企业网络的安全保护

19.01.21 02:06 PM By nina.lin

目前,中小型企业(SMB)对网络的依赖程度越来越高,不但依赖网络进行内部和外部沟通,还依赖网络查验存货、计费、销售、与合作伙伴协作。简言之,中小型企业已经变得时刻都离不开网络。但是,许多中小型企业并没有采取适当的网络安全保护措施。

为什么会出现这种情况呢?因为对于多数SMB来说,网络安全似乎是太复杂了,需要很多资源才能正常运转。许多公司认为网络安全上的支出对企业发展毫无帮助。互联网安全联盟(ISA)的首席运营官Larry Clinton说:“中小型企业宁愿将资源用在销售和营销上。”

另外,某些SMB领导还认为,与大公司相比,他们的公司不太可能成为黑客攻击的目标。与此同时,许多大企业则非常关注网络的安全性。当黑客和恶意者发现攻击大企业的网络变得越来越困难之后,他们就会把目标转向中小型企业的网络。

统计数字证实了这种推断。例如,据Clinton估计,2004年,受到Mydoom蠕虫攻击的中小型企业达到了三分之一,但只有六分之一的大公司遭到了攻击。

安全做起点
以宽阔的网络安全眼界作为起点。不应该只将网络安全作为IT部门的事情,而应当作为业务连续性问题进行处理。网络已经变成了开展业务的重要环节,因此,制订安全规划与销售和营销计划同等重要。

制订计划之前,首先应排除头脑中的任何成见。多数中小型企业至少都已经部署过一些网络安全产品。但现在应该考虑的是,目前的安全保护足够安全吗?最好的方法是多提问,少假设。

书面计划
完成内部网络安全评估之后,通常情况下,最好再聘请外部咨询公司进行一次独立的评估,然后将内外部评估结果进行比较。掌握了这些信息之后,就可以开始制订(或修改)书面网络安全计划了。如果已经聘用了外部顾问,可以请求外部顾问给予帮助。为保持网络安全方法的一致性,一定将计划存档。有了书面计划书为依据,您可以随时评估执行结果,排除故障,培训员工和跟踪各方面的进度。

最后,需要牢记的是,网络安全策略必须一致而灵活。如果业务本身没有发生太大的变化,各种策略,尤其是针对企业最重要的资源制订的策略,就不能改变得太频繁和太剧烈。但是,随着需求的变化,实施这些策略的程序和步骤应该定期评估和更新。

下面列出的提示可以帮助企业制订有效的网络安全计划,并获得各部门对计划的支持和拥护:

●与财务或其它人员讨论时,重点要放在价值回报而不是投资上。要指出安全问题的巨大风险,例如降低收入或遭到客户起诉。

●永远都不要假定网络攻击只来自外部。即使是最忠诚的员工也有可能意外地带来安全漏洞,心怀不满或已经离岗的员工则有可能故意发起攻击。

●要制订公司级安全战略。保护网络安全需要采用统一的全局策略,任何局部解决方案都无法胜任这项工作。

●最好与公司的其它相关人员一起开发和实施安全战略,并注重技术、培训、物理站点安全等。

●必须在安全性和实用性之间达到平衡。网络越安全,使用起来就越复杂。

最后需要强调的是,要想获得网络安全计划成功,还必须不断修订。Clinton总结道:“最有效的网络安全计划是与时俱进的安全计划。”