中小企业

网络的安全保护

网络的安全保护

许多中小型企业都没有采取适当的网络安全保护措施,本文的目的就是扭转这种局面。
JAMES A. MARTIN

目前,中小型企业(SMB)对网络的依赖程度越来越高,不但依赖网络进行内部和外部沟通,还依赖网络查验存货、计费、销售、与合作伙伴协作。简言之,中小型企业已经变得时刻都离不开网络。但是,许多中小型企业并没有采取适当的网络安全保护措施。

为什么会出现这种情况呢?因为对于多数SMB来说,网络安全似乎是太复杂了,需要很多资源才能正常运转。许多公司认为网络安全上的支出对企业发展毫无帮助。互联网安全联盟(ISA)的首席运营官Larry Clinton说:“中小型企业宁愿将资源用在销售和营销上。”

另外,某些SMB领导还认为,与大公司相比,他们的公司不太可能成为黑客攻击的目标。与此同时,许多大企业则非常关注网络的安全性。当黑客和恶意者发现攻击大企业的网络变得越来越困难之后,他们就会把目标转向中小型企业的网络。

统计数字证实了这种推断。例如,据Clinton估计,2004年,受到Mydoom蠕虫攻击的中小型企业达到了三分之一,但只有六分之一的大公司遭到了攻击。

安全做起点
以宽阔的网络安全眼界作为起点。不应该只将网络安全作为IT部门的事情,而应当作为业务连续性问题进行处理。网络已经变成了开展业务的重要环节,因此,制订安全规划与销售和营销计划同等重要。

制订计划之前,首先应排除头脑中的任何成见。多数中小型企业至少都已经部署过一些网络安全产品。但现在应该考虑的是,目前的安全保护足够安全吗?最好的方法是多提问,少假设。

书面计划
完成内部网络安全评估之后,通常情况下,最好再聘请外部咨询公司进行一次独立的评估,然后将内外部评估结果进行比较。掌握了这些信息之后,就可以开始制订(或修改)书面网络安全计划了。如果已经聘用了外部顾问,可以请求外部顾问给予帮助。为保持网络安全方法的一致性,一定将计划存档。有了书面计划书为依据,您可以随时评估执行结果,排除故障,培训员工和跟踪各方面的进度。

最后,需要牢记的是,网络安全策略必须一致而灵活。如果业务本身没有发生太大的变化,各种策略,尤其是针对企业最重要的资源制订的策略,就不能改变得太频繁和太剧烈。但是,随着需求的变化,实施这些策略的程序和步骤应该定期评估和更新。

下面列出的提示可以帮助企业制订有效的网络安全计划,并获得各部门对计划的支持和拥护:

  • 与财务或其它人员讨论时,重点要放在价值回报而不是投资上。要指出安全问题的巨大风险,例如降低收入或遭到客户起诉。
  • 永远都不要假定网络攻击只来自外部。即使是最忠诚的员工也有可能意外地带来安全漏洞,心怀不满或已经离岗的员工则有可能故意发起攻击。
  • 要制订公司级安全战略。保护网络安全需要采用统一的全局策略,任何局部解决方案都无法胜任这项工作。
  • 最好与公司的其它相关人员一起开发和实施安全战略,并注重技术、培训、物理站点安全等。
  • 必须在安全性和实用性之间达到平衡。网络越安全,使用起来就越复杂。

最后需要强调的是,要想获得网络安全计划成功,还必须不断修订。Clinton总结道:“最有效的网络安全计划是与时俱进的安全计划。”

下一步
如果需要制订健全的网络安全策略,欢迎使用易于使用的免费联机工具Cisco Security Policy Builder(cisco.com/go/iq-spb)。

返回顶部

网络安全清单
每家中小型企业都应该制订(全面的)书面网络安全计划。制订网络安全策略之前,可以先回答以下问题:

列出当前已采用的安全技术
企业是否采用了以下技术?
· 防火墙 · 虚拟专用网
· 病毒防护 · 安全无线网络
· 异常检测 · 身份管理
· 标准符合性检查  
请确定企业最重要的数字资产及其访问方法
· 公司有哪些数字资产?它们的价值有多高?
· 这些资产存放在哪里?
· 谁有权访问这些资产?为什么允许这些人访问?所有员工是否拥有相同的网络和应用访问权限?
· 访问权限是否能扩展到合作伙伴和客户?
· 公司是否能控制、检查和监视这些访问?
对安全问题带来的潜在影响进行评估
· 发生安全问题后,网络停运将对财务造成怎样的影响?
· 安全问题会影响到供应链吗?如果回答是肯定的,将以何种方式影响?
· 如果Web站点停运,将造成哪些影响?站点停运多长时间之后将对财务造成显著影响?几分钟,几小时还是几天?
· 站点上提供电子商务功能吗?店面关闭多长时间之后将对财务造成显著影响?几分钟,几小时还是几天?
· 贵公司是否采取了针对计算机攻击或客户数据误用的保险措施?如果回答是肯定的,您认为这些保险措施够用吗?
既要考虑当前需求也要考虑未来需求
· 在未来几年里,预计企业将以何种方式发展?
· 企业最近一次更新网络设备、软件和病毒定义是在什么时候?
· 企业是否为员工提供安全培训?如果提供的话,通常提供哪种安全培训?
· 从总体而言,企业发展将对数字资产及其价值造成哪些影响?
· 未来,企业是否会越来越需要远程员工、客户或合作伙伴访问这些数字资产?

JAMES A. MARTIN经常撰写与网络安全有关的文章,现在是位于圣弗朗西斯科的MARTIN PARHAM GROUP的负责人。

返回顶部

联系我们