中小企业网络和数据安全 “十五问’
中小企业网络和数据安全“十五问” 编制单位:国家工业信息安全发展研究中心监测应急所 一、政策要求 1.中小企业需要重点关注哪些网络和数据安全要求? 中小企业作为网络运营者和数据处理者,需要按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规要求,落实网络和数据安全主体责任。此外,还应重点关注中小企业相关的政策文件要求。 2025 年 3 月 13 日,工业和信息化部、中央宣传部、中央网信办等 15 部门办公厅(秘书局、办公室、综合司)联合印发《关于促进中小企业提升合规意识加强合规管理的指导意见》(工信厅联企业〔2025〕14 号),将“网络和数据安全合规”作为促进中小企业加强合规管理的重点领域之一,明确提出“引导中小企业遵守网络安全、数据安全等方面法律法规,加强信息系统、网络、数据的安全防护和安全意识教育”。 2024 年 12 月 13 日,工业和信息化部、财政部、中国人民银行、金融监管总局四部门联合印发《中小企业数字化赋能专项行动方案(2025—2027 年)》(工信部联企业〔2024〕239 号),提出了七大重点任务。其中,围绕任务七“提高数字化转型公共服务能力”,强调要 “全面增强中小企业数据与网络安全防护能力。引导中小企业建立健全网络和数据安全管理制度,促进态势感知、工业防火墙、入侵检测系统等安全产品部署应用。支持中小企业开展网络和数据安全演练,提升中小企业网络风险防御和处置能力。” 2024 年 9 月 9 日,工业和信息化部办公厅发布《中小企业数字化水平评测指标(2024 年版)》(工信厅企业〔2024〕56 号),相关评测结果将作为“专精特新中小企业认定标准”中“数字化水平”指标的评价依据。从指标维度来看,二级指标“信息安全”下设“网络安全”和“数据安全”2 个采集项,主要围绕建立网络和数据安全管理制度、使用网络与数据安全产品及服务、自行或委托专业机构实施风险评估、建立网络边界安全访问控制能力及建立数据台账等方面评测企业安全保障水平。 加强网络和数据安全防护是中小企业落实国家政策文件、加强合规管理的必然要求,是持续健康发展的重要基础,也是申请专精特新中小企业、评估试点企业改造成效、评价数字化转型试点城市绩效等工作需考虑的关键因素。企业可重点围绕网络和数据安全管理制度建设、防护体系建设、安全风险诊断、安全应急演练等方面开展安全工作,提升安全防御与处置能力。 二、常见误区 2.网络攻击只会瞄准大型企业,不会针对中小企业吗? 并非如此。多份研究报告显示,中小企业是网络攻击的重要目标。2024 年,美国 IT 公司 ConnectWise 统计数据表明,约有 94%的中小企业自成立以来至少经历过一次网络攻击。芬兰安全公司 WithSecure 发现,2024年第二季度勒索软件攻击受害者中,中小企业占比高达 62%。 从攻击难度看,中小企业可能存在较多的漏洞和薄弱环节,如系统配置错误、未受保护的数据库、不安全的应用程序等,这些漏洞容易被攻击者利用。 从攻击收益看,中小企业数量巨大,攻击者利用人工智能技术生成钓鱼邮件、恶意软件等攻击工具,采用勒索软件即服务(RaaS)等攻击模式,即可低成本实现大范围攻击,勒索赎金等总体收益更高。 从攻击代价看,攻击电力、石化等大型企业恐引发重大事件,造成恶劣后果,引起执法部门及媒体的关注,进而遭到严厉打击和惩处,因此攻击者倾向于将目标转向中小企业。 3.中小企业被网络攻击了也无所谓吗? 中小企业被网络攻击可能导致严重后果,主要包括以下 3 个方面: 一是经济与财务损失。微软 2024 年统计发现,中小企业遭攻击平均损失为 25.5 万美元,最高的损失达 700 万美元。美国国家网络安全联盟曾经发布研究报告指出,有 60%的中小企业在遭受网络攻击后的 6 个月内破产。 二是法律与合规惩处。湖南某信息技术公司未履行网络安全、数据安全保护义务,造成部分信息多次泄露,该公司、主管人员和直接责任人员分别被处以 20 万元、3 万元和 2 万元的行政处罚。 三是声誉与信任危机。中小企业遭攻击易引发下游大客户流失与品牌贬值,可能导致融资难度增加、影响股价等。据英国网络安全公司 Comparitech 调研,上市企业发生网络安全事件后,6 个月内股票表现比纳斯达克指数低 3.2%。 4.中小企业买了防火墙就万事大吉吗? 显然不是,主要原因如下。 一是防火墙安全防护功能有限。防火墙作为网络间的隔离屏障,通过预定义的安全策略来监控网络流量,保护内部网络免遭外部威胁的侵害,在防护体系中发挥重要作用。然而,防火墙对企业内部异常操作、新型网络攻击、主机病毒感染等无能为力。 二是配置不当将减弱防护作用。在实际应用中,须根据企业具体网络环境及最新网络攻击威胁特征制定防火墙的安全策略及规则,若未能及时更新威胁特征库或不慎开放了高风险端口,不仅会导致无法有效阻挡攻击,还可能影响企业正常业务开展,给攻击者提供可乘之机。 三是部分场景可能绕过防火墙保护。攻击者借助设备远程运维等机会,或采用零日漏洞攻击、社会工程学攻击等手段,都将绕过防火墙的防护屏障。此外,企业改用 5G、混合云等新型组网方式后,若不及时增设防火墙,新的网络通路将成为潜在攻击路径。 因此,中小企业需要结合自身网络架构和业务实际 需要,应用多种网络安全产品及工具构建安全防御体系。 5.生产系统都部署在工业企业内网,所以没有安全风险吗? 并不是这样。生产系统虽部署在企业内网,但可能因内部管理漏洞、新型组网结构、供应链后门、临时跨网互联等,致使建立外网通路或引入病毒,引发安全风险。 内部管理漏洞方面:如由于工作人员网络安全意识薄弱,将生产现场主机连接私人 U 盘、移动电话等外部媒介,或通过移动电话热点打通内网生产系统与公共互联网链路,导致外部威胁渗透至生产网络。 新型组网结构方面:5G、无线网络、工业互联网等新技术应用使设备系统间的互联互通更加便利,也使生产系统网络拓扑结构更加复杂,若隔离防护策略未同步升级,生产系统可能通过新型组网方式直接或间接连通外部网络。 供应链安全方面:设备系统出厂时可能携带病毒或后门程序,若未在进场前进行全面的安全检测校验,病毒等安全威胁将快速在生产网络蔓延,攻击者可能通过后门程序等直接访问生产系统,引入巨大风险隐患。 临时跨网互联方面:企业设备远程维护、生产数据跨网协同采集等业务场景,都会打破生产系统原本封闭的网络隔离边界,攻击者可能乘机侵入生产网络。 6.中小企业系统漏洞不打补丁也能用吗? 及时打补丁非常必要。 存在漏洞的系统设备虽然看似能够“正常”使用,但实际上“带洞运行”将导致系统安全威胁大幅升级、系统可靠性显著下降。攻击者可利用这些漏洞入侵系统,引发未授权访问、数据泄露、恶意软件感染或其他安全事件,甚至导致系统崩溃、业务中断等严重后果。 补丁是系统开发者或产品制造商针对已知漏洞所发布的修复程序。安装补丁可以有效修复系统漏洞,减少被攻击的风险。 因此,中小企业应及时下载和安装官方发布的补丁,密切关注国家级漏洞库预警信息。若因停机成本高、维 护窗口有限等原因暂时无法安装补丁,则应通过网络阻断、配置加固等方式,尽可能缓解漏洞风险。 7.中小企业应该先做好数字化转型,再考虑网络和数据安全吗? 不是。数字化转型与网络和数据安全不应被视为先后关系,而应是相互融合、协同发展的整体,严格遵循 “同步规划、同步建设、同步使用”的“三同步”原则,将网络和数据安全贯穿于数字化转型的全过程。主要原因如下。 一方面,安全事件随时可能发生。近年来,网络攻击形势日益严峻,中小企业的网络和数据安全防护不能等,也等不起。网络安全事件带来的经济损失可能远高于安全能力建设所需成本。 另一方面,再改造成本高、难度大。如果在完成初步的数字化系统搭建后,才发现系统存在安全风险或缺陷,此时需要重新评估和修改系统架构,不仅增加了技术难度,还可能导致业务中断。 三、推荐做法 8.想要建设适合中小企业的安全防护体系,需要关注哪些方面? 中小企业在构建网络和数据安全防护体系时,需兼顾管理制度与能力建设两方面。 管理制度方面,企业应确立一套清晰的安全管理规章制度,界定安全责任人与责任部门,确立安全管理标准与操作流程,涵盖资产管理、数据分类分级、访问权限控制、事件应急响应等关键环节,确保所有安全工作 “有据可依、有章可循”。同时,通过定期培训与实战化演练,不断提升全体员工的安全意识和技术能力。 能力建设方面,企业应遵循“先易后难、重点突破、分步推进”的原则,选择与自身数字化转型相匹配的网 络和数据安全技术方案,稳步推动企业安全能力建设。首要任务是确立网络安全防护目标,优化网络拓扑架构,做好分区分域管理。其次,需加强对重要系统的保护,部署适当的网络和数据安全产品,对网络关键节点实施威胁检测、代码审查等,及时发现并修补安全漏洞和薄弱环节,进行针对性的安全加固。此外,企业还需完善态势感知和应急响应能力,一体化提升安全运营水平。 9.中小企业安全预算有限,怎么花小钱办大事? 中小企业应该结合自身数字化转型程度,为网络和数据安全预留相应的资金保障,通过突出重点、分级防范、技管结合等方式,实现资金效益最大化。 一是明确重点保护对象。根据承载业务的重要性、规模,以及发生安全事件的危害程度等因素,厘清自身重要系统和设备,将安全预算优先用于可有效提升整体安全水平、防范关键安全威胁的领域。 二是做好安全设计规划。结合数字化转型工作,同步设计规划网络安全能力建设方案,设定清晰、可量化的预期目标,如降低安全事件发生率、增强重要系统韧性等,并详细规划实施步骤,确保资金利用的高效性。 三是选择“小快轻准”安全产品及服务。适当选择更具性价比的网络和数据安全公共服务、专业机构远程支援等,重点考虑监测探针、应急工具箱等小型化、快速化、轻量化、精准化的安全产品,有效提升防护规范化和自动化水平。 10.中小企业怎么才能知道现有防护水平够不够? 中小企业可开展自我诊断或委托第三方机构进行专业诊断,具体步骤如下。 一是明确防护基线。结合国家法律法规、行业标准,以及与中小企业数字化水平评测等相关的政策文件,确定符合自身业务需求的网络和数据安全防护基本要求。 二是梳理自身资产。系统识别服务器、终端、业务系统、数据库、客户信息、交易记录等关键资产,评估资产的重要程度,为网络和数据安全诊断做好准备。 三是开展风险排查。结合漏洞扫描、渗透测试、安全配置审计等技术手段,对照基线要求厘清网络和数据安全的现状,发现潜在的安全薄弱环节,并生成详细的风险清单。 四是处置安全风险。依据风险清单的优先级,逐步修复安全隐患,处置系统漏洞,优化安全配置,进一步筑牢企业安全防线。 11.中小企业收到风险通报后怎么处理? 风险通报通常涵盖系统名称、风险概述、应对措施等信息。 中小企业应以风险通报为指引,系统排查相关系统和设备的运行状态。重点按照通报中提供的处置建议,尽快着手更新漏洞补丁、升级组件版本,关闭非必要的服务端口,强化权限管理及身份验证机制,并且结合实际需求新增部署安全产品或强化现有防护设备的配置策略。 此外,企业还需对相关系统日志、网间行为、威胁告警等开展全面安全审计,深入分析企业是否存在网络入侵或恶意代码植入的历史痕迹,采取针对性的研判与处置措施,确保彻底根除风险隐患。 若在实施风险处置过程中遭遇难题,中小企业可积极寻求专业安全机构的支持与帮助。一旦风险得到有效处置,企业应及时将整改情况反馈至地方中小企业主管部门,实现处置工作闭环。 12.中小企业的应急预案怎么制定? 网络和数据安全事件应急预案是应对各类安全事件的总体方案,对于指导中小企业有效处置并消减安全事件影响至关重要。 预案编制前,企业应充分收集与预案编制工作紧密相关的法律法规、技术标准、行业规范等有关资料,筛选出对预案编写具有实际参考价值的信息。同时,还应结合前期安全诊断报告,提前预估在应急资源和处置能力方面可能存在的不足,为在预案中针对性地制定应对措施奠定基础。 预案编制过程中,应注重与地方预案、行业预案等上级预案的衔接,确保企业的应急预案有助于形成上下 联动、协同作战的应急管理体系。此外,建议邀请应急管理专家参与预案编制工作,通过反复论证和修改完善,提升预案的规范性和可操作性。 预案编制完成后,应按照应急预案定期组织开展应急演练,检验应急预案的合理性,发现预案中存在的问题和不足,并及时进行修订,以更好地应对可能发生的安全事件。 典型的应急预案包括总则、组织机构与职责、监测与预警、应急处置(事件报告、应急响应、应急结束)、调查与评估、预防工作、保障措施等部分。 13.中小企业遭受网络攻击以后应该怎么办? 中小企业遭受网络攻击以后,可参考以下步骤开展应急处置工作。 一是初步响应。立即启动应急预案,断网、隔离受感染设备,进行镜像备份,抑制事件扩散并留存证据。快速启动备份系统,确保核心业务不中断。 二是清除病毒。深入分析攻击类型、受影响对象等,检测网络流量,提取病毒特征,根除受感染系统的恶意 病毒,确保清除过程不会损坏其他重要数据或系统组件,同时记录清除过程中的所有操作,以便后续审计。 三是恢复业务。修补被攻击利用的系统漏洞,利用前期备份逐步复原受影响的系统和数据,优先恢复关键业务功能,尽快实现所有业务的稳定运营。 四是安全加固。确保所有系统都安装了最新补丁,防范已知漏洞被攻击者利用。加强安全措施,如多因素认证、部署监测探针、定期备份等,避免类似事件再度发生。 五是事件总结。系统梳理安全事件的全过程,调查事件原因,评估事件影响等,形成总结报告并上报主管部门。有条件的企业可进一步开展追踪溯源和调查取证工作。 应急处置工作高度依赖处置人员的技术能力和专家经验,技术门槛较高。为有效提升现场应急处置效率,建议中小企业使用应急处置自动化工具辅助开展相关工作。 14.中小企业懂网络和数据安全的人太少了怎么办? 建议中小企业通过以下方式提升员工网络和数据安全意识与技能。 一是寻求专业机构帮助。中小企业可以与国家级、省市级网络和数据安全领域专业机构联系,依托其专业知识和技术资源,寻求安全咨询、暴露面监测、安全漏洞识别、风险诊断、应急演练、应急响应等专业化安全服务,有效发现和解决安全问题。同时,中小企业可密切关注相关主管部门、专业机构等建设运营的安全服务平台,了解国内外最新安全政策标准、安全漏洞、风险事件等情报,提高安全意识,强化风险防范。 二是开展在职安全培训。中小企业可以结合自身安 全需求,围绕日常工作中面临的安全难题、存在的典型安全风险等,邀请安全专家为员工开展针对性安全培训,帮助员工增强解决实际问题的能力。同时,也可以参加专业机构、安全企业等提供的安全培训项目,详细了解网络和数据安全基础知识,包括安全防护、分类分级、漏洞管理、演练实施、预案编制、典型事件处置等。 15.中小企业需要重点关注人工智能技术带来的哪些网络和数据安全挑战与机遇? 近年来,人工智能技术加速应用推广,赋能中小企业数字化转型走深向实,网络和数据安全挑战与机遇并存。 安全挑战方面:在人工智能赋能中小企业开展研发设计、生产制造、质量检测等工作过程中,需警惕人工智能模型安全漏洞、算法框架逻辑缺陷等脆弱性带来的安全风险,防范由于模型认知局限和幻觉干扰企业的正常业务决策。此外,中小企业在应用人工智能模型中,可能因防护措施薄弱遭受模型逆向等网络攻击,导致敏感信息泄露或智能设备运营异常,影响企业生产运行。 发展机遇方面:人工智能技术能够快速处理海量安全数据,挖掘潜在安全威胁和异常行为,大幅提升海量数据分析处理速度和准确率。通过应用人工智能技术驱动用户行为分析、威胁检测等传统安全工具升级,可助力实时监测网络流量和用户行为,快速发现异常并触发警报,加速事件响应和修复效率。中小企业可选用轻量化的智能安全助手,自动更新和维护安全策略,减轻人工维护工作量,提升企业网络和数据安全保障能力,护航企业数字化转型。