由于小型企业资金紧张,难以投入大量资金用于网络安全。但在目前国内网络安全监管越来越重视的情况下,小型企业若想在不过度投资的情况下确保网络安全,可以参考以下几个步骤:
1、通过实施强有力的密码政策,并要求员工使用独特和复杂的密码,小型企业可以大大减少未经授权访问其网络和数据的风险。
2、定期更新软件和系统补丁
3、在互联网访问中,使用 VPN 进行访问
4、制定应对网络安全攻击的计划
5、员工的安全意识培训
上述五点知识来源:The Importance of Cybersecurity for Small Businesses | by Ismail Tasdelen | System Weakness
上述是技术方面的安全要求,结合国内的情况,除了上述五点之外,可增加如下几项:
1、监管关注的日志留存,需要有 6 个月的日志,这个企业可以自搭建日志服务器,定期备份即可。
2、《网络安全法》要求的风险评估和等级保护,风险评估可以委托第三方公司来做,等级保护的话看企业的业务系统情况,如果并不太重要,可以做个 1 级或 2 级,3 级就需要委托第三方等保公司了。如果要做等保 3 级这些,那就得上相应的安全设备,成本就上来了。
3、资产清单必须及时更新,对自己的家底一定要熟悉,对外开放的各种服务尽量做到最小化,不开放多余的端口。
4、如果有业务系统,定期使用一些开源的漏洞扫描工具进行定期扫描。