時(shí)間就是金錢，對于一般的企業(yè)來說，時(shí)間是遠(yuǎn)遠(yuǎn)不夠的。本文中安全專家將分享他們使用最小的資源來減輕信息安全風(fēng)險(xiǎn)的好方法。

保護(hù)我們的中小企業(yè)的最好的方法是什么?

不像大企業(yè)，它們雇用擅長于某一方面特定安全規(guī)則的IT專家。小公司的安全角色經(jīng)常需要一些能夠扮演“全能安全專家”的人。這種粗糙的方法必然最大化了安全風(fēng)險(xiǎn)，所以一個(gè)小組可以真正和有效的為一整個(gè)組織風(fēng)險(xiǎn)管理安全，也許是兼職的。

不像大的公司，中小企業(yè)很少有員工專注于信息安全，大部分完全依靠顧問或者廠商。中小企業(yè)平均花費(fèi)很少資源來保證安全。“我們遇到的典型的小公司告訴我們它們花費(fèi)IT預(yù)算的3%到5%在安全上，”CJ Desal說，他是Symantec的高級產(chǎn)品經(jīng)理。比較而言，根據(jù)Forrester Research的報(bào)告，企業(yè)平均花費(fèi)它們IT預(yù)算的8%在安全上。

就像以上數(shù)據(jù)表明的那樣，許多中小企業(yè)縮減安全預(yù)算。Small Business Technology Institute的研究表明，1/5的小公司(1-100個(gè)雇員)沒有足夠的惡意軟件保護(hù)措施，大部分沒有任何安全策略，許多公司只是在災(zāi)難發(fā)生后才制定相應(yīng)計(jì)劃。然而中小企業(yè)和大公司面對惡意軟件攻擊的危險(xiǎn)性是一樣的。

考慮到各種各樣的危險(xiǎn)，包括可用時(shí)間，資源和安全專家的不足，中小企業(yè)需要一個(gè)行動(dòng)計(jì)劃，它強(qiáng)調(diào)了他們今天需要集中面對的安全風(fēng)險(xiǎn)，使用已經(jīng)存在的人力，時(shí)間和資源來減少威脅的數(shù)目。

安全專家分享了他們的十個(gè)方法來達(dá)到更快，更便宜也更容易控制的安全計(jì)劃。

1. 用自動(dòng)保護(hù)阻止惡意軟件

保護(hù)中小企業(yè)的第一道防線是阻止和減少病毒，蠕蟲，間諜軟件和其他惡意軟件，包括木馬下載和擊鍵記錄器，無論是端點(diǎn)還是網(wǎng)關(guān)上的。相應(yīng)的，為e-mail網(wǎng)關(guān)安裝預(yù)防惡意軟件和過濾軟件，阻止惡意軟件和垃圾郵件(它經(jīng)常攜帶惡意軟件)到達(dá)用戶端的PC。為了處理這些，許多中小企業(yè)購買了所謂的統(tǒng)一的威脅管理程序，它在一個(gè)設(shè)備上采用多個(gè)安全技術(shù)。

但是只有網(wǎng)關(guān)保護(hù)是不夠的。就像Randy Abrams，ESET技術(shù)教育的管理者，一個(gè)安全軟件的提供者說的，“太在意目標(biāo)就會(huì)錯(cuò)過一些東西，”所以確保在每個(gè)筆記本，桌上電腦，服務(wù)器，有可能的話包括移動(dòng)設(shè)備上都安裝殺毒軟件套裝。這樣的套裝也包括個(gè)人防火墻和基于主機(jī)入侵防御措施。

使用PC上的管理員權(quán)限來阻止用戶刪除他們的安全套裝，“所以如果IM不工作，雇員不能關(guān)掉防火墻，”Ron Teixeira，國家密碼安全聯(lián)盟(NCSA)，一個(gè)協(xié)同安全，非營利，學(xué)術(shù)和政府安全工作的組織的執(zhí)行經(jīng)理說。

也使用尖端反病毒技術(shù)：晚上關(guān)掉所有的PC。這不僅會(huì)阻止消耗時(shí)間，當(dāng)用戶重啟時(shí)，“他們的操作系統(tǒng)可以開始掃描任何可能有的惡意東西”，他說。

2. 盡快給你的漏洞打補(bǔ)丁

一個(gè)有效的安全計(jì)劃需要保持操作系統(tǒng)和應(yīng)用程序都是打了補(bǔ)丁的?！叭绻皇堑脑捘憧赡軙?huì)導(dǎo)致你的其他所有機(jī)制都無效”Abrams說。目的是迅速的給PC和服務(wù)器打補(bǔ)丁。

什么樣才叫快?如果你一年前這么問，我會(huì)說一季度就合適了。但是我看到的更多的是每月都有變化，越來越多的廠商都是這樣--不只是微軟--每個(gè)月都發(fā)布補(bǔ)丁。但是，我們需要做決定，“你不能把一切都做好，你得實(shí)際點(diǎn)”。相應(yīng)的，搜索外部資源，比如SANS 上最容易受攻擊的20個(gè)網(wǎng)絡(luò)安全攻擊目標(biāo)列表，以便決定哪個(gè)漏洞需要打補(bǔ)丁，以什么樣的順序打補(bǔ)丁。

3.密碼：對“Fluffy”說不

今天許多登錄仍然是以密碼形式，所以，“確保雇員使用有效的密碼，只要有可能，使用多種認(rèn)證技術(shù)，因?yàn)椴还苣阆嗖幌嘈?，小公司的雇員特別愿意使用他們的名字作為登錄名和密碼，這對黑客和在線鑒別賊來說是很容易算出的”Teixeira說，事實(shí)上，字典攻擊—自動(dòng)快速使用成千上萬的已知單詞去猜測密碼—可能在幾分鐘之內(nèi)猜出這種密碼。

這是一個(gè)簡單的解決方案：讓使用者避免使用真正的單詞，而是使用他們記住的一個(gè)長句子的每個(gè)單詞的首字母。在創(chuàng)建一個(gè)更好的密碼一文中可獲得更多相關(guān)信息。

4.定義“好的行為”(Define “Good Behavior”)

什么是可接受的行為?無論是從可行性還是法律來衡量都不可能很容易的實(shí)現(xiàn)，除非已經(jīng)很明確的規(guī)定。

進(jìn)入安全策略和規(guī)程?！坝脩魰?huì)做愚蠢的事情，你必須有能夠?qū)嵤┑牟呗?，至少能夠抑制一些用戶?zhǔn)備要做的事情”。Abram說。事實(shí)上，規(guī)程告訴職員什么是需要的(每隔30天改變密碼)或者是禁止的(觀看成人網(wǎng)頁)。

設(shè)置策略不需要很大代價(jià)，花費(fèi)時(shí)間或者很難。例如，SANS組織的安全策略項(xiàng)目在網(wǎng)上提供30個(gè)免費(fèi)的模型策略，還有一些收錢的。“Information Security Policy Made Easy”這本書和CD-ROM提供超過1350種方法。但是，不要只是添加公司的名字到空白地方。而是，在策略方面訓(xùn)練雇員，把策略放在共享網(wǎng)絡(luò)驅(qū)動(dòng)或內(nèi)部互聯(lián)網(wǎng)的一個(gè)顯著位置，并且經(jīng)常訪問它們。#p#

5.小心警惕應(yīng)用軟件

為了用最少的時(shí)間最大化安全性能，作為“可接受使用(acceptable use)”策略的一部分，要禁止使用者在PC上安裝沒有經(jīng)過認(rèn)證的軟件。“然后實(shí)施和確保你是唯一合適使用了商業(yè)上需要的軟件的人”Abrams說。

這種簡單的方法改進(jìn)了安全性，節(jié)省了時(shí)間。因?yàn)榈谌杰浖苋菀壮蔀閻阂廛浖亩悴靥?，從而引起安全漏洞，并且它需要額外的時(shí)間來打補(bǔ)丁。此外，如果PC感染了惡意軟件—它通常是很難根除的—使用標(biāo)準(zhǔn)磁盤鏡像來清除和重恢復(fù)PC可以更加快捷，而不用安裝額外的應(yīng)用程序。

6.要準(zhǔn)備計(jì)劃

如果有些地方出了問題—在安全方面—雇員會(huì)知道怎么處理嗎?“當(dāng)沒有IT人才每天24小時(shí)在崗的時(shí)候(這是很多中小企業(yè)的一種典型情況)，人們需要相應(yīng)的處理步驟，至少要有一個(gè)協(xié)調(diào)和交流的觀點(diǎn)”Webroots Eschelbeck說。

事先計(jì)劃和考慮需要時(shí)間，對于中小企業(yè)來說，這無可否認(rèn)是一種很罕見的安全奢侈行為。即使這樣，“制定一個(gè)緊急應(yīng)對計(jì)劃：預(yù)測一個(gè)成功的攻擊，知道當(dāng)攻擊發(fā)生時(shí)怎么處理它”Abrams建議。特別的，雇員在他們的安全軟件報(bào)告它們已經(jīng)被惡意軟件感染時(shí)他們應(yīng)該向誰求助?

在計(jì)劃緊急情況時(shí)，要尤其注意到法律的要求。例如，如果一個(gè)公司收集顧客的個(gè)人信息，全國有超過一半的州已經(jīng)通過了一項(xiàng)稱為數(shù)據(jù)破壞通知法案(data breach notification laws)要求公司在信息丟失，被竊，或懷疑已經(jīng)被破壞時(shí)要通知所有的州居民。

7.備份是個(gè)優(yōu)點(diǎn)

盜竊，颶風(fēng)，龍卷風(fēng)，破壞性的惡意軟件，爆裂的管子，破壞的硬盤，電火花，生氣的員工：假設(shè)數(shù)據(jù)已經(jīng)備份，這些都和數(shù)據(jù)完整性無關(guān)了。當(dāng)然每個(gè)人都知道他們應(yīng)該備份，但是很少有人去做。因此，是由IT人士去保護(hù)這些數(shù)據(jù)。

考慮安裝一個(gè)自動(dòng)備份軟件，為了防范物理災(zāi)難，確保最后的備份不是存儲(chǔ)在站點(diǎn)上。如果要獲得更方便的使用—雖然代價(jià)不低—聘請一項(xiàng)自動(dòng)在線備份服務(wù)。

8.審核：仔細(xì)觀察記錄

“如果殺毒軟件報(bào)警了，但是沒有其它注意到這個(gè)，這是不是真正的病毒呢?”ESET的Abrams問“你必須審核你的記錄并確認(rèn)自己被攻擊了嗎?因?yàn)槟愕腎DS報(bào)告你正在偏轉(zhuǎn)這一切東西，那么你就會(huì)想知道，因?yàn)楣粽邥?huì)不斷轉(zhuǎn)移攻擊直到攻擊成功”

即使那些沒有入侵檢測系統(tǒng)的中小企業(yè)仍會(huì)研究殺毒軟件的記錄來監(jiān)視攻擊，并保持對基本服務(wù)器安全設(shè)定的關(guān)注?！昂诳蜁?huì)改變安全設(shè)定來確保他回來的時(shí)候更容易點(diǎn)，注意到有安全設(shè)定的變化通常是你發(fā)現(xiàn)攻擊的第一個(gè)信號”他說。#p#

9.在預(yù)算方面的安全教育：要有創(chuàng)造性

在所有的公司里，有效的安全需要對人，過程，技術(shù)都加以注意—“但是安全中人這方面通常被忽視”Forrester 研究分析員Khakid Kark警告說。

為了解決這個(gè)，保持一個(gè)識(shí)別安全程序。一個(gè)好的開始是對所有的新雇員進(jìn)行短期培訓(xùn)課程，了解規(guī)則：幫助桌面從來不需要密碼，小心免費(fèi)的Wi-Fi熱點(diǎn)因?yàn)橐恍┤丝梢员O(jiān)聽所有的通信;使用旅館的PC或者是機(jī)場的公用電話會(huì)很明顯留下一份所有數(shù)據(jù)和連接的備份;而且千萬不要打開任何看起來可疑的e-mail鏈接。

開展的教育不需要很貴;考慮以一種幽默而全面的方式達(dá)到安全的目的。以下是一些不規(guī)則的例子(對那些富有的大公司是顯著的)：為了讓開發(fā)者制作更干凈，更安全的代碼，不只是談了談，一些志愿者組織了一系列的稱為“Testing on the Toilet”的喜劇。相關(guān)的Google Testing Blog這樣解釋：“我們寫下關(guān)于一切的文章，從插入依賴到代碼覆蓋，然后經(jīng)常用有趣的插曲給所有Google上的浴室(bathroom)刷石灰，幾乎500個(gè)世界各地的攤位”。操作模型很簡單：“你需要它在一個(gè)你能看到的地方，你不能忽視它”。當(dāng)反應(yīng)從可笑(“這經(jīng)常是由于我總是忘記把我的Linux Nerd2000的備份帶到浴室”)到不好笑(“我正在使用我的浴室，你能不能讓我單獨(dú)待會(huì)?”)，信息就泄漏出來了。

教導(dǎo)使用者，今天的頂部攻擊(top attacks)通常不會(huì)犯下一些低級錯(cuò)誤。當(dāng)你只需要禮貌的要求就可以進(jìn)入得到你想要的東西的時(shí)候，你為什么還要攻擊進(jìn)去呢?最近的一個(gè)例子是國稅局的釣魚攻擊，它用一封內(nèi)容為IRS正在進(jìn)行顧客滿意度調(diào)查的電子郵件作為開始，如果接受者點(diǎn)擊了它上面的連接，彈出的頁面只是要求他們的名字和電話號碼，許若只要完成一個(gè)電話調(diào)查就給你80美元。但是，問題就是如果某些人打了這個(gè)電話，“IRS”需要一個(gè)信用卡號碼來把所謂的錢放到里面，Abrams說“這就是他們怎樣得到有用的信息”。

10.加密：設(shè)定它然后忘記它

保護(hù)丟失和被竊的信息不被濫用的最好方法是什么?考慮整個(gè)磁盤加密軟件，它保證硬盤數(shù)據(jù)對沒有合適認(rèn)證的任何人都是無效的?！肮P記本丟失總是在發(fā)生，筆記本被偷后，你最不想發(fā)生的事情就是偷了筆記本的那個(gè)人把顧客的信息在網(wǎng)上出售”NCSA的Teixeira說。

考慮在國家的數(shù)據(jù)破壞通知法案規(guī)定下，如果公司丟失了包含有居民敏感信息的機(jī)器，但是數(shù)據(jù)是加密的，通知就不是必要的了。根據(jù)Ponemon Institute規(guī)定，假設(shè)數(shù)據(jù)破壞要通知的平均開銷是每個(gè)丟失客戶記錄為$182(不是每個(gè)客戶)，整個(gè)磁盤加密可以節(jié)省大量經(jīng)費(fèi)。

如果論證對控制金錢的那些人太抽象，嘗試提到高規(guī)格數(shù)據(jù)破壞(highprofile data breaches)，例子有TJX或者CardSystems(它自己是個(gè)小公司)。如果一個(gè)公司丟失了客戶信息，預(yù)計(jì)至少有些客戶會(huì)丟失。但是如果一個(gè)中小企業(yè)失去了信息，并嘗試掩蓋它或者反應(yīng)很慢，一旦公開，法律和管理結(jié)束后，就像CardSystems表明的那樣，不會(huì)再有生意了。

【編輯推薦】

1. 無線局域網(wǎng)的安全風(fēng)險(xiǎn)分析和解決方案
2. 大型企業(yè)局域網(wǎng)安全解決方案