中小企业的优势在于对业务模式甚至是一个好想法的快速应用，正是这种“唯快不破”的优势得以对抗体量超大并在市场上占有绝对领先地位的企业巨头。但如果它们不能提升自己的网络防御能力，则在寻求经济利益的恶意黑客或竞争对手的入侵方面，面临巨大的风险。

2014年以来，国家政府部门出台了很多针对民营企业、中小微企业的扶持政策，总理在今年两会上的政府工作报告更是强调了“互联网+”的计划。无疑这将极大的推动国内中小企业的繁荣发展。

既然是互联网+，就意味着这些企业的业务都将集中在互联网上，不管是应用开发、网络支付，还是云服务和BYOD（自带设备办公）。并且，加上中国无法想像的中小微企业的数量，一向被安全行业忽视的中小企业安全问题，正在形成并终将成为一个巨大的市场。

中小企业不仅需要防范传统的恶意黑客，还要时刻警惕竞争对手对员工数据、知识产权和公司机密这样的信息资产下手。此外，中小企业还应尽力避免成为网络犯罪者入侵大公司的跳板。

通过对去年的一些针对大公司的网络入侵进行回溯分析，人们发现供应链上的小企业是被黑客入侵的重灾区。2014年普华永道受英国政府委托做的一项研究报告发现，2013年87%的小企业曾被入侵过，较2012年上涨了10%。无论企业是大是小，都有保护自身数据资产的需要，并担负着相关的法律责任。现在很多小企业都受到上游公司的要求，提升自身的网络防御能力。

中小企业面临的困难很多，它既不具备高效的安全应急响应团队，还要面临很多竞争和多样化的需求，同时在寻找高性价比的降低风险的方法。传统意义上讲，中小企业依赖于统一的威胁管理解决方案，其往往是一种整合或者多点解决方案。比如状态防火墙、应用控制、入侵防护，以及高级恶意软件防御。这些方案过度复杂，对企业管理是一种挑战。因此，很多企业都想提升自身的网络安全能力，以进一步控制风险。

安全牛建议参考以下三个问题，以找到高性价比的风险控制方式：

1. 中小企业有时会受到和大企业一样的攻击类型，但却没有能力达到大公司的安全防御级别，怎么办？

如今的动态攻击可以规避即使是最好的时间点检测工具，比如经典的下一代防火墙、统一威胁管理（UTM）解决方案，以及那些缺乏情景感知功能的入侵防御系统（IPS）。尽管这些工具在监视流量的基本功能上很有效，一旦恶意攻击渗透进了网络体系，它们能监视到的网络活动就很少了。如果它们没办法对整个网络提供可视性，也就不能保护它。如果安全专家不能通过这些工具发现潜在的入侵威胁，也就不能在其造成巨大破坏之前快速遏制威胁。

中小企业并没有构建和管理非集成安全方案的人力资源。因此复杂式的解决方案并不实用。应该寻找那些易于管理的解决方案，要适合本公司的规模，在整个网络攻击过程之前、期间、之后对协议栈的多个层次进行保护，并提供充足的可见性。

2. 中小企业的IT部门只有有限的预算，如何把部署和运作安全系统的成本控制在可接受范围内？

一个可行的解决办法是将多种防御技术整合在同一个方案中，比如防火墙、代理服务器、入侵控制、应用可见性控制，甚至是高级恶意软件防护。提供智能控制和情景感知的方案可能进一步降低成本，举例而言，自动调整和检查相关性功能可能降低攻击预警的误报概率，节省员工的时间。情景感知功能则可以大幅度地减少消除恶意软件的耗时。

3. 网络安全技术的短缺对每个人都有影响，但对中型企业的影响可能会更大。我们没钱雇佣更多安全专家，如何利用现有资源解决问题？

应该寻找一些包括集中化管理模式的解决方案，其中包括越权控制机制和高级防御功能。对趋势和风险的统一视图将有利于进行监测和修复。

防御网络威胁不再是一个安全问题，而是一个董事会议题。中型企业和大型企业一样有着显著的信息安全需求。如果想要保持在经济复苏中的领先地位，中小企业应当重新认识自身的安全策略。这些企业依赖创新技术来推进业务发展，也需要一种新的网络安全策略来解决针对数字资产的威胁。