由於小型企業資金緊張,難以投入大量資金用於網路安全。但在目前國內網路安全監管越來越重視的情況下,小型企業若想在不過度投資的情況下確保網路安全,可以參考以下幾個步驟:
1、通過實施強有力的密碼政策,並要求員工使用獨特和複雜的密碼,小型企業可以大大減少未經授權訪問其網路和資料的風險。
2、定期更新軟體和系統補丁
3、在互聯網訪問中,使用 VPN 進行訪問
4、制定應對網路安全攻擊的計劃
5、員工的安全意識培訓
上述五點知識來源:The Importance of Cybersecurity for Small Businesses | by Ismail Tasdelen | System Weakness
上述是技術方面的安全要求,結合國內的情況,除了上述五點之外,可增加如下幾項:
1、監管關注的日誌留存,需要有 6 個月的日誌,這個企業可以自搭建日誌伺服器,定期備份即可。
2、《網路安全法》要求的風險評估和等級保護,風險評估可以委託第三方公司來做,等級保護的話看企業的業務系統情況,如果並不太重要,可以做個 1 級或 2 級,3 級就需要委託第三方等保公司了。如果要做等保 3 級這些,那就得上相應的安全設備,成本就上來了。
3、資產清單必須及時更新,對自己的家底一定要熟悉,對外開放的各種服務盡量做到最小化,不開放多餘的端口。
4、如果有業務系統,定期使用一些開源的漏洞掃描工具進行定期掃描。