文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

中小企业网络安全十大战术建议

2024-12-24 22:28

关注

麻雀虽小,五脏俱全,小企业和大企业实现信息安全的过程、流程都是差不多的,只是SMB用户在进行安全部署时往往首先考虑成本、维护费用等支出。

[[279409]]

一些规模更小的企业并没有专门的IT部门,通常依靠办公室的行政人员或一名IT人员处理复杂的安全性任务。在某些情况下,资金较短缺的企业由于不堪重负,容易疏于保护他们的网络和数据。

在过去,因自身企业规模较小受到攻击的概率相对较小,网络安全的投入均不能迅速带来显而易见的回报。但在实际企业运营过程中,又常常有来自网络安全的损失阻碍着企业成长。当病毒、黑客技术的发展使得网络威胁无处不在,谁也不能幸免。

在网络攻击肆掠横行的今天,许多大公司都防不胜防,更不要说技术与之相去甚远的中小企业了。如果说网络失守造成的信息系统中断对大公司来说只是一场感冒,那么对中小企业则可能是灭顶之灾。

幸运的是,中小企业网络安全最佳实践流程比比皆是,技术变得越来越好,而且越来越倾向采用正确的思维方式来处理问题。尽管我们在总体上仍处于被动之中,但是充满希望,而如何界定问题是迈向更好成果的第一步。

中小企业驱动着世界。与500强企业相比,单个企业可能规模较小,但总体而言,其影响远远大于大型企业。你的业务可能很小,但对企业所有者是意义重大的。任何不重视你的服务或技术提供商,都不应该为你服务。

在提出具体的战术建议之前,让我们先谈谈几点关键的战略:

说完了战略,让我们进入关键的十大战术——

每个SMB应该采取这十个项目来保障企业网络安全。这些都不贵,都是易于理解、易于执行的。然而,如果你不这么做,只要忽视了其中一项,就等于将整个企业置于危险之中。

1. 保持合理的硬件更新率

理想的情况下,建议您每年都更换新的PC,尽管我们知道这是不现实的。换句话说,更新率超过3-4年,意味着您要承担额外的风险。硬件制造商每年在“隐藏”的安全性改进上投资数十亿美元,其中许多漏洞作为用户是不知道的。你要做的就是让你的IT基础设施(从PC到手机再到服务器)保持最新的状态。

2. 使用最新的操作系统

这一条的意义和第一条相同。如果你仍在运行Windows 7,那么会使公司面临不必要的风险——Windows 7在2020年1月14日之后将停止服务。上Windows 10,就现在!

3. 使用评级较高的端点安全解决方案

不推荐任何具体的解决方案,有一个主要原因——所有服务商都竭尽全力试图在检测率,性能等方面超越对手。每年都有多个年终评选,对防病毒、安全服务商等进行排名/评级——因此每年审查你选择的服务商的性能,如果有更好的解决方案,请切换。

4. 定期下载并安装所有补丁/更新

无论是操作系统、硬件,还是关键业务软件,甚至是IP摄像头,勤打补丁对于安全性都是至关重要。在计算机领域,“零日漏洞”指被发现后立即被恶意利用的安全漏洞,而利用这种漏洞发起的攻击则被称为“零日攻击”。这种攻击利用用户缺少防范意识或未装补丁,造成巨大破坏。零日漏洞一直是黑客的最爱,通常在漏洞与安全补丁曝光的同一日内,恶意利用程序就会出现,及时打补丁是防范零日攻击的最好方法,尽管这是一项无聊乏味的工作,但却是必不可少的。

5. 遵守良好的密码卫生习惯,并进行现代化管理

始终为购买的新硬件(如路由器等)和软件更改默认密码。使用“强密码”,并每年更改几次。切勿对多个设备/服务使用相同或相似的密码!为了使所有这些事情变得更容易,您可以使用实用的“密码管理器”——如Dashlane之类具有硬件优化功能的密码管理器。

6. 使用双重(或多重)身份验证——也称为2FA

如果最终用户和企业都使用双重(或多重)身份验证,可以消除绝大部分数据和隐私泄露隐患。这是免费、简单、有效的方法。如果要在网络安全方面选一个“躺赢”的方法,那就是它了。此外,与此密切相关的是,根据身份验证的要求,按需选择不同的供应商——从金融服务到办公服务。要求双重身份验证,要求供应商有清晰的,易于理解的隐私和安全声明。如果你看不明白声明的内容,或者对其中的任何内容不满意,这不是你的错,而是供应商的错,你可以选择下一家。

7. 计算机务必安全地联网

首先,连接到热点时务必使用VPN。切记。被入侵的主要途径之一就是无保护地连接到犯罪分子伪造/广播的公共热点。你在连接的时候就已经放弃了所有密码。最坏的情况是,系统感染了无法检测的恶意软件(例如,键盘记录程序等)。如果可能的话,使用蜂窝网络连接也好过使用公共热点。大多数现代手机都允许自己作为个人热点,您可以在PC上连接个人热点连接到互联网。

8. 备份,备份,备份

之所以迫切地需要备份数据,抛开所有的其他原因,现在我们有了一个最大的元凶——勒索软件。有许多基于云的备份服务商,你必须根据你的业务性质,确定最符合你功能需求的服务。需要坚持的一项重要功能是“无限制拷贝”(unlimited copies)——即每次更改文件时,服务都会保存一份副本,而不仅仅是最后一份。这一点至关重要,因为一旦遭遇勒索软件攻击,你需要确定感染发生的确切时间并选择此时间点之前的备份文件进行还原。另外,强烈建议使用本地文件备份服务器(网络附加存储或NAS)作为备份——本地备份可以使你在事件发生后立即备份并运行,而从云服务下载TB数据需要一段时间。但是,不要只做本地备份,因为可能会遭遇物理灾害(例如火灾)。备份是无聊,乏味的,而且对于NAS来说,安装起来很困难。但是,你不得不这么做,某些本地服务商可以帮助设置NAS,你也可以自己进行云设置。

9. 信任但要审查——每年聘请一名审计师

很少有人建议这样做,但是考虑到数据在业务运营中的重要性,我认为这是值得的投资。审计公司会检查您的补丁程序,评估你的保护措施,审查你的员工政策,并对备份设置进行风险评估。考虑到发生数据泄露可能会导致你的公司破产,被起诉或甚至彻底毁掉你的生活,提前审查无疑是省心又安心的办法。

10. 不要忘记保险!

很多服务商提供身份信息保护/恢复保险,而且非常便宜。同样,更多样的网络保险也变得越来越普遍,值得评估。

总结

以上提到的十个战术,并没有高深复杂的技术,也没有独树一帜的创新方法,但其中很多重要的事项是值得老生常谈的。如果这篇文章使每个读到它的中小企业至少采取了其中一项行动,那么它就是有意义的。

来源:安数网络内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯