中小型企業(yè)信息安全規(guī)劃分析 

美國國家標準與技術(shù)研究院(NIST)是一家非常規(guī)的聯(lián)邦機構(gòu)，隸屬于美國商務(wù)部，該機構(gòu)旨在幫助小型企業(yè)和公司實施基本的有效的信息安全規(guī)劃，并對一般的安全操作方法提供安全手冊最終稿。事實證明，NIST標準對更大型公司的遠程辦公室也是適用的，因為在這種遠程辦公室，IT員工通常比較少甚至沒有，因此員工承擔更多關(guān)于信息安全的責任就顯得非常重要了。

據(jù)美聯(lián)社報道，美國特工處強調(diào)，參議員國土安全和政府事務(wù)委員會證實網(wǎng)絡(luò)犯罪的目標有向中小型企業(yè)發(fā)展的趨勢，中小型企業(yè)(SMB)面臨的網(wǎng)絡(luò)危險是他們還沒有更新計算機的安全規(guī)劃。

Michael Merritt是特勤處調(diào)查辦公室的主任助理，他說，大部分攻擊是通過海外犯罪集團查找竊取敏感財務(wù)數(shù)據(jù)和個人信息發(fā)生的。

Phil Reitinger是國土安全部國家保護和計劃局副部長，他告訴委員會稱87%的違規(guī)行為可以通過“簡單易行當即生效”的預防性措施進行防御。

NIST的安全手冊——“小型企業(yè)信息安全基本原則”是Richard Kissel的杰作，他是NIST計算機安全部的一位計算機科學家。該手冊目前還是草稿形式，但是很快將落實，手冊定位假定使用者不是技術(shù)專家，這是由Kissel多年從事小型企業(yè)安全教育，教給企業(yè)擁有者和主管如何保護他們的信息、系統(tǒng)和網(wǎng)絡(luò)的經(jīng)驗中積累出來的。

Kissel說：“他們不知道該怎么做。”他的聽眾包括：印刷工，技工，醫(yī)生，牙醫(yī)等等，他們在各自的專業(yè)領(lǐng)域非常在行，“但是他們不懂IT，也就沒有信息安全的概念。”更令他擔憂的就是NIST的研討會，該研討會是與FBI和小企業(yè)管理局共同召開的，每年平均有1000家企業(yè)參加。但是在美國有2500萬中小型企業(yè)，占所有新就職空間的50%，這1000家企業(yè)只是九牛一毛。

Kissel說：“我們認為，如果可能的話，我們要設(shè)計一個文檔，非常小而且簡單易讀的文檔，可以告訴人們?nèi)绾巫鍪虑椴拍?lsquo;保護你的信息、系統(tǒng)和網(wǎng)絡(luò)’，這樣通過這份文檔就可以幫助到更多的人。”

這份20頁的小冊子列舉出了10項“絕對必須”的行為，都是以比較簡單直白的方式進行描述的，小型企業(yè)可以采用這些步驟來保護它們的信息、系統(tǒng)和網(wǎng)絡(luò)。另外還列舉了10項“極力推薦”的實踐，這些條目都在后文列出來了。該手冊中還包含有一段簡短的關(guān)于可持續(xù)性和災備規(guī)劃內(nèi)容，還有針對信息安全的企業(yè)策略。另外在有人問到為什么這些條款這么重要時，他也對此作了解釋。手冊中還包括一些工作表，可以用來按優(yōu)先級排列并保護組織的信息，可以消除安全漏洞和混亂的成本。

Kissel對于有效的信息安全規(guī)劃提出的10個“絕對必須”的步驟(下面列出了這一簡單易用的小冊子)：

保護信息，系統(tǒng)和網(wǎng)絡(luò)免受病毒，間諜軟件和其它惡意代碼的侵害。

為你的互聯(lián)網(wǎng)連接提供安全保障。

在你所有的業(yè)務(wù)系統(tǒng)上安裝并激活軟件防火墻。

及時給你的操作系統(tǒng)和應用程序打補丁。

對于重要的業(yè)務(wù)數(shù)據(jù)和信息做備份。

控制對你計算機和網(wǎng)絡(luò)組件的物理訪問。

保護你的無線接入點和無線網(wǎng)絡(luò)。

培訓你的員工，使他們具備基本的安全常識。

在業(yè)務(wù)計算機和業(yè)務(wù)應用中對每個員工設(shè)置獨立的用戶賬號。

限制員工訪問數(shù)據(jù)和信息，限制安裝軟件的授權(quán)。

下面是計算機用戶最常遇到的10個安全問題，強烈建議謹慎使用：

打開來自未知發(fā)件人的電子郵件附件，并在電子郵件中回復敏感信息。

點擊電子郵件中的Web鏈接和即時消息。

點擊彈出窗口上的“確定”按鈕以及點擊其它黑客陷阱。

操作在線業(yè)務(wù)和在線銀行業(yè)務(wù)。

在雇傭員工時略過了對其犯罪背景的檢查。

網(wǎng)上沖浪。

下載軟件。

在需要時沒有得到專家的幫助。最好是商業(yè)管理機構(gòu)，商會，小型企業(yè)發(fā)展中心可以向你指定服務(wù)供應商。

舊電腦和介質(zhì)的處理。

針對社交工程的保護。

信息安全對于中小型企業(yè)的發(fā)展是很重要的，所以需要企業(yè)負責人多多了解這方面的內(nèi)容，進行詳細的規(guī)劃才能有效地提高安全性。

【編輯推薦】

1. 淺談企業(yè)信息安全
2. 校園網(wǎng)信息安全整體解決方案
3. 移動互聯(lián)網(wǎng)時代下的信息安全
4. 全球信息安全風險評估發(fā)展及現(xiàn)狀
5. 中國信息安全領(lǐng)域最高端的交流盛會