首页 > 方案案例 > 正文

五种低投入途径提高中小企业安全性

2013-06-03 10:48:09  来源:51CTO

摘要:对大多数企业而言,改善业务安全性似乎不可避免地带来资金投入;但事实上我们也有不必花钱的其它实现途径。尽管不少企业已经在应对日常业务需求时花费大量时间......
关键词: 中小企业 安全性

    对大多数企业而言,改善业务安全性似乎不可避免地带来资金投入;但事实上我们也有不必花钱的其它实现途径。


    尽管不少企业已经在应对日常业务需求时花费大量时间,但仍然无法避免安全问题日益积累的尴尬局面。不过中小企业的信息技术人士还是能通过小规模修复在一定程度上改善安全状态,而且不必花费大量资金,一家专为中小企业提供信息技术管理的服务供应商指出。


    “客户有很多成本很低甚至完全不存在成本的途径来改善自身安全性,”他表示。“这些步骤对于IT管理者可能并不陌生,但我们的大多数客户甚至根本没有设置IT管理员岗位。”


    从评估过时系统与低强度密码到组织第三方供应商调查,企业完全可以在不影响运营底线的前提下将安全性提升至新高度。下面就请大家一同来看由中小企业安全专家提供的五大省钱改进途径。


    1.评估当前业务安全性


    企业应当尽早着手评估自己的计算机系统,了解这些系统对于业务运营及安全性的重要性与实际意义。整个过程并不会给企业带来直接开支,只是占用了员工的一部分工作时间。但其效果仍然非常显著,过时系统与安全隐患最终可能给企业带来巨额损失。


    “如果可能的话,请尽量探索能最大限度降低攻击面的方法,”他指出。“我发现很多中小企业都会在业务流程中掺杂一些不必要的复杂项目。”


    当企业对现有系统进行汇总整理时,他们还需要确保所有系统都经过合理配置、从而限制终端用户的操作权限——即不允许使用者以Windows管理员的身份登录系统。除此之外,企业还应该通过检查确定所有密码——尤其是那些与Windows域及其它关键服务器相关的密码——并未采用默认内容且不易被猜出。


    2.培训终端用户


    要想攻破目标系统,大多数攻击者都必须借助终端用户的不当操作,因此向员工传授安全知识能够有效降低攻击活动的发生频繁,戴尔软件终端用户产品战略执行理事Brett Hansen表示。


    “终端用户自身已经成为最严重的安全威胁,”他告诉我们。“尽管安全解决方案能够以各种方式消弭其它高危因素,但用户仍然必须时刻保持警惕。”


    3.定期为系统重新制作镜像


    企业也应该考虑将员工计算机的镜像快速重新制作纳入工作流程。虽然创建标准化镜像并将其部署到新系统中属于IT部门的职责,但定期实施这一方案对企业安全性保障同样大有禆益,某中型游戏厂商资深安全分析师表示。


    任何一台在一周之内通过企业杀毒软件、公司防火墙或者入侵检测系统提交过警告信息的设备都应该重新进行镜像制作。对于那些对取证工作较为重视的企业而言,IT人员还应该直接将原有硬盘撤换下来并在新驱动器中制作镜像。


    “如果某位员工收到来自杀毒软件的警报,并在一周之内再次发现类似提示,请马上重新制作设备镜像,”他解释道。“如果大家在一个月内发现三次这类提醒,那么整台PC的镜像都需要重新制作。”


    此外,公司还可以定期对员工系统的镜像加以重制以获得良好的安全保护效果。根据Trustwave公司发布的2013年全球安全报告,只有36%的企业能在入侵活动发生九十天之内检测到该事故。每个季度定期重新制作镜像能帮助企业根除潜在安全威胁,从而将那些已经感染了员工系统但尚未造成危害的隐患扼杀在萌芽状态。只要我们能定期更新设备中的数据,停机机率就能被控制在极低的范围,这样的收益确实非常显著。


    4.严格审查第三方合作伙伴


    从云供应商到业务顾问再到外包交易系统,第三方合作伙伴的介入可能成为企业业务环境安全的致命短板。据研究报告,由第三方公司引发的数据泄露事故占事故总体数量的三分之二左右。


    中小型企业需要在确保第三方供应商具备良好的安全指标之后才着手筹备协作并签署合作意见。企业管理者需要首先弄清以下几个问题:供应商的基础设施受到哪种防火墙或安全机制的保护;他们多久安装一次安全补丁,安装流程如何进行;第三方拥有多少位常驻安全专家,这些专家拥有如此认证资质;另外,他们为客户提供哪些安全强化措施——例如双因素认证等。


    5.使用云服务及托管服务供应商


    对第三方服务供应商安全因素感到满意的企业也可以利用向云端迁移将自身安全水平推向新高度。尽管大型企业可能会通过创建内部服务实现最高水准的安全性指标,但中小型则几乎不可能拥有足够的财力与精力实现同等效果,因此云服务安全性已经可以算是相对理想的业务方案。有鉴于此,将电子邮件、备份以及文件共享等服务迁移至云环境当中不仅能够节约资金,更会获得相对平衡的安全表现。


    托管服务供应商还能够搞定大部分企业自身受员工素质所限而完成不了的安全任务。员工总人数在250人以下的企业通常都不具备全职信息安全经理,因此管理者必须考虑利用托管安全服务供应商来打理复杂的安全设备,例如入侵检测系统以及日志分析系统等。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:ciopurple

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。