關(guān)于中小企業(yè)的網(wǎng)絡(luò)安全建議值得一看

經(jīng)營(yíng)規(guī)模不大，人員、資金有限的中小規(guī)模企業(yè)，相比于那些實(shí)力雄厚的大企業(yè)，他們可能沒(méi)有那么多資源和技術(shù)來(lái)應(yīng)對(duì)網(wǎng)絡(luò)攻擊。那么，中小企業(yè)應(yīng)該通過(guò)什么方式以最小成本來(lái)維護(hù)企業(yè)安全？這是我們要探討的問(wèn)題。

麻雀雖小，五臟俱全，小企業(yè)和大企業(yè)實(shí)現(xiàn)信息安全的過(guò)程、流程都是差不多的，只是用戶在進(jìn)行安全部署時(shí)往往首先考慮成本、維護(hù)費(fèi)用等支出。

一些規(guī)模更小的企業(yè)并沒(méi)有專門的IT部門，通常依靠辦公室的行政人員或一名IT人員處理復(fù)雜的安全性任務(wù)。在某些情況下，資金較短缺的企業(yè)由于不堪重負(fù)，容易疏于保護(hù)他們的網(wǎng)絡(luò)和數(shù)據(jù)。

在過(guò)去，因自身企業(yè)規(guī)模較小受到攻擊的概率相對(duì)較小，網(wǎng)絡(luò)安全的投入均不能迅速帶來(lái)顯而易見(jiàn)的回報(bào)。但在實(shí)際企業(yè)運(yùn)營(yíng)過(guò)程中，又常常有來(lái)自網(wǎng)絡(luò)安全的損失阻礙著企業(yè)成長(zhǎng)。當(dāng)病毒、黑客技術(shù)的發(fā)展使得網(wǎng)絡(luò)威脅無(wú)處不在，誰(shuí)也不能幸免。

在網(wǎng)絡(luò)攻擊肆掠橫行的今天，許多大公司都防不勝防，更不要說(shuō)技術(shù)與之相去甚遠(yuǎn)的中小企業(yè)了。如果說(shuō)網(wǎng)絡(luò)失守造成的信息系統(tǒng)中斷對(duì)大公司來(lái)說(shuō)只是一場(chǎng)感冒，那么對(duì)中小企業(yè)則可能是滅頂之災(zāi)。

幸運(yùn)的是，中小企業(yè)網(wǎng)絡(luò)安全最佳實(shí)踐流程比比皆是，技術(shù)變得越來(lái)越好，而且越來(lái)越傾向采用正確的思維方式來(lái)處理問(wèn)題。盡管我們?cè)诳傮w上仍處于被動(dòng)之中，但是充滿希望，而如何界定問(wèn)題是邁向更好成果的第一步。

中小企業(yè)驅(qū)動(dòng)著世界。與500強(qiáng)企業(yè)相比，單個(gè)企業(yè)可能規(guī)模較小，但總體而言，其影響遠(yuǎn)遠(yuǎn)大于大型企業(yè)。你的業(yè)務(wù)可能很小，但對(duì)企業(yè)所有者是意義重大的。任何不重視你的服務(wù)或技術(shù)提供商，都不應(yīng)該為你服務(wù)。

在提出具體的戰(zhàn)術(shù)建議之前，讓我們先談?wù)剮c(diǎn)關(guān)鍵的戰(zhàn)略：

· 找到可靠的信息安全咨詢顧問(wèn)，并按他們所說(shuō)的做！

· 承擔(dān)責(zé)任。即使有專家為你提供意見(jiàn)，行動(dòng)也要靠自己！人人都應(yīng)承擔(dān)起責(zé)任——在任何行業(yè)，小到個(gè)人員工，大到董事會(huì)，這是維護(hù)安全的一個(gè)關(guān)鍵理念。

· 不要指望政府。政府要做的并且能做的事情就是：（1）制定法規(guī)，對(duì)信息服務(wù)商/企業(yè)，提出指導(dǎo)性的最低要求;（2）懲處違反法規(guī)者。

· 采取行動(dòng)。不要只停留在研究，不要讓分析癱瘓。采取行動(dòng)-任何行動(dòng)-不要拖延。如果找到更好的選擇，則以后可以隨時(shí)調(diào)整。

· 服務(wù)外包，不要自己動(dòng)手做。從單項(xiàng)安全服務(wù)到企業(yè)安全/ IT基礎(chǔ)設(shè)施的完全外包，可選擇范圍非常大。租用服務(wù)而不是購(gòu)買實(shí)體。

· 讓員工負(fù)責(zé)！你負(fù)有最終責(zé)任，但在那之前，請(qǐng)確保每個(gè)員工都知曉他們必須為自己的不當(dāng)行為/違規(guī)行為負(fù)有責(zé)任，并付出代價(jià)。

說(shuō)完了戰(zhàn)略，讓我們進(jìn)入關(guān)鍵的十大戰(zhàn)術(shù)——

每個(gè)中小企業(yè)應(yīng)該采取這十個(gè)項(xiàng)目來(lái)保障企業(yè)網(wǎng)絡(luò)安全。這些都不貴，都是易于理解、易于執(zhí)行的。然而，如果你不這么做，只要忽視了其中一項(xiàng)，就等于將整個(gè)企業(yè)置于危險(xiǎn)之中。

1.保持合理的硬件更新率。

理想的情況下，建議企業(yè)每年都更換新的PC，盡管我們知道這是不現(xiàn)實(shí)的。換句話說(shuō)，更新率超過(guò)3-4年，意味著企業(yè)要承擔(dān)額外的風(fēng)險(xiǎn)。硬件制造商每年在“隱藏”的安全性改進(jìn)上投資數(shù)十億美元，其中許多漏洞作為用戶是不知道的。企業(yè)要做的就是讓你的IT基礎(chǔ)設(shè)施（從PC到手機(jī)再到服務(wù)器）保持最新的狀態(tài)。

2.使用最新的操作系統(tǒng)。

這一條的意義和第一條相同。如果企業(yè)仍在運(yùn)行Windows 7，那么會(huì)使公司面臨不必要的風(fēng)險(xiǎn)——Windows 7在2020年1月14日之后將停止服務(wù)。上Windows 10，就現(xiàn)在！

3.使用評(píng)級(jí)較高的端點(diǎn)安全解決方案。

不推薦任何具體的解決方案，有一個(gè)主要原因——所有服務(wù)商都竭盡全力試圖在檢測(cè)率，性能等方面超越對(duì)手。每年都有多個(gè)年終評(píng)選，對(duì)防病毒、安全服務(wù)商等進(jìn)行排名/評(píng)級(jí)——因此每年審查企業(yè)選擇的服務(wù)商的性能，如果有更好的解決方案，請(qǐng)切換。

4.定期下載并安裝所有補(bǔ)丁/更新。

無(wú)論是操作系統(tǒng)、硬件，還是關(guān)鍵業(yè)務(wù)軟件，甚至是IP攝像頭，勤打補(bǔ)丁對(duì)于安全性都是至關(guān)重要。在計(jì)算機(jī)領(lǐng)域，“零日漏洞”指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，而利用這種漏洞發(fā)起的攻擊則被稱為“零日攻擊”。這種攻擊利用用戶缺少防范意識(shí)或未裝補(bǔ)丁，造成巨大破壞。零日漏洞一直是黑客的最愛(ài)，通常在漏洞與安全補(bǔ)丁曝光的同一日內(nèi)，惡意利用程序就會(huì)出現(xiàn)，及時(shí)打補(bǔ)丁是防范零日攻擊的最好方法，盡管這是一項(xiàng)無(wú)聊乏味的工作，但卻是必不可少的。

5.遵守良好的密碼衛(wèi)生習(xí)慣，并進(jìn)行現(xiàn)代化管理。

始終為購(gòu)買的新硬件（如路由器等）和軟件更改默認(rèn)密碼。使用“強(qiáng)密碼”，并每年更改幾次。切勿對(duì)多個(gè)設(shè)備/服務(wù)使用相同或相似的密碼！為了使所有這些事情變得更容易，您可以使用實(shí)用的“密碼管理器”——如Dashlane之類具有硬件優(yōu)化功能的密碼管理器。

6.使用雙重（或多重）身份驗(yàn)證——也稱為“ 2FA”。

如果最終用戶和企業(yè)都使用雙重（或多重）身份驗(yàn)證，可以消除絕大部分?jǐn)?shù)據(jù)和隱私泄露隱患。這是免費(fèi)、簡(jiǎn)單、有效的方法。如果要在網(wǎng)絡(luò)安全方面選一個(gè)“躺贏”的方法，那就是它了。此外，與此密切相關(guān)的是，根據(jù)身份驗(yàn)證的要求，按需選擇不同的供應(yīng)商——從金融服務(wù)到辦公服務(wù)。要求雙重身份驗(yàn)證，要求供應(yīng)商有清晰的，易于理解的隱私和安全聲明。如果你看不明白聲明的內(nèi)容，或者對(duì)其中的任何內(nèi)容不滿意，企業(yè)可以選擇下一家。

7.計(jì)算機(jī)務(wù)必安全地聯(lián)網(wǎng)。

首先，連接到熱點(diǎn)時(shí)務(wù)必使用VPN。切記。被入侵的主要途徑之一就是無(wú)保護(hù)地連接到犯罪分子偽造/廣播的公共熱點(diǎn)。你在連接的時(shí)候就已經(jīng)放棄了所有密碼。最壞的情況是，系統(tǒng)感染了無(wú)法檢測(cè)的惡意軟件（例如，鍵盤記錄程序等）。如果可能的話，使用蜂窩網(wǎng)絡(luò)連接也好過(guò)使用公共熱點(diǎn)。大多數(shù)現(xiàn)代手機(jī)都允許自己作為個(gè)人熱點(diǎn)，企業(yè)可以在PC上連接個(gè)人熱點(diǎn)連接到互聯(lián)網(wǎng)。

8.備份，備份，備份。

之所以迫切地需要備份數(shù)據(jù)，拋開(kāi)所有的其他原因，現(xiàn)在我們有了一個(gè)最大的元兇——勒索軟件。有許多基于云的備份服務(wù)商，企業(yè)必須根據(jù)自己的業(yè)務(wù)性質(zhì)，確定最符合你功能需求的服務(wù)。需要堅(jiān)持的一項(xiàng)重要功能是“無(wú)限制拷貝”（unlimited copies）——即每次更改文件時(shí)，服務(wù)都會(huì)保存一份副本，而不僅僅是最后一份。這一點(diǎn)至關(guān)重要，因?yàn)橐坏┰庥隼账鬈浖?，企業(yè)需要確定感染發(fā)生的確切時(shí)間并選擇此時(shí)間點(diǎn)之前的備份文件進(jìn)行還原。另外，強(qiáng)烈建議使用本地文件備份服務(wù)器（網(wǎng)絡(luò)附加存儲(chǔ)或NAS）作為備份——本地備份可以使企業(yè)在事件發(fā)生后立即備份并運(yùn)行，而從云服務(wù)下載TB數(shù)據(jù)需要一段時(shí)間。但是，不要只做本地備份，因?yàn)榭赡軙?huì)遭遇物理災(zāi)害（例如火災(zāi)）。備份是無(wú)聊，乏味的，而且對(duì)于NAS來(lái)說(shuō)，安裝起來(lái)很困難。

9.信任但要審查——每年聘請(qǐng)一名審計(jì)師。

很少有人建議這樣做，但是考慮到數(shù)據(jù)在業(yè)務(wù)運(yùn)營(yíng)中的重要性，我認(rèn)為這是值得的投資。審計(jì)公司會(huì)檢查企業(yè)的補(bǔ)丁程序，評(píng)估你的保護(hù)措施，審查企業(yè)的員工政策，并對(duì)備份設(shè)置進(jìn)行風(fēng)險(xiǎn)評(píng)估。考慮到發(fā)生數(shù)據(jù)泄露可能會(huì)導(dǎo)致公司破產(chǎn)，被起訴或甚至徹底毀掉，提前審查無(wú)疑是省心又安心的辦法。

10.不要忘記基礎(chǔ)的網(wǎng)絡(luò)安全防護(hù)

例如企業(yè)網(wǎng)站部署SSL安全證書(shū)，企業(yè)郵件部署郵件證書(shū)等等，給用戶的隱私數(shù)據(jù)上了一把鎖，在用戶訪問(wèn)頁(yè)面的時(shí)候，幫你檢查該網(wǎng)站是否安全，還會(huì)預(yù)防流量劫持，數(shù)據(jù)篡改等問(wèn)題。做好最基礎(chǔ)的安全防護(hù)工作，避免因小失大。

以上提到的十個(gè)戰(zhàn)術(shù)，并沒(méi)有高深復(fù)雜的技術(shù)，也沒(méi)有獨(dú)樹(shù)一幟的創(chuàng)新方法，但其中很多重要的事項(xiàng)是值得老生常談的。如果這篇文章使每個(gè)讀到它的中小企業(yè)至少采取了其中一項(xiàng)行動(dòng)，那么它就是有意義的。