欢迎点击关注我们
保护计算机、程序、网络和数据免受攻击、破坏、盗窃和非法使用这种需要,并不仅仅限于政府和大型企业。随着政府和大型企业投入可观的预算保护他们的系统,犯罪分子开始把目光转向更弱势的目标,比如小企业。
对小企业来说,网络安全已经成为一个真正的威胁。对多数企业来说,问题已经不是什么是否会受到攻击,而是已经受到攻击或将受到攻击。所以,现在的问题是:考虑到客户数据可能是这类攻击的主要目标,你应该做些什么来减少此类攻击的风险以及由此可能带来的破坏?
要保护你免受网络攻击,单单采取一次行动是不够的。你应该考虑以下行动,来改善你的网络安全。
了解企业自身
你要全面了解企业所使用的各种电脑服务是如何提供和进行保护的,这一点十分重要。对当今世界的一个小企业来说,通过因特网或云端就可以获取许许多多的服务和应用软件,并可以用于办公室或移动装置上。通常,很少或没有机会去改变这些服务的使用条款。你应该考虑,如果这些服务中断一段时间,企业会如何运行,把企业信息转移到其他服务供应商的难度有多大,以及你的供应商如何保护你的信息不丢失数据。
网络安全从你和员工开始,也因你和员工结束
你可以投资一大笔钱用于系统和硬件来保护网络,但可能因为员工犯一个简单的错误或不当地共享密码而让犯罪分子绕开所有那些保护措施。所以,你必须建立和强化基本的安全措施并培训员工,让他们了解安全行为,这样,当有人向他们不适当地索取保密信息时,他们能够有合理的判断。索取保密信息可能会通过电子邮件(这叫“网络钓鱼”),或通过电话(这叫“电话诈骗”),甚至通过短信(有时称作“短信诈骗”)。你要安排一名员工,负责定期地与你和员工就网络安全问题进行沟通并提供培训。
及时更新软件
安装杀毒软件,并确保它、浏览器和操作系统及时更新。每次更新后要用杀毒软件扫描杀毒。开启这类软件的自动更新功能,并防止员工关闭这些更新功能。使用“白名单”应用软件,来帮助防止邪恶软件和未经授权程序擅自运行。
安装防火墙
确保操作系统的防火墙处于开启状态,并防止员工关闭它。如果员工(或其他有权使用系统的人)在远程工作,要确保他们的系统有适当的防火墙保护,并要及时更新。要对操作系统缺陷和这类应用软件进行补丁处理:Java, PDF viewers, Flash,web browsers and Microsoft Office
找出可能易受攻击的资产
对你持有的可能易受攻击的资产进行盘点,以便知道哪些资产需要保护,并进行风险程度分析。资产及包括有形资产,也包括无形资产,如知识产权。
定期备份
将定期备份储存在办公室以外的安全地点或云端,会帮助你的企业在被攻击后迅速恢复正常运作。要定期全面测试那些备份是否正常。如果使用云端备份服务,并且储存了敏感的客户信息,你必须事先对备份进行加密。
对使用你网络系统的第三方进行安全性检查
如果你允许供应商或合同方使用你的系统,要确保网络安全要求写入合同条款,他们的网络安全措施至少达到你自己的要求。如果他们又把你的项目转包给其他供应商,你还要检查他们的网络安全水平。你一定要定期检查系统的使用,必要时注销帐户。建立一个使用系统的组织及其员工的登记簿,帮助你在情况变化时找出并限制使用。
网络安全和移动装置
员工、合同商、供应商和客户如果通过他们自己的移动装置来使用你的网络,也会带来风险。如果你允许他们这样使用,也要限制他们的使用程度。要求员工、合同方和供应商的移动装置用密码保护,并安装安全适当的安全软件。 考虑加强对已知移动装置的使用限制(被称作白名单)。
控制网络的实际使用权限
你一定要对每个员工建立单独帐户,并要求设立复杂密码,最长每3个月更换一次。建立独立帐户,你就可以跟踪每个用户。你可以考虑只允许经授权的人将装置与你的网络进行连接。
限制无线网络的使用
如果你的企业有无线网络供员工使用,一定要确保其安全(要求输入密码)并隐藏起来。如果你有公共网络供客户使用,确保只让客户使用公共网络,而非影响你公司业务的网络。永远不要使用公共无线网络接入来进入你的公司网络。
将你的销售点系统分开
将你的销售点系统与其他安全性较差的系统分开。跟向你提供销售点系统的银行探讨,他们也许能够帮助你提高系统的安全性。
控制员工使用信息系统的权限
员工使用信息系统的权限应该仅限于他们完成工作的需要。任何员工都不应该有使用整个系统的权限,软件的安装也必须得到特别批准才行。对于重要数据的使用,可以考虑要求另外授权和密码。一旦有员工离职,他们的使用权限,包括远程使用权限必须立即取消。除非需要维修等特殊情况,对于行政管理或尊贵用户帐户的使用要进行严格控制或取消。
灾难恢复计划
制定一套灾难恢复计划,一旦你受到攻击以及数据被盗用或丢失或系统受病毒影响时,可以帮助你进行应对。你的计划可以包括如何与顾客和其他人进行沟通,如果他们的数据已经被盗用或丢失。
检查
要定期检查系统的安全性,看看是否妥当。你也可以利用外部资源进行检查,并对网络安全的效果提出看法。这些外部资源包括你的供应商和保险公司。可进行随机测试,如利用网络钓鱼邮件来教育员工和/或供应商,网络安全存在潜在风险。
受到攻击要报告
就像报告有人非法闯入你的办公场所一样,对于企图和实际发生的系统攻击也要进行报告。只有报告了此类行为后,执法部门才能对犯罪分子采取行动。在中国,你可以通过网络违法犯罪举报网站举报犯罪,详情请参见www.cyberpolice.cn
关于网络安全的更多资料,可浏览www.staysmartonline.gov.au , www.business.gov.au或 http://www.fcc.gov/cyberforsmallbiz。
长按二维码,关注澳洲会计师公会官方微信
