數字化轉型背景下中小企業安全防護策略研究

范淵，葉鵬

杭州安恒信息技術股份有限公司

As an important part of the digital economy and digital transformation,SMEs have continuously improved their position in the economic value chain.Therefore,how to ensure a higher quality and safety for the development of SMEs has become the key to enterprises' digital transformation.In response to the threats and problems,which from industrial data security,industrial Internet platform security,and industrial APP security,that traditional small and medium-sized enterprises generally face in the development process,this paper proposes a One-Stop Industrial Internet Security Service Platform for SMEs to realize cost reduction,efficiency increase,and digital transformation more effectively and safely.

（Enterprise digital transformation；Industrial Internet Security；Data security）

中小企業作為數字經濟和數字化轉型的重要組成部分，在經濟價值鏈中的地位不斷提升，如何保障中小企業更高質量和更安全的發展，已成為影響企業步入數字化轉型的關鍵問題。針對傳統中小企業在發展過程中普遍面臨的工業數據安全、工業互聯網平臺安全、工業APP 安全等威脅和問題，本論文提出一種面向中小企業的工業互聯網安全一站式服務平臺，助力中小企業高效、安全的實現降本增效和數字化轉型升級。

(企業數字化轉型；工業互聯網安全；數據安全)

0 引言

當今，中小企業作為最活躍的經濟體，是數字經濟的重要組成部分，在經濟價值鏈中的地位也不斷提升。據數據統計，我國中小企業數量已超過3000 萬，中小企業群體創造了50%以上的稅收，60%以上的GDP。作為支撐制造業高質量發展的主體，我國中小企業兩化融合程度卻處于較初級的發展階段。工業互聯網正是支撐中小企業開展數字化轉型的重要技術。作為新一代信息技術與制造業深度融合的產物，工業互聯網在行業資源匯聚及泛在鏈接、彈性供給和高效配置等方面優勢明顯，對于加速中小企業實現降本增效和數字化轉型升級具有實質性的助推作用。

然而，工業互聯網在中小企業側，普遍面臨發展建設難題。這背后的原因也比較復雜：

首先，工業互聯網應用先天就具有系統復雜性和技術高門檻的特點，作為新一代信息技術與制造業深度融合的產物，工業互聯的實踐需要融合多種技術才能保障其價值落地。其次，工業互聯網安全的實踐仍處于探索的初級階段，相關法律法規和技術手段尚不成熟，對于應用工業互聯網服務帶來的財務、生產工藝、客戶等核心數據的隱私和安全擔憂，削弱了企業應用平臺的主動性。

1 網絡安全是保障企業數字化轉型的基石

網絡攻擊往往伴隨較大的經濟損失，如付贖金的成本、可能丟失的數據的成本、持續的系統中斷、停工停產、違規罰款以及法律費用，這樣昂貴的成本足以讓中小企業破產。然而，即便網絡安全挑戰如此之大，但由于中小企業資源有限，致使中小企業缺乏充足的網絡安全專項資金；另一方面缺網絡安全專業人員的缺乏也使中小企業難以有效地實施網絡安全策略，在面臨網絡安全事件時往往毫無還手之力，因此發展與安全需要同步進行。

1.1 企業數字化轉型面臨的安全風險

中小企業在發展中受制于成本，且對數據安全的擔憂，增加企業數字化轉型步伐的困難程度。在企業快速發展步入數字化的同時，工業互聯網建設在廣度和深度上不斷拓展，打通了企業內外網，使得封閉專用、隱患未知的工業控制系統風險暴露面大幅擴展，進一步增加了工業互聯網面臨的網絡攻擊威脅的概率。病毒、木馬、持續性網絡攻擊等威脅到了工業互聯網業務安全。惟有夯實工業互聯網安全基礎防護，才能保障工業互聯網平臺價值效益的發揮。保障工業互聯網安全，提高網絡環境的安全性和穩定性，關系到廣大中小企業的信息資產安全，是保障企業數字化轉型的基石。

1.2 國內外針對中小企業的網絡安全政策

我國工業互聯網安全政策和標準日益完善，推動了工業互聯網安全產業的全面發展。工業信息安全主管部門和行業監管部門密集出臺了《工業互聯網企業網絡安全分類分級管理試點》、《“工業互聯網+安全生產”行動計劃（2021—2023 年）》等多項與工業互聯網安全相關的政策，指導工業互聯網安全保障工作的具體實施。除此之外，中央、國務院與相關主管部門陸續發布《關于促進中小企業健康發展的指導意見》、《促進中小企業發展規劃（2016-2020年）》等多項促進中小企業發展的重要政策，但是其中對于網絡安全鮮少著墨。反觀發達國家，這幾年陸續出臺了旨在提升中小企業網絡安全能力的法律法規和指導意見，提升企業應對網絡攻擊的能力，縮小中小企業與大企業在網絡安全保護方面的差距，如美國出臺了《小型企業數據安全保護法》、《小型企業網絡安全援助法案》、《小型企業網絡培訓法案》等法案等。

2 構建面向中小企業的工業互聯網安全一站式服務平臺

網絡安全意識以及管理、技術的缺失使得企業的風險門戶大開，在過去實踐過程中發現，盡管對于中小企業的攻擊難以像對大型企業的攻擊那樣給犯罪分子帶來豐厚的回報，但是由于其安全防護能力有限，網絡攻擊成本低、成功率高，常被網絡攻擊犯罪分子視為竊取大型企業數據的捷徑和開展針對大型企業攻擊的跳板。中小企業管理者渴望解決安全防護問題和安全服務問題，更希望問題消滅在萌芽中，未雨綢繆，而工業互聯網安全一站式服務平臺是一個很好的解決方案。

2.1 服務平臺概述

工業互聯網安全一站式服務平臺呼應工業互聯網的安全管理分類要求，從設備、控制、應用、網絡和數據五個維度出發，實現了安全防護規劃與部署、安全監測感知與分析、安全響應與處置恢復、生態交付等功能。該平臺以安全及服務（Security as a Service）形式的商業模式，為中小型企業安全建設提供良方。

2.2 服務平臺能力

工業互聯網安全服務平臺集成了豐富的工業互聯網場景安全能力，提供一站式的安全服務，是一個天然的工業互聯網安全能力資源池，可以覆蓋工業互聯網場景下聯網企業和平臺企業的安全建設需求，重點圍繞工業互聯網在數據、平臺、應用等場景進行安全產品部署，并且具備以下的特性。

（1）簡單方便的用戶體驗，用戶可以一鍵式開通、一鍵式部署，快速上線接入安全能力。

（2）以SaaS 化的安全產品為主，支持多租戶，具備低成本優勢。

平臺主要包含的安全服務包括：

主機防護服務：基于終端系統防護與加固、服務器網絡防護與加固等功能，具備領先的勒索專防專殺、網絡隔離與防護、補丁修復、外設管控、文件審計、違規外聯檢測與阻斷等服務。

工業數據安全服務：工業互聯網廠商研發并交付大量的工業應用軟件，以Web 和APP 為主，可以針對用戶在應用上的數據在上云前進行實時加密，保護用戶在云服務商上的隱私和敏感信息，避免信息被竊取泄露和違規獲取等安全事件的發生。

工業APP 防護服務：工業互聯網平臺廠商所對外運營的服務就是以在線的（SaaS 化）工業應用為主的。因此，對工業APP 采取安全防護、入侵防御、實時攻擊監測、安全可視的防護能力加持。

圖1 工業互聯網安全一站式服務平臺設計架構

漏洞掃描、安全檢測服務：提供工業資產云端漏洞掃描服務，快速發現資產漏洞風險,防止攻擊者通過漏洞竊取核心數據、破壞服務器等，幫助企業持續地發現暴露在互聯網邊界上的常見安全風險。

多云管理服務：提供基于混合云的多云管理服務，支持業界主流的公有云廠商和OpenStack、VMware 等私有云設施，以及物理服務器、虛擬機、網絡設備、存儲設備等，真正做到多云納管，混合式管理。

工業互聯網安全保險服務：金融+保險的服務理念，提供防勒索病毒攻擊保險、云上數據泄露保險、工業APP防護保險、應急響應保險、綜合服務保險的多種類型保險，實時賠付。

3 應用實踐

服務平臺可構建起完整的工業互聯網應用+安全生態。我們的戰略合作伙伴浙江布威信息技術有限公司是一家提供紡織行業數字化轉型服務的企業，布威信息利用工業互聯網思維及技術助力蘭溪這座著名的紡織之鄉的中心小企業實踐數字化轉型，再創蘭溪紡織企業核心與綜合競爭力。在實踐過程中，企業云安全、數據安全、設備接入安全的復雜安全問題接踵而至，阻礙了項目的推進。通過引導平臺企業使用工業互聯網安全一站式服務平臺，為行業工業互聯網平臺企業提供貫穿線上、線下的安全防護能力，解決中小企業和平臺企業在平臺安全、應用安全、數據安全、網絡安全的建設需求。平臺化、系統化、普惠化解決中小企業數字化改造中的安全問題，開放安全交付的生態，與工業互聯網平臺服務商互惠共贏。

圖2 紡織行業工業互聯網安全一站式防護、運營實踐

4 結語

工業互聯網安全一站式服務平臺縱向行業化、橫向區域化的發展與部署，將為越來越多的中小企業轉型升級提供安全服務，解決制造業高質量發展背景下中小企業“上平臺，用平臺”面臨的困難和挑戰，改善工業生產各個領域的安全現狀，并可以逐步排除現有的安全隱患，防止潛在風險發生，保障區域工業互聯平臺安全運營。最后也呼吁行業主管部門，引導研究機構、企業積極開展針對中小企業網絡安全的研究，加強制定面向中小企業的網絡安全指導性文件，在提升中小企業網絡安全能力的同時，推動中小企業網絡安全相關產業的發展。