中小企业改善安全但不增加投入的五种途径

对大多数企业而言，改善业务安全性似乎不可避免地带来资金投入;但事实上我们也有不必花钱的其它实现途径。

尽管不少企业已经在应对日常业务需求时花费大量时间，但仍然无法避免安全问题日益积累的尴尬局面。不过中小企业的信息技术人士还是能通过小规模修复在一定程度上改善安全状态，而且不必花费大量资金，Thrive Networks公司——一家专为中小企业提供信息技术管理的服务供应商——首席技术官Dylan O’Connor指出。

“客户有很多成本很低甚至完全不存在成本的途径来改善自身安全性，”他表示。“这些步骤对于IT管理者可能并不陌生，但我们的大多数客户甚至根本没有设置IT管理员岗位。”

从评估过时系统与低强度密码到组织第三方供应商调查，企业完全可以在不影响运营底线的前提下将安全性提升至新高度。下面就请大家一同来看由中小企业安全专家提供的五大省钱改进途径。

1.评估当前业务安全性

企业应当尽早着手评估自己的计算机系统，了解这些系统对于业务运营及安全性的重要性与实际意义。整个过程并不会给企业带来直接开支，只是占用了员工的一部分工作时间。但其效果仍然非常显著，过时系统与安全隐患最终可能给企业带来巨额损失，安全管理服务供应商Trustwave公司研究实验室主管Charles Henderson如是说。

“如果可能的话，请尽量探索能最大限度降低攻击面的方法，”他指出。“我发现很多中小企业都会在业务流程中掺杂一些不必要的复杂项目。”

当企业对现有系统进行汇总整理时，他们还需要确保所有系统都经过合理配置、从而限制终端用户的操作权限——即不允许使用者以Windows管理员的身份登录系统。除此之外，企业还应该通过检查确定所有密码——尤其是那些与Windows域及其它关键服务器相关的密码——并未采用默认内容且不易被猜出，Thrive公司的O’Connor建议道。

2.培训终端用户

要想攻破目标系统，大多数攻击者都必须借助终端用户的不当操作，因此向员工传授安全知识能够有效降低攻击活动的发生频繁，戴尔软件终端用户产品战略执行理事Brett Hansen表示。

“终端用户自身已经成为最严重的安全威胁，”他告诉我们。“尽管安全解决方案能够以各种方式消弭其它高危因素，但用户仍然必须时刻保持警惕。”

企业应当每月组织午餐交流活动，为员工提供安全沟通平台，Thrive公司的O’Connor建议道。为了保持大家的参与积极性，我们不妨为每次活动设定单独的主题，例如筹备一些安全案例研究或者网络钓鱼电子邮件，并向员工传达保障系统与设备安全的重要性，他指出。

“另外，当我们与员工讨论互联网安全时，不要只以办公环境为基础展开交流，也应该把家中的工作状况考虑进来，”O’Connor补充称。

3.定期为系统重新制作镜像

企业也应该考虑将员工计算机的镜像快速重新制作纳入工作流程。虽然创建标准化镜像并将其部署到新系统中属于IT部门的职责，但定期实施这一方案对企业安全性保障同样大有禆益，某中型游戏厂商资深安全分析师Michael Gough表示——他不愿透露自己所在单位的具体名称。

任何一台在一周之内通过企业杀毒软件、公司防火墙或者入侵检测系统提交过警告信息的设备都应该重新进行镜像制作。对于那些对取证工作较为重视的企业而言，IT人员还应该直接将原有硬盘撤换下来并在新驱动器中制作镜像。

“如果某位员工收到来自杀毒软件的警报，并在一周之内再次发现类似提示，请马上重新制作设备镜像，”Gough解释道。“如果大家在一个月内发现三次这类提醒，那么整台PC的镜像都需要重新制作。”

此外，公司还可以定期对员工系统的镜像加以重制以获得良好的安全保护效果。根据Trustwave公司发布的2013年全球安全报告，只有36%的企业能在入侵活动发生九十天之内检测到该事故。每个季度定期重新制作镜像能帮助企业根除潜在安全威胁，从而将那些已经感染了员工系统但尚未造成危害的隐患扼杀在萌芽状态。

“只要我们能定期更新设备中的数据，停机机率就能被控制在极低的范围，这样的收益确实非常显著，”Gough总结道。

4.严格审查第三方合作伙伴

从云供应商到业务顾问再到外包交易系统，第三方合作伙伴的介入可能成为企业业务环境安全的致命短板。根据Trustwave公司的研究报告，由第三方公司引发的数据泄露事故占事故总体数量的三分之二左右。

“我们真的很难把握第三方合作伙伴在安全性方面的水准，”Trustwave公司的Henderson指出。“而且我们也经常需要处理由第三方供应商安全实践失误所引发的安全事故。”

中小型企业需要在确保第三方供应商具备良好的安全指标之后才着手筹备协作并签署合作意见。根据Thrive公司O’Connor的意见，企业管理者需要首先弄清以下几个问题：供应商的基础设施受到哪种防火墙或安全机制的保护;他们多久安装一次安全补丁，安装流程如何进行;第三方拥有多少位常驻安全专家，这些专家拥有如此认证资质;另外，他们为客户提供哪些安全强化措施——例如双因素认证等。

“大家不需要在第三方评估工作中投入资金，我们只需要确保对方花钱完成这些任务即可，”Henderson补充称。

5.使用云服务及托管服务供应商

对第三方服务供应商安全因素感到满意的企业也可以利用向云端迁移将自身安全水平推向新高度。尽管大型企业可能会通过创建内部服务实现最高水准的安全性指标，但中小型则几乎不可能拥有足够的财力与精力实现同等效果，因此云服务安全性已经可以算是相对理想的业务方案。有鉴于此，将电子邮件、备份以及文件共享等服务迁移至云环境当中不仅能够节约资金，更会获得相对平衡的安全表现，Thrive公司的O’Connor解释道。

“现在的关键问题已经不再是我们为什么要向云端迁移，而是随着这一趋势的持续升温，为什么还要拒绝云服务这样一套极佳的备选方案，”他表示。

托管服务供应商还能够搞定大部分企业自身受员工素质所限而完成不了的安全任务。员工总人数在250人以下的企业通常都不具备全职信息安全经理，因此管理者必须考虑利用托管安全服务供应商来打理复杂的安全设备，例如入侵检测系统以及日志分析系统等。

“只有真正熟悉并掌握安全知识的顶尖人才能够顺利搞定保护工作，”安全专家Gough指出。“如果大家所在的企业还没有专门负责审核防火墙规则及路由规则的团队，那么即使部署了入侵检测系统、其结果也不过是形同虚设。”