中小型企业安全策略:第一部分
Jordan Drysdale//
近期我们多次讨论中小型企业主面临的运营压力——而现在我们要让你更焦虑些(开玩笑的)。但若您完全不担忧IT安全,那可能真的做错了。本系列将系统介绍IT专家总结的关键安全控制措施,并以非技术人员可实施的方式呈现。
我们正面临严峻的安全形势:黑客肆意突破企业网络防御、国家间机密窃取频发、数据隐私持续受威胁。中小企业如何抵御国家级攻击?又如何防范内部员工威胁?
BHIS团队多数成员曾担任过不同规模网络的 frontline 防御者。守护小型网络可归结为几个核心步骤——实际上只需优先实施前五项关键控制(详见Critical Controls技术文档)。
让企业走向安全正轨的第一步是与员工开启对话并保持持续沟通。人为因素常被排除在关键控制清单之外,实则应居首位。安全意识强的企业理解信息安全与每位员工的关联性,让每个人都感受到责任。
以下是提升网络基础安全水平的五大控制措施:
- 硬件资产清点
- 软件资产清点
- 安全配置(可能是最复杂的步骤)
- 漏洞评估与修复
- 限制管理员权限
此时您可能会问:什么是安全配置?如何理解“限制管理员权限”?漏洞评估又具体指什么?我们将从基础开始,设定现实目标,逐步协同掌控网络安全。
现实困境是:无人有空闲时间,无人愿承担额外职责——但每个人都必须参与。经验表明,大多数办公室、企业或学校都存在熟悉计算机的“民间专家”。他们通常是解决打印机故障、蓝屏死机和网络中断的首选资源。这类人才是宝贵资产,应作为安全推进的引导者,他们能解答基础问题,并准确识别调制解调器、交换机和路由器等设备。
系列预告:第二部分将深入探讨资产清点——如何系统梳理设备、网络装备及责任人清单。