联想logo

中小企业数字化丨“专精特新”企业如何保护数据安全?

2023-03-24 10:12:58


        数据泄露可能导致25%的中小企业破产。

        近年来,国内外数据安全事故频发。大到Facebook泄露5.33亿用户隐私,推特超过540万的用户信息被黑客售卖,小到电商数据泄漏导致的用户骚扰,某公司程序员删库跑路等等。

        随着企业数字化转型迅速发展,数据泄漏事件的频率、规模和成本也在快速增长。根据Ponemon发布的报告,2022年,全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达435万美元。

        对于涉足 “卡脖子”问题的“专精特新”企业来说,数据更是其核心资产和命脉。一旦发生数据安全事故,就可能让企业面临重大风险。根据Zogby Analytics的报告,数据泄露可能导致25%的中小企业破产。

        如今,专精特新发展形势火热。在高速发展的产业生态中,帮助专精特新中小企业建立数据安全防护网刻不容缓。

        那么,该如何为中小企业数字化转型保驾护航,助其成长为“小巨人”?


01
中小企业
需要一个专业的“数据安全顾问”

 
        要回答这个问题,先得弄清楚中小企业在数据安全方面存在哪些痛点。

        首先,中小企业研发资金不足,很难搭建完备的数据安全体系。大型金融企业、互联网企业,会专门设立数据安全等部门组织,承担企业数据安全工作。而中小企业的数据安全建设大多处于起步阶段,在数据安全体系搭建上,如边界防御、访问控制、网络隔离、应用保护、入侵检测、病毒防御、数据防泄漏等等,缺少层层安全策略,层层的操作规则。

        同时,中小企业业务架构简洁,网络复杂性低。这就导致在面对恶意攻击时,中小企业的核心数据容易很快暴露。根据电信运营商Verizon发布的报告,对于中小企业,70%数据安全攻击事件,可以在3个攻击步骤内完成攻击。



        其次,数据安全人才不足,人才业务水平有待提高。

        36氪发布的《中国中小企业数字化转型研究报告(2022)》显示,中小企业的数字化相关人才平均占比仅为20%,只有15%的企业建立了数字化人才培养体系。在如此小的比例下,专职数据安全的人才又能有多少?很多时候是IT人员兼顾安全管理工作,但他们身兼多职,且普遍缺乏专业的安全知识,常常会出现安全误区。

        比如,某中小企业在意识到数据安全重要性后,专门采购了满足三级等保的云服务器。然而,使用过程中,员工却犯了低级错误:既没修改默认口令,也没有关闭特权账号远程登陆,最终,黑客轻而易举地就控制了服务器。

        这样的例子还有很多,究其原因是人才短缺。不过,对中小企业而言,就算资金到位,招聘也并非易事。因为,目前数据安全专业人员缺口百万级,比起大企业,中小企业的吸引力略有不足。这就导致不少中小企业处于“缺人”但“招不到人”的尴尬境地。

        第三,不同行业的企业需要差异化的数据安全解决方案。

        企业在数字化转型过程中,会形成数据资产。这些数据资产分为产品设计、产品配方、制作工艺、技术诀窍、财务数据、客户信息、用户行为特征数据、运营数据等等。

        不同行业企业对不同类别数据资产的偏重程度也有所区分。比如在金融行业,数据泄露主要包含客户个人资料和企业敏感数据。这就要求企业在维护数据安全时,着重摸清规模庞大的用户金融信息、个人隐私信息等。知识和技术密集型的科技企业,则是前期投入大、研发周期长,保护研发数据是重中之重等等。

        总的来说,企业应根据自身情况,确定适合自己的数据安全建设思路。尤其是对中小企业而言,在投入资源有限的情况下,比起自己盲目搭建一个事无巨细的数据安全保护框架,不如针对实际需求,精准发力,学会借力。

        怎么抓重点呢?



        一是寻求专业服务。因为数据安全领域专职人员培养难、成本高,中小企业可以寻求专业的数据安全顾问进行指导。二是 紧扣破坏数据安全的两个主要因素:被破坏、被非法访问,将力气花在数据备份和加密应用上。

        为此,联想从IT咨询为切入,从基础架构上,为中小企业量身定制适配发展速度的“敏态”解决方案,形成了涵盖数据存储、数据调用、个人隐私保护等方面的全套数据安全体系,囊括数据处理、企业云服务、个人云服务、智能设备制造四大领域,为企业用户与个人用户提供数据安全保障,也可成为中小企业的数据安全顾问。

        在当今时代,依靠个别产品或技术,单点作战的模式已经被淘汰,联想将数据安全技术、产品、解决方案融入其“端-边-云-网-智”新IT技术架构中,形成了平台化、系统化的数据安全解决方案,为中小企业数据安全保驾护航。


▲ 夯实数字化基础-IT咨询规则
量身定制解决方案

        那么在具体案例中,联想的数据安全解决方案又是如何发挥作用的?



02
趋动科技
找到安全性与生产力间的平衡点


        趋动科技成立于2019年,主要为用户提供AI加速器虚拟化和资源池化软件及解决方案。


        目前趋动科技已推出OrionX计算平台,使用户应用无需修改就能透明地共享和使用数据中心内任一服务器之上的AI加速器。




        但在数据安全上,和大多初创企业一样,趋动科技也遇到了难题。


第一个难题

        趋动科技原先使用AD域(Active Directory Domain)IT架构。虽然AD域是大型企业常用的内网管理方案,但其较为依赖IT人员的能力。只要攻击者获得了 DC(域控制器)的控制权限,即可宣告攻击成功,进而获得控制企业内网,窃取企业重要数据。

        特别是对办公场景高频使用的电子邮件来说,更是成为了安全隐患的敞口,网络钓鱼和恶意软件等网络安全威胁层出不穷。

第二个难题

        趋动科技的办公设备大部分都采用Windows客户端,计算机病毒直接威胁着终端设备上的公司数据安全。

        联想了解到趋动科技的需求后,协同战略级生态合作伙伴微软,通过M365企业级云原生安全服务,构建了云端企业信息安全解决方案。

        首先,将本地服务迁移到SharePoint Online服务,云端文件库实现文件随时访问及权限保护。

        其次,将用户身份与Azure AD 服务同步,增强企业用户身份验证和身份保护。

        最后,将企业传统的电子邮件安全网关升级到Exchange Online Protection,实现企业级电子邮件安全,并且实现防敏感泄露。




        从项目成果来看,通过企业级云原生安全服务解决方案,趋动科技保护了企业数据安全和重要核心资产,使得企业办公与业务经营更加安全高效。

        同时,云端解决方案足够灵活便捷,企业无需配置大量的第三方安全解决方案,即可进行数据加密和数据灾备,对新发现的漏洞或重大系统中断做出快速反应,防止数据泄露和数据中断,保证业务的连续性。

        综上,通过联想百应解决方案,趋动科技在数字化转型道路上找到了安全性与生产力之间的科学平衡点。



03
联想百应平台
做中小企业数据资产“守护神”

        其实说到维护企业数据安全,除了上述的云端解决方案,从小处着眼,储存在硬盘、电脑里的虚拟数据,也都是核心的生产要素。

        数据的丢失有“人祸”,比如清理硬盘时手太快,一瞬间数据全无了;更有“天灾”,比如电脑感染病毒,硬盘硬件老化、元件损坏。另外,就算千辛万苦找人恢复数据,但新的问题也接踵而至,数据是找回来了,会不会被泄露?

        基于此背景,作为中小企业一站式IT服务及解决方案提供商,联想百应特别推出 “数据无忧服务”,从软件-硬件-服务全方位实现企业的数据保护与高效修复,做中小企业数据资产的“守护神”。



        数据恢复方面,作为国内首家提供原厂数据拯救服务的设备制造商,联想的数据安全中心覆盖了数据备份、恢复、销毁等几乎全部技术方向。其数据恢复首次成功率达90%以上,总体恢复成功率达85%,远高于80%的行业平均水平,业务量连续8年冠绝全国。

        同时,客户也无需担心数据泄漏问题。首先,联想具备信息安全服务资质认证,服务全过程均依照国家保密局标准执行。服务完成后,还会使用具有国家保密局涉密资质认证的数据擦除工具对镜像盘进行销毁处理,规避数据碎片泄露的风险。其次,联想会为客户更换新的硬盘,原故障硬盘也仍归属客户,确保客户的数据安全自主可控。

        数据是金钱,时间也是金钱。“数据无忧服务”还承诺,客户在设备保修期内享有一诺闪修服务,保修期内原厂认证工程师将上门为客户提供第二自然日硬件故障问题维修服务(下午四点后报修顺延一日),并对一定条件下的超期修复赠送规定期限的延保服务。

        从维护企业数据安全就能看出,联想百应平台对中小企业在转型期间遇到的实际问题有求必应。随着我国越来越多的中小企业都走上了数字化转型之路,但碍于企业规模、发展方向、专业程度等限制,中小企业在转型期间不可避免地会遇到诸多困扰,期待降本增效。联想百应平台的出现正好满足了企业所需,全生命周期的全域IT服务将使IT变得更简单,也助力企业实现良性循环。