)勢。

案例：

據(jù)河北省公安廳透露，2014年以來，一個詐騙犯罪團伙將目標轉向了各企事業(yè)單位法定代表人和財務人員。犯罪嫌疑人通過搜索財務人員QQ群，以“會計資格考試大綱文件”等為誘餌發(fā)送木馬病毒，盜取財務人員使用的QQ號碼，并分析出財務人員主管的QQ號碼，再冒充公司主管向財務人員發(fā)送轉賬匯款指令。2014年6月3日，河北一家公司會計接到假冒財務總監(jiān)的QQ信息，要求其往一個銀行賬戶匯款118萬元。在沒有仔細分辨的情況下，該會計于當日將款項匯入該賬戶。匯款完畢，會計電話回復領導才發(fā)現(xiàn)，財務總監(jiān)根本沒有發(fā)出任何指令。

入侵Web網(wǎng)站

針對Web網(wǎng)站的入侵行為包括在Web頁面內植入惡意程序、癱瘓網(wǎng)站使其無法正常運作、篡改網(wǎng)站主頁，或者將網(wǎng)站首頁重定向至特定頁面等。這些行為背后不乏惡意競爭和故意破壞等因素。有調查資料表明，在被入侵的Web網(wǎng)站中，中小型企業(yè)官網(wǎng)占了40.7%，已近半數(shù)之多。除此之外，地方社區(qū)網(wǎng)站、科技媒體網(wǎng)站、高校官網(wǎng)、事業(yè)單位網(wǎng)站分別占了總量的24.4%、10.6%、7.3%、4.9%，其他類型網(wǎng)站共占12.1%。

案例：

一個號稱來自阿爾巴尼亞的黑客組織“Barbaros-DZ”從2012年7月份開始，不斷對中國政府網(wǎng)站進行攻擊，到2013年1月份已經(jīng)有接近4000個中國政府網(wǎng)站被其入侵，并被篡改了主頁。遭遇Barbaros-DZ攻擊的網(wǎng)站首頁被直接篡改，部分網(wǎng)站還被獲取了后臺權限，攻擊者利用后臺功能在網(wǎng)站中添加了一些挑釁的記錄。

賬號盜用

賬號盜用指攻擊者通過如惡意程序、社交工程、網(wǎng)站系統(tǒng)漏洞等方式，取得目標對象的帳號密碼。

案例：

2012年7月，溫州某眼鏡企業(yè)的郵箱賬號被盜，導致客戶信息與來往信件全部被黑客截獲。黑客趁機注冊“釣魚郵箱”，告知海外客戶收款方式變更，導致該眼鏡企業(yè)損失了13萬美元的貨款。

為中小企業(yè)構建全面的安全防護體系

面對上述種種安全威脅，中小企業(yè)如何采取安全防護對策呢？網(wǎng)絡安全防護不單單是在安全產(chǎn)品和技術方面需要考量的事情，而應當從安全產(chǎn)品、安全管理和人員培訓等多方面綜合構建全面的安全防護體系。

選擇適合的網(wǎng)絡安全產(chǎn)品

由于資源有限，中小企業(yè)在選購安全產(chǎn)品時往往更加關注產(chǎn)品的性價比，既有多樣化的安全需求和產(chǎn)品性能要求，同時又對價格敏感。由此，首先應當從分析中小企業(yè)的網(wǎng)絡環(huán)境、業(yè)務類型入手，確定安全防護需求，進而選取恰當?shù)陌踩a(chǎn)品。

與大型企業(yè)相比，中小企業(yè)的網(wǎng)絡拓撲通常比較簡單，主要是局域網(wǎng)與外網(wǎng)連接，部分用戶開始有智能移動終端的無線接入需求，并且已經(jīng)或正準備部署信息管理系統(tǒng)，如 ERP 、CRM 、SCM等。雖然網(wǎng)絡拓撲和業(yè)務類型相對簡單，但是中小企業(yè)對病毒防護、漏洞管理、資產(chǎn)管理、行為審計等網(wǎng)絡安全管理功能需求較為全面。

要滿足此類需求，企業(yè)通常需要部署一整套由硬件防火墻、入侵防御、網(wǎng)絡審計、防病毒等組件構成的網(wǎng)絡安全解決方案。利用架設在網(wǎng)絡出口位置的安全產(chǎn)品，在安全威脅闖入內部網(wǎng)絡之前就將其攔截住，這是更加有效的方法。傳統(tǒng)的機架式硬件防火墻產(chǎn)品融合了眾多安全功能，性能優(yōu)異。但此類產(chǎn)品不但價格昂貴，在管理維護上還會對帶寬較低、網(wǎng)絡結構相對簡單的中小型企業(yè)辦公系統(tǒng)帶來較大負擔。

對于中小企業(yè)來說，選擇一款功能全面、易于部署和管理的統(tǒng)一安全網(wǎng)關產(chǎn)品，不但可以在第一時間內對各類流量進行掃描過濾，同時也可以大大減輕網(wǎng)絡內部服務器和主機的負荷。目前，針對中小企業(yè)量身定做的桌面型統(tǒng)一安全網(wǎng)關已經(jīng)成為一個最佳選擇。主流的網(wǎng)絡安全廠商也在紛紛推出這種類型的安全產(chǎn)品。比如，東軟網(wǎng)絡安全最新發(fā)布的一款擁有自主知識產(chǎn)權的桌面型統(tǒng)一安全網(wǎng)關產(chǎn)品——NISG5K-SG600，可以廣泛適用于企業(yè)辦公室、醫(yī)院、藥房、零售網(wǎng)點、生產(chǎn)廠房、倉庫、金融/教育/政府部門的分支機構等網(wǎng)絡環(huán)境。該款產(chǎn)品具備有線、無線（WiFi和3G/4G接入）統(tǒng)一的安全防護能力，融合了防火墻、VPN、應用控制、入侵防御系統(tǒng)、防病毒、防垃圾郵件等安全功能，可用于防止信息泄露，對已知及未知威脅的入侵攻擊進行有效防御，實施基于應用的訪問控制和上網(wǎng)行為管理，為中小企業(yè)業(yè)務的正常進行和使用提供可信的安全保障。

建立完善的網(wǎng)絡安全管理制度，有效實施日常安全管理活動

一般情況下，大型企業(yè)相對于中小企業(yè)具有更加完善的安全體系架構和更健全的組織結構，在網(wǎng)絡安全管理方面做的比較完善。而中小企業(yè)人力資源緊張，職責重疊交叉，網(wǎng)絡安全管理制度不健全的現(xiàn)象普遍存在，日常安全管理的隨意性較大，極易出現(xiàn)責權不明、管理混亂等問題。

只有建立完善、可操作性強的安全管理制度，才能預防可能出現(xiàn)的安全問題，確保在出現(xiàn)問題時能及時進行處理，封堵已經(jīng)出現(xiàn)的漏洞，從而確保今后類似問題不再重復出現(xiàn)。在制定安全管理制度時，需要明確網(wǎng)絡安全管理人員在工作中所承擔的職責，在設備管理上要責任到人，實行誰主管、誰負責的原則。在系統(tǒng)使用上，必須明確操作人員的權限，不可賦予網(wǎng)絡安全管理人員工作需要以外的額外權限，合理劃分各部門安全職責，確定配置人員角色。正確執(zhí)行這些措施，可以在很大程度上降低安全管理出現(xiàn)紕漏的概率。

對于網(wǎng)絡安全產(chǎn)品的日常管理來說，考慮到中小企業(yè)用戶在網(wǎng)絡知識，特別是網(wǎng)絡安全知識上的不足，產(chǎn)品的可維護性和易用性需要盡量做到簡便高效。以東軟桌面型統(tǒng)一安全網(wǎng)關NISG5K-SG600舉例，它的配置向導功能提供了簡單易用的配置邏輯，可以輔助用戶快速配置常用的網(wǎng)絡和安全功能，即便僅具有基本網(wǎng)絡知識的用戶也能夠快速上手。此外，在日常使用的過程中，可以通過直觀的Dashboard，對系統(tǒng)進行實時監(jiān)控，動態(tài)過濾出重要的系統(tǒng)信息。

組織和落實網(wǎng)絡安全培訓，深化全員網(wǎng)絡安全意識和安全防護技能

網(wǎng)絡安全意識淡薄是網(wǎng)絡安全事件多發(fā)的關鍵因素之一。缺乏安全防護意識，輕信網(wǎng)上虛假信息、輕率打開不明郵件、隨意訪問不良網(wǎng)站、設置過于簡單的登錄密碼等做法，常常會引發(fā)信息泄露、惡意程序攻擊、網(wǎng)絡詐騙等安全問題，嚴重侵害中小企業(yè)的信息資產(chǎn)安全。

網(wǎng)絡安全“三分靠技術，七分靠管理”，安全管理是企業(yè)網(wǎng)絡安全的核心，而安全管理的重點歸根結底則是人的管理，應當把深化中小企業(yè)用戶的網(wǎng)絡安全意識放在重要地位。普及網(wǎng)絡安全基礎知識，提升用戶的網(wǎng)絡安全技能是維護網(wǎng)絡安全的第一道防線。為此，需要對中小企業(yè)用戶進行定期的網(wǎng)絡安全技能培訓，改善整體操作水平和業(yè)務素質。隨著用戶安全維護能力的提高，網(wǎng)絡的安全性也將隨之提高。

目前，中小企業(yè)已占國內企業(yè)總數(shù)的99%以上，創(chuàng)造了中國國內生產(chǎn)總值的60%以上份額。隨著越來越多的中小企業(yè)投身網(wǎng)絡化，面臨的安全威脅也在持續(xù)加大。因此，對于網(wǎng)絡安全問題和隱患，中小企業(yè)的管理者需要引起足夠重視。長遠來看，只有運用綜合手段，從安全產(chǎn)品、安全管理和人員培訓等多方面去構建安全防護體系，才能真正保護好中小企業(yè)重要的信息資產(chǎn)和網(wǎng)絡安全。