孫舒揚(yáng) 劉玉琢

摘 ? 要：中小企業(yè)作為數(shù)字經(jīng)濟(jì)中數(shù)量最龐大、創(chuàng)新最活躍的市場(chǎng)主體，在全球價(jià)值鏈、供應(yīng)鏈中正扮演著越來(lái)越重要的角色。然而由于意識(shí)缺失、資源有限等多種原因，中小企業(yè)網(wǎng)絡(luò)安全防護(hù)普遍不足，面臨網(wǎng)絡(luò)安全事件時(shí)往往毫無(wú)還手之力，嚴(yán)重影響了中小企業(yè)的高質(zhì)量發(fā)展。西方多國(guó)已開(kāi)始認(rèn)識(shí)到中小企業(yè)網(wǎng)絡(luò)安全保護(hù)的重要性，通過(guò)完善法律、加強(qiáng)指導(dǎo)以及建立認(rèn)證體系等方式提升中小企業(yè)網(wǎng)絡(luò)安全保障能力。我國(guó)應(yīng)充分借鑒西方國(guó)家有益經(jīng)驗(yàn)，進(jìn)一步提升中小企業(yè)網(wǎng)絡(luò)安全保護(hù)意識(shí)，構(gòu)建分級(jí)分類(lèi)的網(wǎng)絡(luò)安全保護(hù)體系，不斷加強(qiáng)針對(duì)中小企業(yè)的網(wǎng)絡(luò)安全服務(wù)。

關(guān)鍵詞：中小企業(yè);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全保護(hù)

中圖分類(lèi)號(hào)：TP393 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： As the largest and most innovative market entity in the digital economy， SMEs are playing an increasingly important role in global value chains and supply chains. However， due to various reasons such as lack of consciousness and limited resources， cybersecurity protection of SMEs is generally insufficient. When facing cybersecurity incidents， they often have no power to fight back， seriously affecting the high-quality development of SMEs. Many western countries have begun to recognize the importance of cybersecurity protection for SMEs， and strengthen the network security capabilities of small and medium-sized enterprises by improving laws， strengthening guidance， and establishing certification systems. China should make full use of the beneficial experience of Western countries， further enhance the awareness of cybersecurity protection of SMEs， build a hierarchically classified cybersecurity protection system， and continuously strengthen cybersecurity services for small and medium-sized enterprises.

Key words： SMEs; cyber security; cyber security protection

1 引言

中小企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的生力軍，貢獻(xiàn)了全國(guó)50%以上的稅收，60%以上的GDP，70%以上的技術(shù)創(chuàng)新成果和80%以上的勞動(dòng)力就業(yè)，是建設(shè)現(xiàn)代化經(jīng)濟(jì)、推動(dòng)經(jīng)濟(jì)實(shí)現(xiàn)高質(zhì)量發(fā)展的重要基礎(chǔ)。2018年10月24日，習(xí)近平總書(shū)記在考察廣州明珞汽車(chē)裝備有限公司時(shí)曾指出，中小企業(yè)在國(guó)內(nèi)經(jīng)濟(jì)發(fā)展中，起著不可替代的重要作用。因此，推動(dòng)中小企業(yè)健康發(fā)展，對(duì)建設(shè)現(xiàn)代化經(jīng)濟(jì)體系，提高全要素生產(chǎn)率，增強(qiáng)我國(guó)經(jīng)濟(jì)創(chuàng)新力和競(jìng)爭(zhēng)力具有重大意義。隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展，作為數(shù)量最龐大的市場(chǎng)主體，中小企業(yè)也逐漸踏入了數(shù)字化進(jìn)程，從使用簡(jiǎn)單的孤立解決方案轉(zhuǎn)變?yōu)閾肀Ц嗷ミB的系統(tǒng)，有效地推動(dòng)了行業(yè)發(fā)展。然而由于意識(shí)缺失、資源有限等多種原因，中小企業(yè)網(wǎng)絡(luò)安全防護(hù)能力普遍不足，面臨網(wǎng)絡(luò)安全事件時(shí)往往難以有效應(yīng)對(duì)，嚴(yán)重影響了中小企業(yè)的高質(zhì)量發(fā)展。本文分析了當(dāng)前中小企業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，梳理了國(guó)外政府提升中小企業(yè)網(wǎng)絡(luò)安全保護(hù)水平的主要措施，并提出了針對(duì)我國(guó)相關(guān)問(wèn)題的意見(jiàn)和建議。

2 中小企業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)

隨著互聯(lián)網(wǎng)與產(chǎn)業(yè)融合的深入，中小企業(yè)業(yè)務(wù)的開(kāi)展越來(lái)越依賴(lài)于信息技術(shù)與網(wǎng)絡(luò)技術(shù)，但是由于網(wǎng)絡(luò)安全意識(shí)淡薄，企業(yè)價(jià)值持續(xù)提升，安全事件應(yīng)對(duì)能力缺失，其所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)也不斷增大。

2.1 網(wǎng)絡(luò)安全保護(hù)意識(shí)淡薄

中小企業(yè)通常忽略了成為網(wǎng)絡(luò)犯罪分子攻擊目標(biāo)的可能性。網(wǎng)絡(luò)安全公司Keeper Security與Ponemon Institute在其2018年中小型企業(yè)網(wǎng)絡(luò)安全形勢(shì)報(bào)告中指出，一些中小企業(yè)認(rèn)為其組織太小，不會(huì)成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。而在小型企業(yè)保險(xiǎn)專(zhuān)業(yè)公司InsuranceBee的調(diào)查中，超過(guò)一半的企業(yè)認(rèn)為其業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊的可能性不大，甚至有6%認(rèn)為永遠(yuǎn)不會(huì)發(fā)生。但是事實(shí)上，由于安全基礎(chǔ)設(shè)施和安全實(shí)踐均不夠成熟，越來(lái)越多的攻擊開(kāi)始瞄準(zhǔn)中小企業(yè)。2019年，Senseon公司發(fā)布的《中小企業(yè)網(wǎng)絡(luò)態(tài)勢(shì)報(bào)告》中指出，隨著互聯(lián)網(wǎng)和云計(jì)算的引用，中小企業(yè)受攻擊的界面越來(lái)越大。根據(jù)Hiscox公司調(diào)查數(shù)據(jù)顯示，2019年有47%的小型企業(yè)（1-49人）和63%的中型企業(yè)（50-249人）遭遇網(wǎng)絡(luò)事件，分別比2018年增加了14%和27%。此外，由于中小企業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)淡薄，與大型企業(yè)所面臨的網(wǎng)絡(luò)安全威脅也存在區(qū)別。例如，賽門(mén)鐵克公司2019年互聯(lián)網(wǎng)安全威脅報(bào)告顯示，與在大型組織工作的人員相比，較小組織的員工更容易受到垃圾郵件、網(wǎng)絡(luò)釣魚(yú)和電子郵件惡意軟件等電子郵件威脅的攻擊。Keeper Security與Ponemon Institute的報(bào)告顯示，2018年中小企業(yè)因員工和承包商疏忽而造成的數(shù)據(jù)泄露事件占比達(dá)60%。

2.2 企業(yè)價(jià)值不斷提升

中小企業(yè)作為最活躍的經(jīng)濟(jì)體，是數(shù)字經(jīng)濟(jì)的重要組成部分，在全球經(jīng)濟(jì)價(jià)值鏈中的地位也不斷提升。如今，依靠眾多中小企業(yè)來(lái)支持核心業(yè)務(wù)功能已成為大型企業(yè)的常態(tài)，大量中小企業(yè)為大型企業(yè)提供專(zhuān)業(yè)服務(wù)，是大型企業(yè)供應(yīng)鏈上無(wú)法忽視的一環(huán)，訪(fǎng)問(wèn)大型企業(yè)數(shù)據(jù)及其內(nèi)部系統(tǒng)的情況也很常見(jiàn)，這種互聯(lián)性進(jìn)一步增大了中小企業(yè)遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。盡管對(duì)于中小企業(yè)的攻擊難以像對(duì)大型企業(yè)的攻擊那樣給犯罪分子帶來(lái)豐厚的回報(bào)，但是由于其安全防護(hù)能力有限，網(wǎng)絡(luò)攻擊成本低、成功率高，常被網(wǎng)絡(luò)攻擊犯罪分子視為竊取大型企業(yè)數(shù)據(jù)的捷徑和開(kāi)展針對(duì)大型企業(yè)的攻擊的跳板。例如2018年7月，加拿大一家為汽車(chē)制造商和供應(yīng)商生產(chǎn)自動(dòng)化程序的工程服務(wù)供應(yīng)商Level One Robotics and Controls因未設(shè)置有效地用戶(hù)訪(fǎng)問(wèn)權(quán)限，導(dǎo)致近4.7萬(wàn)份工廠(chǎng)文件泄露，內(nèi)容包括產(chǎn)品設(shè)計(jì)原理圖、裝配線(xiàn)原理圖、工廠(chǎng)平面圖、采購(gòu)合同等敏感信息，影響遍及特斯拉、豐田、大眾、福特、通用等多家知名大型車(chē)企。

2.3 網(wǎng)絡(luò)安全事件應(yīng)對(duì)能力不足

網(wǎng)絡(luò)攻擊往往帶來(lái)重大的經(jīng)濟(jì)損失，如付贖金的成本、可能丟失的數(shù)據(jù)的成本、持續(xù)的系統(tǒng)中斷、停機(jī)時(shí)間、違規(guī)罰款以及法律費(fèi)用等。思科公司的《2018安全能力基準(zhǔn)研究》指出，約54%的網(wǎng)絡(luò)攻擊造成經(jīng)濟(jì)損失超過(guò)50萬(wàn)美元，IBM和Ponemon Institute的2019數(shù)據(jù)泄露成本報(bào)告指出全球數(shù)據(jù)泄露成本平均達(dá)到392萬(wàn)美元，這樣昂貴的成本足以讓中小企業(yè)永久關(guān)停。而由于中小企業(yè)資源有限，網(wǎng)絡(luò)安全往往并不被認(rèn)為是其關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)，Barclaycard公司最新調(diào)查數(shù)據(jù)顯示，僅有20%的中小企業(yè)將網(wǎng)絡(luò)安全問(wèn)題放在優(yōu)先地位。因此，中小企業(yè)一方面缺乏網(wǎng)絡(luò)安全專(zhuān)項(xiàng)資金。瞻博網(wǎng)絡(luò)研究2018年的一項(xiàng)研究指出，小型企業(yè)每年在消費(fèi)級(jí)網(wǎng)絡(luò)安全產(chǎn)品上花費(fèi)的平均數(shù)量?jī)H為500美元。InsuranceBee調(diào)查顯示，83%的中小企業(yè)缺乏應(yīng)對(duì)網(wǎng)絡(luò)安全事件的資金儲(chǔ)備。另一方面缺乏網(wǎng)絡(luò)安全專(zhuān)業(yè)人員，小型企業(yè)網(wǎng)絡(luò)安全專(zhuān)業(yè)公司Continuum報(bào)告指出，62%中小企業(yè)缺乏網(wǎng)絡(luò)安全相關(guān)技能，僅41%有網(wǎng)絡(luò)安全專(zhuān)家。缺乏預(yù)算和專(zhuān)業(yè)知識(shí)使中小企業(yè)難以有效地實(shí)施網(wǎng)絡(luò)安全策略，在遭遇網(wǎng)絡(luò)安全事件后往往難以應(yīng)對(duì)。

3 西方國(guó)家保障中小企業(yè)網(wǎng)絡(luò)安全的主要舉措

西方多國(guó)已逐漸開(kāi)始意識(shí)到中小企業(yè)網(wǎng)絡(luò)安全保護(hù)的重要性，主要通過(guò)健全法律制度、強(qiáng)化安全指導(dǎo)和明確認(rèn)證體系等方式持續(xù)強(qiáng)化中小企業(yè)網(wǎng)絡(luò)安全防護(hù)能力，進(jìn)而提升國(guó)家網(wǎng)絡(luò)安全保障水平。

3.1 健全法律制度

美國(guó)政府長(zhǎng)期以來(lái)高度重視中小企業(yè)網(wǎng)絡(luò)安全問(wèn)題，參、眾兩院議員提出大量推動(dòng)中小企業(yè)網(wǎng)絡(luò)安全保護(hù)的法案，從法律層面明確加強(qiáng)中小企業(yè)網(wǎng)絡(luò)安全保護(hù)的要求。2018年8月，美國(guó)總統(tǒng)特朗普簽署《小型企業(yè)數(shù)據(jù)安全保護(hù)法》，提出依托美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定的標(biāo)準(zhǔn)和技術(shù)優(yōu)勢(shì)提升小型企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力，要求聯(lián)邦標(biāo)準(zhǔn)與技術(shù)研究院為小企業(yè)免費(fèi)提供網(wǎng)絡(luò)安全防御標(biāo)準(zhǔn)和工具，保護(hù)小型企業(yè)免受網(wǎng)絡(luò)攻擊，縮小中小企業(yè)與大企業(yè)在網(wǎng)絡(luò)安全保護(hù)方面的差距。2019年參、眾兩院持續(xù)提出多項(xiàng)加強(qiáng)中小企業(yè)網(wǎng)絡(luò)安全的法案，如《小型企業(yè)網(wǎng)絡(luò)安全援助法案》要求小型企業(yè)發(fā)展中心為小型企業(yè)提供網(wǎng)絡(luò)安全援助，《小型企業(yè)網(wǎng)絡(luò)培訓(xùn)法案》要求小型企業(yè)發(fā)展中心的員工提升網(wǎng)絡(luò)安全專(zhuān)業(yè)水平，以指導(dǎo)企業(yè)進(jìn)行網(wǎng)絡(luò)安全。除對(duì)政府部門(mén)提出要求外，美國(guó)政府也要求中小企業(yè)采取安全措施，如2017年發(fā)布的《小型企業(yè)促進(jìn)網(wǎng)絡(luò)安全增強(qiáng)法案》（草案），要求小型企業(yè)建立網(wǎng)絡(luò)安全部門(mén)，開(kāi)展威脅信息共享。

3.2 強(qiáng)化安全指導(dǎo)

除在法律中明確網(wǎng)絡(luò)安全防護(hù)要求外，多國(guó)政府與相關(guān)機(jī)構(gòu)制定大量針對(duì)中小企業(yè)網(wǎng)絡(luò)安全的指南，如歐盟2017年出臺(tái)《中小企業(yè)個(gè)人數(shù)據(jù)處理安全指南》、澳大利亞2017年發(fā)布《小型企業(yè)網(wǎng)絡(luò)安全最佳實(shí)踐指南》、加拿大2019年制定《中小型組織基線(xiàn)網(wǎng)絡(luò)安全控制》、日本2019年提出《中小企業(yè)信息安全指南》等，均為本國(guó)中小企業(yè)開(kāi)展網(wǎng)絡(luò)安全規(guī)劃，制定網(wǎng)絡(luò)安全策略，提升網(wǎng)絡(luò)安全水平提供了具有針對(duì)性的指引。此外，部分國(guó)家還提供網(wǎng)絡(luò)安全規(guī)劃工具等其他方式指導(dǎo)，如美國(guó)聯(lián)邦通信委員會(huì)開(kāi)發(fā)的Small Biz Cyber Planner 2.0系統(tǒng)，企業(yè)可選擇所需安全模塊，在線(xiàn)制定個(gè)性化的網(wǎng)絡(luò)安全規(guī)劃。

3.3 明確認(rèn)證體系

盡管多國(guó)已經(jīng)制定了適應(yīng)中小企業(yè)熱點(diǎn)的網(wǎng)絡(luò)安全指南，但是限于資源和力量不足，中小型企業(yè)往往無(wú)法建立全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃，也難以向其客戶(hù)證明自身網(wǎng)絡(luò)安全保障水平。為此，部分國(guó)家提出通過(guò)構(gòu)建網(wǎng)絡(luò)安全認(rèn)證體系為企業(yè)提供網(wǎng)絡(luò)安全保障水平證明。如加拿大在2019年8月公布面向中小企業(yè)的自愿性認(rèn)證CyberSecure Canada，經(jīng)認(rèn)證機(jī)構(gòu)的審核證明符合基線(xiàn)網(wǎng)絡(luò)安全控制要求的中小型企業(yè)，將被授予為期兩年的認(rèn)證，有權(quán)使用加拿大聯(lián)邦政府認(rèn)可的網(wǎng)絡(luò)安全標(biāo)志，企業(yè)可以此為證據(jù)向客戶(hù)證明其符合基本網(wǎng)絡(luò)安全實(shí)踐要求。歐盟在《通用數(shù)據(jù)保護(hù)條例》《網(wǎng)絡(luò)安全法》等重要法案中提出了創(chuàng)立歐盟統(tǒng)一的網(wǎng)絡(luò)安全認(rèn)證框架。中小企業(yè)可根據(jù)網(wǎng)絡(luò)安全認(rèn)證的要求有針對(duì)性地完善其安全保障措施，利用有限的成本達(dá)到最佳效果。

4 對(duì)我國(guó)的啟示

中小企業(yè)作為我國(guó)數(shù)字經(jīng)濟(jì)中數(shù)量最龐大、創(chuàng)新最活躍的市場(chǎng)主體，其網(wǎng)絡(luò)安全問(wèn)題直接影響了我國(guó)經(jīng)濟(jì)的健康發(fā)展，本章結(jié)合西方國(guó)家保障中小企業(yè)網(wǎng)絡(luò)安全的主要舉措，提出對(duì)我國(guó)的幾項(xiàng)意見(jiàn)和建議。

4.1 提升中小企業(yè)網(wǎng)絡(luò)安全保護(hù)意識(shí)

近年來(lái)，中央高度關(guān)注中小企業(yè)發(fā)展，習(xí)近平總書(shū)記與其他中央領(lǐng)導(dǎo)均對(duì)于中小企業(yè)的發(fā)展作出了重要指示。中央、國(guó)務(wù)院與相關(guān)主管部門(mén)陸續(xù)發(fā)布《中小企業(yè)促進(jìn)法》《關(guān)于促進(jìn)中小企業(yè)健康發(fā)展的指導(dǎo)意見(jiàn)》《促進(jìn)中小企業(yè)發(fā)展規(guī)劃（2016-2020年）》等多項(xiàng)促進(jìn)中小企業(yè)發(fā)展的重要政策，但是其中對(duì)于網(wǎng)絡(luò)安全鮮少著墨，中小企業(yè)網(wǎng)絡(luò)安全問(wèn)題尚未提升到國(guó)家戰(zhàn)略層面，中小企業(yè)網(wǎng)絡(luò)安全問(wèn)題的關(guān)注程度仍需持續(xù)提升。

4.2 建立分級(jí)分類(lèi)的網(wǎng)絡(luò)安全保護(hù)體系

中小企業(yè)面臨的網(wǎng)絡(luò)安全威脅和需開(kāi)展的網(wǎng)絡(luò)安全防護(hù)活動(dòng)與大型企業(yè)存在區(qū)別，現(xiàn)有的網(wǎng)絡(luò)安全保護(hù)政策措施與最佳實(shí)踐對(duì)于中小企業(yè)并非完全適用，可能難以達(dá)到預(yù)期目標(biāo)。我國(guó)目前實(shí)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是按照網(wǎng)絡(luò)重要程度與可能造成危害程度劃分等級(jí)，提出相應(yīng)級(jí)別的網(wǎng)絡(luò)安全防護(hù)要求，尚未針對(duì)不同規(guī)模企業(yè)的網(wǎng)絡(luò)安全防護(hù)開(kāi)展專(zhuān)門(mén)指導(dǎo)。行業(yè)主管部門(mén)應(yīng)充分考慮中小企業(yè)網(wǎng)絡(luò)安全保護(hù)中切實(shí)存在的問(wèn)題和需求，有針對(duì)性的提出區(qū)別于大型企業(yè)的網(wǎng)絡(luò)安全保障措施，構(gòu)建分級(jí)分類(lèi)的網(wǎng)絡(luò)安全保障體系。

4.3 加強(qiáng)針對(duì)中小企業(yè)的網(wǎng)絡(luò)安全服務(wù)

缺乏資金、能力不足等是目前中小企業(yè)開(kāi)展網(wǎng)絡(luò)安全保障能力建設(shè)的重要障礙。除制定面向中小企業(yè)的網(wǎng)絡(luò)安全指導(dǎo)性文件外，行業(yè)主管部門(mén)還需引導(dǎo)研究機(jī)構(gòu)、企業(yè)積極開(kāi)展針對(duì)中小企業(yè)網(wǎng)絡(luò)安全的研究，為中小企業(yè)提供種類(lèi)豐富、更有針對(duì)性的網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)，在提升中小企業(yè)網(wǎng)絡(luò)安全能力的同時(shí)，推動(dòng)中小企業(yè)網(wǎng)絡(luò)安全相關(guān)產(chǎn)業(yè)的發(fā)展。

5 結(jié)束語(yǔ)

當(dāng)前，我國(guó)中小企業(yè)正處于數(shù)字化轉(zhuǎn)型發(fā)展的關(guān)鍵時(shí)期，與西方發(fā)達(dá)國(guó)家中小企業(yè)數(shù)字化程度仍存在較大差距，宜充分借鑒西方國(guó)家經(jīng)驗(yàn)做法，加強(qiáng)我國(guó)中小企業(yè)網(wǎng)絡(luò)安全保護(hù)工作前瞻性研究，強(qiáng)化網(wǎng)絡(luò)安全管理，保障我國(guó)中小企業(yè)數(shù)字化健康轉(zhuǎn)型。

參考文獻(xiàn)

[1] 杜向文.中小企業(yè)的網(wǎng)絡(luò)安全[J].計(jì)算機(jī)安全，2006（8）：47-50.

[2] 郭蘭坤.淺談中小企業(yè)網(wǎng)絡(luò)安全問(wèn)題[J].中小企業(yè)管理與科技（下旬刊），2013（2）：213-214.

[3] 何昊坤，李璐.ICT供應(yīng)鏈安全管理風(fēng)險(xiǎn)識(shí)別研究[J].網(wǎng)絡(luò)空間安全，2019（4）：37-42.

[4] 劉洋.中小企業(yè)網(wǎng)絡(luò)安全問(wèn)題及其解決方案[D].南昌大學(xué)， 2016.

[5] 獨(dú)立行政法人情報(bào)処理推進(jìn)機(jī)構(gòu).中小企業(yè)の情報(bào)セキュリティ対策ガイドライン[EB/OL]. （2019-09-02）.https：//www.ipa.go.jp/files/000055520.pdf

[6] Australian Small Business and Family Enterprise Ombudsman. Cyber Security： The Small Business Best Practice Guide[EB/OL]. （2017）. https：//www.asbfeo.gov.au/sites/default/files/documents/ASBFEO-cyber-security-research-report.pdf.

[6] Canadian Centre for Cyber Security. Baseline Cyber Security Controls for Small and Medium Organizations[EB/OL]. （2019）. https：//cyber.gc.ca/sites/default/files/publications/Baseline Cyber Security Controls%20 for Small and Medium Organizations.pdf.

[7] National Cyber Security Centre. Small Business Guide： Cyber Security[EB/OL]. （2017）. https：//www.ncsc.gov.uk/files/cyber_security_small_business_guide_1.3..pdf.