疫情时期初创企业安全生存指南

胡立

2020年初，疫情突然降临，全球原本的发展节奏被打乱，众多创业公司更是危机重重。截至5月初，国内的疫情已得到有效控制，然而，国外的抗疫行动正面临严峻挑战。置身全球化进程的今天，国内企业如何规避后疫情时期带来的不利影响，依然是个难题。

对创业公司来说，确保充足现金流成为渡过难关的首要条件。头部创业公司估值暴跌，融资受挫哀声连连；而中下游创业公司，或将面临更棘手的资问题。

但是我们换个角度来看，“大疫之后必有大变，大变之后也会孕育新的机会”。现在，创业公司似乎撑过了至暗时刻，所有人都在等待触底反弹。低谷时期也不能懈怠，需要调整心态、打磨产品，做好迎接一切机会的准备。

后疫情时期要寻求稳定甚至是增長，业务的稳定运营就必须要保证安全，而事实证明：当今一切的数字化，都离不开安全。

创业公司正在等待寒冬渐去

根据中欧商业评论2020年2月5日发布的《清华、北大联合调研995家中小企业》报告显示：“34 %的企业账上现金只能维持1个月，33.1 %的企业可以维持2个月，17.91 %的企业可以维持3个月”。就是说，85.01 %的企业最多能维持3个月，仅有不到10 %的企业现金能维持6个月以上。

再看融资方面，据鲸准研究院发布的《2019年股权投资白皮书》显示，即使是在疫情发生前的2019年，创投市场总交易数量已经降至少于4 000起，降幅达到61.9 %。那些把希望寄托于融资的创业公司，现在更是雪上加霜。

收入暴跌，融资遇阻，这让许多还未开始盈利的创业公司走到了商业的终点。

后疫情时期，创业公司如何精益增长

这次疫情提醒我们，在未来黑天鹅可能是常态，让公司具备应对黑天鹅事件的能力，也是实现增长条件之一。

其中有2个要点，对创业公司来说格外重要。

1.反脆弱

风险管理理论学者纳西姆·塔勒布在他的著作《反脆弱》里提到，世间万物都可以用三元结构来概括———脆弱态、强韧态和反脆弱态。

脆弱态好比一个玻璃球，很坚硬，但是从高处摔落时很容易就摔碎了；强韧态像是塑料皮球，看起来柔软但是掉到地上丝毫无损、可以平稳落地；而反脆弱态就像乒乓球，落地不仅不会受到损伤还可以弹得更高。

所以脆弱态真正的反面不是强韧态，而是反脆弱态。强韧态是抵御风险的能力，而反脆弱态能够从危机和风险中获利。

2.二八定律

意大利经济学家帕累托提出，约有20 %的变因操纵着80 %的局面。也就是说：所有变量中，最重要的仅有20 %，虽然剩余的80 %占了多数，控制的范围却远低于“关键的少数”。

在企业管理中，这个定律依然适用。企业20 %的投入，决定了80 %的营收。

以上这2点，都与安全相关。安全，帮助企业打好反脆弱态的地基；安全是20 %投入里的一笔，却影响了80 %的营收。

创业公司为什么要做安全建设

1.防损

很简单，也很直接。安全问题一旦发生会给创业公司直接带来巨大损失，非业务本身方向问题导致创业公司夭折，令人惋惜。

试想，创业公司艰难克服了从种子期到早期的各种困难，产品在不断迭代与尝试下终于找到了真正的市场匹配，开始迎来高速发展的成长期。如果在这时暴露出重大安全问题，将会打乱整个发展节奏，甚至影响资本的进入。

因全球疫情原因，飞速增长的视频会议软件Zoom就因安全问题被爆出，引发了全网的信任危机。2019年12月- 2020年1月初，Zoom的股价还维持在60 ～70美元，3月以来高点达到160美元，在一连串产品安全问题爆出之后，股价回落到了120美元。

可以看出，市场的预期并不会对Zoom的优势地位进行偏袒，用户也不会因为产品好用，就放弃对安全的追求。

安全性，再一次被证明是企业发展的要素。

2.增长

孵化了100多家创业公司的商界传奇Bill Gross曾在TED中演讲到：创业成功的重要因素之一是抓住时机。

他拿Airbnb举例，最初很多聪明的投资者都没有投资，因为大家觉得：“没有人会把自己家租给陌生人”。当然，事实证明这种想法是错的，Airbnb恰恰创立于经济周期中的“经济萧条”时，人们非常需要额外收入，这时人们对钱的渴望，超过他们不想把房子租给陌生人的想法。一个好的商业模式、一个好想法、超棒的执行力外加重要的时机，成功变成了自然而然的事。

而业务的稳定和安全，是创业公司抓住时机快速增长的必要条件。快速增长期，用户可不愿为体验不好的产品买单。

3.合规

我国在2017年6月1日起开始正式实施《中华人民共和国网络安全法》，这意味着安全意识薄弱不再成为网站被黑的理由，网络运营者需要担起网络安全的责任，创业公司也不例外。其中比较重要的几点是：

①企业应对网络运行安全负责

企业应按等保要求来保障网络运行安全，要有相应的制度与规程，要有主体负责人，要有技术防范措施，要有监管手段，并做好容灾措施。

②企业应为网络产品提供持续安全服务

企业在做网络产品研发时，需先考量自身是否存在漏洞，并且要对这种安全性做持续观察，以及在用户端有持续的安全体现。

③企业网络用户需实行实名认证

实行网络用户实名认证是落实网络不是法外之地的重要措施，企业应负有这一责任，而将其作为法规写入《网络安全法》形成规定也是一种必要之举。

④企业应对用户信息做好严格保密

网站的用户个人信息泄露一直是网络欺诈犯罪治理环节上的顽疾。对于企业而言，此处相应的法律责任也更重，这就需要为线上服务部署提供最佳的安全防护才行。

除此之外，等级保护2.0的正式实施也让各行业有了安全建设的规范标准。

不同阶段的创业公司，需要什么样的安全措施

初创

关键点：保障业务顺利上线

创业公司在早期，目标就是尽可能久地活下来。为了找到市场机会，产品会快速迭代，不断探索调整业务方向，这也意味着在创业公司业务快速发展的同时，运维策略和研发过程都可能不太规范。

为了保障业务顺利上线，这几点安全工作是必须要做的：

①为网站、APP和小程序等业务系统安装数字证书（SSL证书）

SSL证书是数字证书的一种，它的作用是在客户端浏览器和Web服务器之间建立一条SSL安全通道。

不安装SSL证书，采用HTTP通信，就是不加密的通信。所有信息以明文的形式传播，这会带来三大风险：

窃听风险：第三方可以获知通信内容；

篡改风险：第三方可以修改通信内容；

冒充风险：第三方可以冒充他人参与通信。

除此之外更为重要的是，SSL证书已经是业务上线的基本要求。Chrome，Safari等常见浏览器都将未安装SSL证书的网站标记为不安全，AppStore和微信小程序也明确要求未安装SSL证书的APP和小程序不得上线。

好在创业公司在SSL证书上的花费并不会太高，现在市面上有许多免费的证书可以选择。当然，如果有更高安全的需求，也可以选择付费购买。

②上线前对业务系统进行安全检测

根据国家互联网应急中心发布的《2019年我国互联网网络安全态势综述》的数据显示，2019年，国家信息安全漏洞共享平台收录安全漏洞数量创下历史新高，共计16 193个。

2019年收录的安全漏洞数量中，按影响对象分类统计，排名前三的是应用程序漏洞、Web应用漏洞和操作系统漏洞。

从数据可以看出，不管是什么样的业务系统，大部分都会被漏洞影响。要保障业务顺利上线，安全测试必不可少。初创公司可以使用免费开源的漏洞扫描工具，如：OpenVAS，Nikto。但免费工具也意味着对开发者的安全素养要求较高。

漏洞扫描只能基于漏洞数据库对系统的安全脆弱性进行检测，通常是作为渗透测试的前奏。如果是正式对外上线并且有大流量的业务系统，建议在上线前对系统进行渗透测试。渗透测试是模拟黑客攻击对业务系统进行安全性测试，可以比黑客更早发现导致企业数据泄露、资产受损和数据被篡改等风险的漏洞。

初创公司一般没有自己的安全团队，这时可以选择第三方专业安全公司提供的渗透测试服务，或者接入第三方安全众测。

③接入免费或者低费用的云安全产品

云安全产品有天生的优势：方便、易用和门槛低，而且一般产品都是按需付费。对初期的创业公司来说，是控制成本的绝佳方式。

创业公司如果已经接入了公有云厂商的云服务，可以选择云厂商提供的附带云安全产品，也可以选择专业云安全公司的产品。

为应对复杂且多变的网络环境，创业公司网站通常需要接入云WAF以抵御黑客的攻击。

根据知道创宇云防御平台拦截的Web应用攻击数据显示，2019年攻击趋势呈现出高强度、持续性的特征。全年拦截网络攻击3 321亿次，相比2018年上升12.3 %。其中恶意网络爬虫攻击首次超过扫描器攻击，拦截恶意爬虫超927亿次，占全年攻击总量的36 %。

除此之外，网站还可以选择接入CDN，安全加速业务系统的同时，减少创业公司的带宽投入。既提高用户访问速度，又减少了成本开支。

如果是高风险行业，如游戏、电商和金融等，DDoS防御也必不可少。這种攻击方式，让许多创业公司苦不堪言，由于攻击与防御成本严重倾斜，许多创业公司会面临没有资金防御攻击的尴尬境地。

因此，在前期可以通过架构布局、整合资源等方式提高网络的负载能力、分摊局部过载流量，并通过接入第三方服务拦截恶意流量。这种防御思想更为理智，而且对抗效果良好。

成长

关键点：让业务稳定运行

成长期的创业公司已经跨过了初期不断迭代探索的鸿沟，开始有了较为稳定的业务模式。这个阶段是创业公司高速发展的时期，业务的稳定运行也成为快速增长的保障。针对这个阶段的创业公司来说，对安全的投入需要更加用心。

①聘请专业的安全人员

成长期的创业公司，对安全的需求更为迫切。这时，若发生安全事故，将会对快速发展的成长期创业公司带来致命打击。所以聘请专人负责公司安全，显得十分必要。

专业的事交给专业的人做，可以减少公司不必要的人力成本投入。人才是公司安全发展的根本，创业公司在成长期开始引入安全工程师，人数不必过多，可隶属于公司的信息部门。

②IPv6安全部署

随着全球IPv4地址的耗尽，以IPv6为代表的下一代互联网技术应运而生。国家层面出台《推进互联网协议第六版（IPv6）规模部署行动计划》，全力推进互联网演进升级和健康创新发展。接入IPv6已然成为业务刚需，目前不支持IPv6等于放弃市场。

在发展的同时，IPv6的安全风险也开始显现，IPv6网络攻击数量剧增，攻击范围也在逐渐扩大。仅2019年，就发现来自IPv6网络攻击9.2亿余次，访问请求中有8.3 %为网络攻击。

在大量攻击的背景下，成长期的创业公司需要重视IPv6的安全部署。

③严格管理内部业务权限

据著名国际咨询服务公司Willis Towers Watson的网络保险理赔数据显示，2/3的网络安全问题是由于员工疏忽和渎职而直接或间接造成的。相较之下，仅有18 %的网络安全问题是由外部威胁直接引发的。因此，成长期的创业公司必须重视内部权限管理，包括数据库、服务器和后台等各种关系公司核心资产的权限。必要时建议开始双重验证，这样可以最大程度避免员工的误操作或恶意行为。

2020年2月微盟数据库被删事件，直接影响了300万商家。微盟受事故影响，市值一日内蒸发超12亿港元。一场人为的破坏导致了无法估量的损失，让成千上万的商家生意停摆。这次事件再次给业界同行敲响警钟：数据安全管理无小事。所以企业在进行数据管理需要做到2点：实行严格的备份机制；管理权限分开。

成熟

关键点：加强安全建设

普华永道在报告《从初创到成熟，独角兽企业如何识别风险、迅速响应？》里提到：仅有39 %的受访企业表示他们有危机应对计划并进行过测试，有44 %的成熟独角兽企业尚没有危机应对计划及预案。

普华永道还提到：能否预测各种不确定性并适当地处理不确定性、建立有效的危机应对计划及预案，成为创业成功与否的决胜因素。越成熟的创业公司，越依赖数字化，更应该重视安全建设。

①打造强有力的安全团队

成熟创业公司有必要打造自己的安全团队。处于此阶段的创业公司通常也在经历B ～ C轮融资，或筹备上市，安全问题不应该成为资本流失的隐患。

安全团队可以帮助公司及时发现问题，他们可以全权负责公司内外部的安全建设。

②定期进行业务安全检测

安全检测可以由自己的安全团队进行，也可以由安全公司协助完成。定期的安全检查，可以发现潜在隐患并及时修复，以确保业务系统安全性。

③选购贴合业务的商业安全产品

在安全团队与商业安全产品的加持下，可以让安全工作更易进行。专业人员与专业工具结合，可以最大程度提升公司的安全能力。

④员工安全意识培训

前面有提到：2/3的网络安全问题是由于员工疏忽和渎职而直接或间接造成的。所以在加强权限管理的同时，成熟的创业公司需要对员工做安全培训，这时公司有能力，也有必要去做这项安全措施。