中小企业,是指经营规模不大,人员和资金有限的中小规模企业。相比于那些实力雄厚的大企业,中小企业可能没有那么多的资源以及相应的技术来应对网络攻击。那么,中小企业究竟应该通过什么样的方式,以最小成本来维护企业的网络和信息安全呢?这是我们今天要讨论的问题。

麻雀虽小,五脏俱全,中小企业和大企业实现“网络安全、信息安全”的过程、流程,其实都是差不多的,只是中小企业的用户,在进行安全部署时往往首先考虑“成本问题、维护费用”等支出。

一些规模很小的企业,大多并没有专门的IT部门,通常依靠办公室的行政人员或一名IT人员来处理复杂繁多的安全性任务。在某些情况下,资金较短缺的小企业由于不堪重负、艰难求存,很容易对他们的网络、信息和数据安全疏于保护。

在过去,因为企业自身规模较小,从而受到攻击的概率也相对较小,对于网络安全的投入并不能迅速带来显而易见的回报。但在实际企业运营过程中,又常常有来自于网络安全的损失,阻碍着企业的发展。现如今高度发达的互联网社会,计算机病毒、黑客技术的发展使得网络安全的威胁无处不在,并且随时都有可能发生。

下面,我们来针对中小企业应该如何保障自身网络和信息安全,分享几条易于理解和执行的建议:

1、保持合理的硬件更新

企业每年应该对一些硬件配置过于落后、超过或接近使用寿命的IT硬件,如:办公电脑、服务器、路由器等,进行淘汰或相应的更新升级。这样做虽然需要付出较大的成本,但既可以提高IT硬件设施的运行效率,又可以增强网络安全性以及防御网络攻击的能力。

2、使用最新的操作系统

这一条的意义与第一条相同。如果你企业的办公电脑仍然在运行Windows 7版本的操作系统,那么可能会使企业的网络、信息安全面临不必要的风险——Windows 7在2020年1月14日之后将停止更新服务,在停止对更新服务的支持之后,Windows 7将不会获得包括安全补丁在内的更新支持。建议企业用户将办公电脑的操作系统,都更新成Windows 10版本。

3、定期下载并安装所有补丁/更新

无论是操作系统、硬件,还是关键业务软件,勤打补丁对其安全性都有非常重要的作用。在IT领域,“零日漏洞”是指被发现后,立即被恶意利用的安全漏洞,而利用这种漏洞发起的攻击则被称为“零日攻击”。这种攻击,利用的是用户缺少安全防范意识或未安装补丁,从而造成巨大的、杀伤力极强的破坏。“零日漏洞”一直是黑客的最爱,通常在漏洞与安全补丁曝光的同一日内,恶意利用程序就会出现,因此及时打补丁是防范“零日攻击”的最好方法。

4、定期的密码管理

应该保证至少每两三个月更改一次密码,并且使用“强密码”,例如:大写字母类、小写字母类、数字类、符号类混合,每类最少有1个。另外,不要对多个设备或服务使用相同或相似的密码。

5、使用双重(或多重)身份验证——也称为“2FA(双因子认证)”

如果最终用户和企业都使用双重(或多重)身份验证的话,其实可以消除绝大部分数据和隐私泄露的安全隐患。这是一种免费、简单、有效的方法,如果要在网络安全方面选一个可以“躺赢”的方法,那就是它了。

2FA(2 Factor Authentication,双因子验证),是一种安全密码验证方式。2FA(双因子认证)区别于传统的密码验证,由于传统的密码验证是由一组静态信息组成,如:字符、图像、手势等,很容易被获取,因此相对不安全。2FA(双因子认证)是基于“时间、历史长度、实物(信用卡、SMS手机、令牌、指纹)”等自然变量,并结合一定的加密算法组合出的一组动态密码,一般每60秒刷新一次,不容易被获取和破解,安全性相对更高。

6、计算机务必安全地联网

入侵的主要途径之一就是无保护地连接到犯罪分子伪造/广播的公共热点。所以,连接到热点时务必使用VPN(虚拟专用网络)。如果可能的话,使用蜂窝网络连接也好过使用公共热点。现在的智能手机都允许自己作为个人热点,你可以在PC上连接个人热点,进而连接和访问互联网。

7、做好重要数据的备份

现在比较猖獗的“勒索软件”,就是黑客通过加密企业和个人计算机内的重要文件和数据,进而要求受侵害的企业和个人支付“赎金”以解锁加密文件的一种网络黑客攻击。因此,企业要想规避这种“勒索软件”攻击的风险和隐患,必须要及时做好重要数据的备份。

另外,建议使用本地文件备份服务器,例如:NAS(网络附加存储)作为备份——本地备份可以使你在事件发生后立即备份并运行,而从云存储的备份服务下载TB数据,需要一段时间。如果有条件,不要只做本地备份,建议考虑异地备份,以规避可能会遭遇的物理灾害(例如:火灾、地震等),。

以上提到的7条可行建议,并没有什么高深复杂的技术,也没有什么独树一帜的创新方法,其中多条建议,可以说是“老生常谈”了。但这篇文章的价值,就在于唤醒和提高一些中小企业用户的安全防范意识,毕竟事前防范的结果总比事后补救来得要好。

亿速云,作为业内资深的专业云计算服务提供商、云安全服务提供商,一直高度关注和重视用户的网络安全以及服务器使用安全等问题。亿速云为用户提供的专业防御DDoS攻击的高防云服务器、高防裸金属服务器,具备“大规模、超大规模的DDoS攻击防御能力;可根据DDoS攻击流量大小的变化,灵活升降服务器的配置;以及全业务场景支持”等特点与优势,防御性能出色,防御效果显著,在业内众多DDoS防护产品中具有较强的竞争力,获得了用户不少口碑。