数字化转型背景下中小企业安全防护策略研究

范渊，叶鹏

杭州安恒信息技术股份有限公司

As an important part of the digital economy and digital transformation,SMEs have continuously improved their position in the economic value chain.Therefore,how to ensure a higher quality and safety for the development of SMEs has become the key to enterprises' digital transformation.In response to the threats and problems,which from industrial data security,industrial Internet platform security,and industrial APP security,that traditional small and medium-sized enterprises generally face in the development process,this paper proposes a One-Stop Industrial Internet Security Service Platform for SMEs to realize cost reduction,efficiency increase,and digital transformation more effectively and safely.

（Enterprise digital transformation；Industrial Internet Security；Data security）

中小企业作为数字经济和数字化转型的重要组成部分，在经济价值链中的地位不断提升，如何保障中小企业更高质量和更安全的发展，已成为影响企业步入数字化转型的关键问题。针对传统中小企业在发展过程中普遍面临的工业数据安全、工业互联网平台安全、工业APP 安全等威胁和问题，本论文提出一种面向中小企业的工业互联网安全一站式服务平台，助力中小企业高效、安全的实现降本增效和数字化转型升级。

(企业数字化转型；工业互联网安全；数据安全)

0 引言

当今，中小企业作为最活跃的经济体，是数字经济的重要组成部分，在经济价值链中的地位也不断提升。据数据统计，我国中小企业数量已超过3000 万，中小企业群体创造了50%以上的税收，60%以上的GDP。作为支撑制造业高质量发展的主体，我国中小企业两化融合程度却处于较初级的发展阶段。工业互联网正是支撑中小企业开展数字化转型的重要技术。作为新一代信息技术与制造业深度融合的产物，工业互联网在行业资源汇聚及泛在链接、弹性供给和高效配置等方面优势明显，对于加速中小企业实现降本增效和数字化转型升级具有实质性的助推作用。

然而，工业互联网在中小企业侧，普遍面临发展建设难题。这背后的原因也比较复杂：

首先，工业互联网应用先天就具有系统复杂性和技术高门槛的特点，作为新一代信息技术与制造业深度融合的产物，工业互联的实践需要融合多种技术才能保障其价值落地。其次，工业互联网安全的实践仍处于探索的初级阶段，相关法律法规和技术手段尚不成熟，对于应用工业互联网服务带来的财务、生产工艺、客户等核心数据的隐私和安全担忧，削弱了企业应用平台的主动性。

1 网络安全是保障企业数字化转型的基石

网络攻击往往伴随较大的经济损失，如付赎金的成本、可能丢失的数据的成本、持续的系统中断、停工停产、违规罚款以及法律费用，这样昂贵的成本足以让中小企业破产。然而，即便网络安全挑战如此之大，但由于中小企业资源有限，致使中小企业缺乏充足的网络安全专项资金；另一方面缺网络安全专业人员的缺乏也使中小企业难以有效地实施网络安全策略，在面临网络安全事件时往往毫无还手之力，因此发展与安全需要同步进行。

1.1 企业数字化转型面临的安全风险

中小企业在发展中受制于成本，且对数据安全的担忧，增加企业数字化转型步伐的困难程度。在企业快速发展步入数字化的同时，工业互联网建设在广度和深度上不断拓展，打通了企业内外网，使得封闭专用、隐患未知的工业控制系统风险暴露面大幅扩展，进一步增加了工业互联网面临的网络攻击威胁的概率。病毒、木马、持续性网络攻击等威胁到了工业互联网业务安全。惟有夯实工业互联网安全基础防护，才能保障工业互联网平台价值效益的发挥。保障工业互联网安全，提高网络环境的安全性和稳定性，关系到广大中小企业的信息资产安全，是保障企业数字化转型的基石。

1.2 国内外针对中小企业的网络安全政策

我国工业互联网安全政策和标准日益完善，推动了工业互联网安全产业的全面发展。工业信息安全主管部门和行业监管部门密集出台了《工业互联网企业网络安全分类分级管理试点》、《“工业互联网+安全生产”行动计划（2021—2023 年）》等多项与工业互联网安全相关的政策，指导工业互联网安全保障工作的具体实施。除此之外，中央、国务院与相关主管部门陆续发布《关于促进中小企业健康发展的指导意见》、《促进中小企业发展规划（2016-2020年）》等多项促进中小企业发展的重要政策，但是其中对于网络安全鲜少着墨。反观发达国家，这几年陆续出台了旨在提升中小企业网络安全能力的法律法规和指导意见，提升企业应对网络攻击的能力，缩小中小企业与大企业在网络安全保护方面的差距，如美国出台了《小型企业数据安全保护法》、《小型企业网络安全援助法案》、《小型企业网络培训法案》等法案等。

2 构建面向中小企业的工业互联网安全一站式服务平台

网络安全意识以及管理、技术的缺失使得企业的风险门户大开，在过去实践过程中发现，尽管对于中小企业的攻击难以像对大型企业的攻击那样给犯罪分子带来丰厚的回报，但是由于其安全防护能力有限，网络攻击成本低、成功率高，常被网络攻击犯罪分子视为窃取大型企业数据的捷径和开展针对大型企业攻击的跳板。中小企业管理者渴望解决安全防护问题和安全服务问题，更希望问题消灭在萌芽中，未雨绸缪，而工业互联网安全一站式服务平台是一个很好的解决方案。

2.1 服务平台概述

工业互联网安全一站式服务平台呼应工业互联网的安全管理分类要求，从设备、控制、应用、网络和数据五个维度出发，实现了安全防护规划与部署、安全监测感知与分析、安全响应与处置恢复、生态交付等功能。该平台以安全及服务（Security as a Service）形式的商业模式，为中小型企业安全建设提供良方。

2.2 服务平台能力

工业互联网安全服务平台集成了丰富的工业互联网场景安全能力，提供一站式的安全服务，是一个天然的工业互联网安全能力资源池，可以覆盖工业互联网场景下联网企业和平台企业的安全建设需求，重点围绕工业互联网在数据、平台、应用等场景进行安全产品部署，并且具备以下的特性。

（1）简单方便的用户体验，用户可以一键式开通、一键式部署，快速上线接入安全能力。

（2）以SaaS 化的安全产品为主，支持多租户，具备低成本优势。

平台主要包含的安全服务包括：

主机防护服务：基于终端系统防护与加固、服务器网络防护与加固等功能，具备领先的勒索专防专杀、网络隔离与防护、补丁修复、外设管控、文件审计、违规外联检测与阻断等服务。

工业数据安全服务：工业互联网厂商研发并交付大量的工业应用软件，以Web 和APP 为主，可以针对用户在应用上的数据在上云前进行实时加密，保护用户在云服务商上的隐私和敏感信息，避免信息被窃取泄露和违规获取等安全事件的发生。

工业APP 防护服务：工业互联网平台厂商所对外运营的服务就是以在线的（SaaS 化）工业应用为主的。因此，对工业APP 采取安全防护、入侵防御、实时攻击监测、安全可视的防护能力加持。

图1 工业互联网安全一站式服务平台设计架构

漏洞扫描、安全检测服务：提供工业资产云端漏洞扫描服务，快速发现资产漏洞风险,防止攻击者通过漏洞窃取核心数据、破坏服务器等，帮助企业持续地发现暴露在互联网边界上的常见安全风险。

多云管理服务：提供基于混合云的多云管理服务，支持业界主流的公有云厂商和OpenStack、VMware 等私有云设施，以及物理服务器、虚拟机、网络设备、存储设备等，真正做到多云纳管，混合式管理。

工业互联网安全保险服务：金融+保险的服务理念，提供防勒索病毒攻击保险、云上数据泄露保险、工业APP防护保险、应急响应保险、综合服务保险的多种类型保险，实时赔付。

3 应用实践

服务平台可构建起完整的工业互联网应用+安全生态。我们的战略合作伙伴浙江布威信息技术有限公司是一家提供纺织行业数字化转型服务的企业，布威信息利用工业互联网思维及技术助力兰溪这座著名的纺织之乡的中心小企业实践数字化转型，再创兰溪纺织企业核心与综合竞争力。在实践过程中，企业云安全、数据安全、设备接入安全的复杂安全问题接踵而至，阻碍了项目的推进。通过引导平台企业使用工业互联网安全一站式服务平台，为行业工业互联网平台企业提供贯穿线上、线下的安全防护能力，解决中小企业和平台企业在平台安全、应用安全、数据安全、网络安全的建设需求。平台化、系统化、普惠化解决中小企业数字化改造中的安全问题，开放安全交付的生态，与工业互联网平台服务商互惠共赢。

图2 纺织行业工业互联网安全一站式防护、运营实践

4 结语

工业互联网安全一站式服务平台纵向行业化、横向区域化的发展与部署，将为越来越多的中小企业转型升级提供安全服务，解决制造业高质量发展背景下中小企业“上平台，用平台”面临的困难和挑战，改善工业生产各个领域的安全现状，并可以逐步排除现有的安全隐患，防止潜在风险发生，保障区域工业互联平台安全运营。最后也呼吁行业主管部门，引导研究机构、企业积极开展针对中小企业网络安全的研究，加强制定面向中小企业的网络安全指导性文件，在提升中小企业网络安全能力的同时，推动中小企业网络安全相关产业的发展。