中小企业安全策略：第三部分

Jordan Drysdale

简介： 我们中的一些人已经讨论过中小企业主和运营者如今感受到的压力。我们想让你更紧张一点——开玩笑的，但如果你不担心IT安全，那可能就错了。本系列将介绍IT专业人士为我们规划的一些重要控制措施，并以无需专职IT人员即可实施的方式呈现。

• 第一部分 – 中小企业信息安全控制简介
• 第二部分 – 网络硬件库存控制 #CIS关键控制1#
• 第三部分 – 软件库存

你可以做到！

你通过向员工介绍新的一年开始了这一过程，期望他们现在参与公司的信息安全转型。你应该已经收集了公司拥有和租赁的硬件库存及联系信息。你可能已经联系了各种托管服务供应商，了解他们对你的网络的了解。

接下来是：保持业务运行的软件。作为小企业主，软件维护可能是一场灾难。你觉得国税局审计很糟糕？有人收到过微软审计请求表吗？简单明了，如果你运行的是单独安装、许可和管理的Microsoft Office产品，请停止。是时候预算新系统，许可Windows 10 Pro，并获取Office 365了。这将让你的生活焕然一新。这个操作系统将以最少的努力自行修补、更新和重启。Office 365产品套件一旦启动并运行，也会做同样的事情，除了重启。

如果你按顺序阅读这些内容，硬件库存帖子包含了电子表格示例。这里是另一个软件库存列表的典型示例，大多数中小型网络可以从此开始：

[此处应有软件库存表示例]

这会有用，以后会很重要。如果实施CSC 20的前五个控制让你怀疑自己的理智，退一步，再深呼吸。这是容易的部分。每个部门都有独特的需求。每个部门可能需要独特的软件。没有人应该有随意安装软件的特权。通过一个简单的列表，标明哪个软件属于哪个部门，你不再需要让Bob，总管理员，拥有在他的系统上安装未知内容的完全特权。

目标是限制暴露并维护准确的软件库存，以便组织保护系统配置。如果你不知道哪个部门需要哪个软件，那么每个人都可以成为管理员，一次成功的网络钓鱼攻击可能就游戏结束了。这个库存管理步骤对于确保网络上没有人需要本地管理员权限至关重要。如果你不知道这为什么重要，如果拥有本地管理员权限的人点击了一个链接，对手的第一个策略就是获取本地管理员权限。有了这种访问权限，所有经过身份验证的会话都是可见的，那些密码也会被泄露。这可能导致域接管甚至更糟。

托管IT服务听起来更好了吗？