日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

時間就是金錢，對于一般的企業(yè)來說，時間是遠遠不夠的。本文中安全專家將分享他們使用最小的資源來減輕信息安全風(fēng)險的好方法。

創(chuàng)新互聯(lián)建站服務(wù)項目包括新密網(wǎng)站建設(shè)、新密網(wǎng)站制作、新密網(wǎng)頁制作以及新密網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，新密網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到新密省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

保護我們的中小企業(yè)的最好的方法是什么?

不像大企業(yè)，它們雇用擅長于某一方面特定安全規(guī)則的IT專家。小公司的安全角色經(jīng)常需要一些能夠扮演“全能安全專家”的人。這種粗糙的方法必然最大化了安全風(fēng)險，所以一個小組可以真正和有效的為一整個組織風(fēng)險管理安全，也許是兼職的。

不像大的公司，中小企業(yè)很少有員工專注于信息安全，大部分完全依靠顧問或者廠商。中小企業(yè)平均花費很少資源來保證安全?！拔覀冇龅降牡湫偷男」靖嬖V我們它們花費IT預(yù)算的3%到5%在安全上，”CJ Desal說，他是Symantec的高級產(chǎn)品經(jīng)理。比較而言，根據(jù)Forrester Research的報告，企業(yè)平均花費它們IT預(yù)算的8%在安全上。

就像以上數(shù)據(jù)表明的那樣，許多中小企業(yè)縮減安全預(yù)算。Small Business Technology Institute的研究表明，1/5的小公司(1-100個雇員)沒有足夠的惡意軟件保護措施，大部分沒有任何安全策略，許多公司只是在災(zāi)難發(fā)生后才制定相應(yīng)計劃。然而中小企業(yè)和大公司面對惡意軟件攻擊的危險性是一樣的。

考慮到各種各樣的危險，包括可用時間，資源和安全專家的不足，中小企業(yè)需要一個行動計劃，它強調(diào)了他們今天需要集中面對的安全風(fēng)險，使用已經(jīng)存在的人力，時間和資源來減少威脅的數(shù)目。

安全專家分享了他們的十個方法來達到更快，更便宜也更容易控制的安全計劃。

1. 用自動保護阻止惡意軟件

保護中小企業(yè)的第一道防線是阻止和減少病毒，蠕蟲，間諜軟件和其他惡意軟件，包括木馬下載和擊鍵記錄器，無論是端點還是網(wǎng)關(guān)上的。相應(yīng)的，為e-mail網(wǎng)關(guān)安裝預(yù)防惡意軟件和過濾軟件，阻止惡意軟件和垃圾郵件(它經(jīng)常攜帶惡意軟件)到達用戶端的PC。為了處理這些，許多中小企業(yè)購買了所謂的統(tǒng)一的威脅管理程序，它在一個設(shè)備上采用多個安全技術(shù)。

但是只有網(wǎng)關(guān)保護是不夠的。就像Randy Abrams，ESET技術(shù)教育的管理者，一個安全軟件的提供者說的，“太在意目標(biāo)就會錯過一些東西，”所以確保在每個筆記本，桌上電腦，服務(wù)器，有可能的話包括移動設(shè)備上都安裝殺毒軟件套裝。這樣的套裝也包括個人防火墻和基于主機入侵防御措施。

使用PC上的管理員權(quán)限來阻止用戶刪除他們的安全套裝，“所以如果IM不工作，雇員不能關(guān)掉防火墻，”Ron Teixeira，國家密碼安全聯(lián)盟(NCSA)，一個協(xié)同安全，非營利，學(xué)術(shù)和政府安全工作的組織的執(zhí)行經(jīng)理說。

也使用尖端反病毒技術(shù)：晚上關(guān)掉所有的PC。這不僅會阻止消耗時間，當(dāng)用戶重啟時，“他們的操作系統(tǒng)可以開始掃描任何可能有的惡意東西”，他說。

2. 盡快給你的漏洞打補丁

一個有效的安全計劃需要保持操作系統(tǒng)和應(yīng)用程序都是打了補丁的。“如果不是的話你可能會導(dǎo)致你的其他所有機制都無效”Abrams說。目的是迅速的給PC和服務(wù)器打補丁。

什么樣才叫快?如果你一年前這么問，我會說一季度就合適了。但是我看到的更多的是每月都有變化，越來越多的廠商都是這樣--不只是微軟--每個月都發(fā)布補丁。但是，我們需要做決定，“你不能把一切都做好，你得實際點”。相應(yīng)的，搜索外部資源，比如SANS 上最容易受攻擊的20個網(wǎng)絡(luò)安全攻擊目標(biāo)列表，以便決定哪個漏洞需要打補丁，以什么樣的順序打補丁。

3.密碼：對“Fluffy”說不

今天許多登錄仍然是以密碼形式，所以，“確保雇員使用有效的密碼，只要有可能，使用多種認證技術(shù)，因為不管你相不相信，小公司的雇員特別愿意使用他們的名字作為登錄名和密碼，這對黑客和在線鑒別賊來說是很容易算出的”Teixeira說，事實上，字典攻擊—自動快速使用成千上萬的已知單詞去猜測密碼—可能在幾分鐘之內(nèi)猜出這種密碼。

這是一個簡單的解決方案：讓使用者避免使用真正的單詞，而是使用他們記住的一個長句子的每個單詞的首字母。在創(chuàng)建一個更好的密碼一文中可獲得更多相關(guān)信息。

4.定義“好的行為”(Define “Good Behavior”)

什么是可接受的行為?無論是從可行性還是法律來衡量都不可能很容易的實現(xiàn)，除非已經(jīng)很明確的規(guī)定。

進入安全策略和規(guī)程。“用戶會做愚蠢的事情，你必須有能夠?qū)嵤┑牟呗裕辽倌軌蛞种埔恍┯脩魷?zhǔn)備要做的事情”。Abram說。事實上，規(guī)程告訴職員什么是需要的(每隔30天改變密碼)或者是禁止的(觀看成人網(wǎng)頁)。

設(shè)置策略不需要很大代價，花費時間或者很難。例如，SANS組織的安全策略項目在網(wǎng)上提供30個免費的模型策略，還有一些收錢的?！癐nformation Security Policy Made Easy”這本書和CD-ROM提供超過1350種方法。但是，不要只是添加公司的名字到空白地方。而是，在策略方面訓(xùn)練雇員，把策略放在共享網(wǎng)絡(luò)驅(qū)動或內(nèi)部互聯(lián)網(wǎng)的一個顯著位置，并且經(jīng)常訪問它們。#p#

5.小心警惕應(yīng)用軟件

為了用最少的時間最大化安全性能，作為“可接受使用(acceptable use)”策略的一部分，要禁止使用者在PC上安裝沒有經(jīng)過認證的軟件?！叭缓髮嵤┖痛_保你是唯一合適使用了商業(yè)上需要的軟件的人”Abrams說。

這種簡單的方法改進了安全性，節(jié)省了時間。因為第三方軟件很容易成為惡意軟件的躲藏處，從而引起安全漏洞，并且它需要額外的時間來打補丁。此外，如果PC感染了惡意軟件—它通常是很難根除的—使用標(biāo)準(zhǔn)磁盤鏡像來清除和重恢復(fù)PC可以更加快捷，而不用安裝額外的應(yīng)用程序。

6.要準(zhǔn)備計劃

如果有些地方出了問題—在安全方面—雇員會知道怎么處理嗎?“當(dāng)沒有IT人才每天24小時在崗的時候(這是很多中小企業(yè)的一種典型情況)，人們需要相應(yīng)的處理步驟，至少要有一個協(xié)調(diào)和交流的觀點”Webroots Eschelbeck說。

事先計劃和考慮需要時間，對于中小企業(yè)來說，這無可否認是一種很罕見的安全奢侈行為。即使這樣，“制定一個緊急應(yīng)對計劃：預(yù)測一個成功的攻擊，知道當(dāng)攻擊發(fā)生時怎么處理它”Abrams建議。特別的，雇員在他們的安全軟件報告它們已經(jīng)被惡意軟件感染時他們應(yīng)該向誰求助?

在計劃緊急情況時，要尤其注意到法律的要求。例如，如果一個公司收集顧客的個人信息，全國有超過一半的州已經(jīng)通過了一項稱為數(shù)據(jù)破壞通知法案(data breach notification laws)要求公司在信息丟失，被竊，或懷疑已經(jīng)被破壞時要通知所有的州居民。

7.備份是個優(yōu)點

盜竊，颶風(fēng)，龍卷風(fēng)，破壞性的惡意軟件，爆裂的管子，破壞的硬盤，電火花，生氣的員工：假設(shè)數(shù)據(jù)已經(jīng)備份，這些都和數(shù)據(jù)完整性無關(guān)了。當(dāng)然每個人都知道他們應(yīng)該備份，但是很少有人去做。因此，是由IT人士去保護這些數(shù)據(jù)。

考慮安裝一個自動備份軟件，為了防范物理災(zāi)難，確保最后的備份不是存儲在站點上。如果要獲得更方便的使用—雖然代價不低—聘請一項自動在線備份服務(wù)。

8.審核：仔細觀察記錄

“如果殺毒軟件報警了，但是沒有其它注意到這個，這是不是真正的病毒呢?”ESET的Abrams問“你必須審核你的記錄并確認自己被攻擊了嗎?因為你的IDS報告你正在偏轉(zhuǎn)這一切東西，那么你就會想知道，因為攻擊者會不斷轉(zhuǎn)移攻擊直到攻擊成功”

即使那些沒有入侵檢測系統(tǒng)的中小企業(yè)仍會研究殺毒軟件的記錄來監(jiān)視攻擊，并保持對基本服務(wù)器安全設(shè)定的關(guān)注?！昂诳蜁淖儼踩O(shè)定來確保他回來的時候更容易點，注意到有安全設(shè)定的變化通常是你發(fā)現(xiàn)攻擊的第一個信號”他說。#p#

9.在預(yù)算方面的安全教育：要有創(chuàng)造性

在所有的公司里，有效的安全需要對人，過程，技術(shù)都加以注意—“但是安全中人這方面通常被忽視”Forrester 研究分析員Khakid Kark警告說。

為了解決這個，保持一個識別安全程序。一個好的開始是對所有的新雇員進行短期培訓(xùn)課程，了解規(guī)則：幫助桌面從來不需要密碼，小心免費的Wi-Fi熱點因為一些人可以監(jiān)聽所有的通信;使用旅館的PC或者是機場的公用電話會很明顯留下一份所有數(shù)據(jù)和連接的備份;而且千萬不要打開任何看起來可疑的e-mail鏈接。

開展的教育不需要很貴;考慮以一種幽默而全面的方式達到安全的目的。以下是一些不規(guī)則的例子(對那些富有的大公司是顯著的)：為了讓開發(fā)者制作更干凈，更安全的代碼，不只是談了談，一些志愿者組織了一系列的稱為“Testing on the Toilet”的喜劇。相關(guān)的Google Testing Blog這樣解釋：“我們寫下關(guān)于一切的文章，從插入依賴到代碼覆蓋，然后經(jīng)常用有趣的插曲給所有Google上的浴室(bathroom)刷石灰，幾乎500個世界各地的攤位”。操作模型很簡單：“你需要它在一個你能看到的地方，你不能忽視它”。當(dāng)反應(yīng)從可笑(“這經(jīng)常是由于我總是忘記把我的Linux Nerd2000的備份帶到浴室”)到不好笑(“我正在使用我的浴室，你能不能讓我單獨待會?”)，信息就泄漏出來了。

教導(dǎo)使用者，今天的頂部攻擊(top attacks)通常不會犯下一些低級錯誤。當(dāng)你只需要禮貌的要求就可以進入得到你想要的東西的時候，你為什么還要攻擊進去呢?最近的一個例子是國稅局的釣魚攻擊，它用一封內(nèi)容為IRS正在進行顧客滿意度調(diào)查的電子郵件作為開始，如果接受者點擊了它上面的連接，彈出的頁面只是要求他們的名字和電話號碼，許若只要完成一個電話調(diào)查就給你80美元。但是，問題就是如果某些人打了這個電話，“IRS”需要一個信用卡號碼來把所謂的錢放到里面，Abrams說“這就是他們怎樣得到有用的信息”。

10.加密：設(shè)定它然后忘記它

保護丟失和被竊的信息不被濫用的最好方法是什么?考慮整個磁盤加密軟件，它保證硬盤數(shù)據(jù)對沒有合適認證的任何人都是無效的?！肮P記本丟失總是在發(fā)生，筆記本被偷后，你最不想發(fā)生的事情就是偷了筆記本的那個人把顧客的信息在網(wǎng)上出售”NCSA的Teixeira說。

考慮在國家的數(shù)據(jù)破壞通知法案規(guī)定下，如果公司丟失了包含有居民敏感信息的機器，但是數(shù)據(jù)是加密的，通知就不是必要的了。根據(jù)Ponemon Institute規(guī)定，假設(shè)數(shù)據(jù)破壞要通知的平均開銷是每個丟失客戶記錄為$182(不是每個客戶)，整個磁盤加密可以節(jié)省大量經(jīng)費。

如果論證對控制金錢的那些人太抽象，嘗試提到高規(guī)格數(shù)據(jù)破壞(highprofile data breaches)，例子有TJX或者CardSystems(它自己是個小公司)。如果一個公司丟失了客戶信息，預(yù)計至少有些客戶會丟失。但是如果一個中小企業(yè)失去了信息，并嘗試掩蓋它或者反應(yīng)很慢，一旦公開，法律和管理結(jié)束后，就像CardSystems表明的那樣，不會再有生意了。

分享名稱：規(guī)避安全風(fēng)險十大要點
當(dāng)前地址：http://www.5511xx.com/article/cdeopsp.html