网络安全中的企业服务器托管不仅必须做好服务器端安全部署,而且对于访问端的安全管理也很重要。
在提出具体的战术建议之前,让我们谈谈一些关键策略:
找到一个可靠的信息安全顾问,按照他们说的做!
承担责任。即使专家建议您,您也必须依靠自己!每个人都应该承担责任-在任何行业中,从小型雇员到董事会,这都是维护安全的关键概念。
不要指望政府。政府必须做和可以做的是:
(1)制定法规,为信息服务提供者/企业提供指导性最低要求,以及
(2)惩罚违反法规的人。
采取行动。不要仅仅停留在研究中,不要让分析徘徊。采取行动-任何行动-不要拖延。如果您找到更好的选择,则可以稍后进行调整。
服务外包,不要自己做。从单一安全服务到企业安全/ IT基础架构的完全外包,选择范围非常广泛。租用服务而不是购买实体。
让员工负责!您负有最终责任,但在此之前,请确保每个员工都知道他们必须为自己的不当行为/违法行为负责并付出代价。
完成策略后,让我们输入关键的十项策略-
每个中小企业都应采用这十个项目来确保公司网络的安全。这些都不昂贵,并且易于理解和易于实现。但是,如果您不这样做,则仅忽略其中之一将使整个公司面临风险。
1.保持合理的硬件更新速率。
理想情况下,建议公司每年更换新的PC,尽管我们知道这是不现实的。换句话说,更新速度超过3-4年意味着公司必须承担其他风险。硬件制造商每年在“隐藏的”安全性改进上投资数十亿美元,其中许多是用户所不知道的。公司需要做的是使您的IT基础架构(从PC到移动设备再到服务器)保持最新。
2.使用最新的操作系统。
本文的含义与第一篇相同。如果公司仍在运行Windows 7,则该公司将面临不必要的风险-Windows 7将在2020年1月14日之后停止提供服务。在Windows 10上,现在!
3.使用评级更高的端点安全解决方案。
不推荐任何特定解决方案的主要原因是-所有服务提供商都在尽最大努力在检测率和性能方面超越对手。每年都有多个年终选择,针对防病毒,安全服务提供商等的排名/评级-因此,请每年查看公司选择的服务提供商的表现,如果有更好的解决方案,请切换。
4.定期下载并安装所有补丁/更新。
无论是操作系统,硬件,关键业务软件,甚至是IP摄像机,修补程序对于安全性都是至关重要的。在计算机领域,“零日漏洞”是指在被发现后立即被利用的安全漏洞,由该漏洞发起的攻击称为“零日攻击”。这种攻击利用了用户的意识不足或未打补丁的方式,造成了巨大的损失。零日漏洞一直是黑客的最爱。通常,在暴露漏洞和安全补丁的同一天,就会出现恶意攻击。及时打补丁是防止零时差攻击的最佳方法,尽管这很无聊。但这是必不可少的。
5.遵守良好的密码卫生习惯和现代管理。
始终更改新硬件(例如路由器)和所购买软件的默认密码。使用“强密码”并每年更改几次。切勿对多个设备/服务使用相同或相似的密码!为了使所有这些事情变得更容易,您可以使用有用的“密码管理器”-具有硬件优化功能(例如Dashlane)的密码管理器。
6.使用双重(或多重)身份验证-也称为“ 2FA”。
如果最终用户和企业都使用双重(或多重)身份验证,则可以消除大多数数据和隐私泄露。这是一种免费,简单而有效的方法。如果您想选择一种“谎言制胜”的网络安全方法,就是这样。此外,与此密切相关的是,根据身份验证的要求,按需选择不同的供应商-从金融服务到办公服务。需要两步验证,要求供应商具有清晰,易于理解的隐私和安全声明。如果您不理解声明的内容或对任何内容不满意,公司可以选择下一个。
7.计算机必须已安全联网。
首先,请确保在连接到热点时使用VPN。记得。入侵的主要方法之一是无保护地连接到公共热点,以进行犯罪分子的伪造/广播。连接时,您已经放弃了所有密码。在最坏的情况下,系统感染了无法检测到的恶意软件(例如,键盘记录器等)。如果可能,使用蜂窝网络连接比使用公共热点更好。大多数现代手机都允许它们成为个人热点,并且企业可以通过其PC上的个人热点连接到Internet。
8.备份,备份,备份。
我们迫切需要备份数据并放开所有其他原因,现在我们有了最大的罪魁祸首之一-勒索软件。有许多基于云的备份服务提供商,并且公司必须根据其业务性质确定最能满足您的功能需求的服务。需要遵守的一个重要功能是“无限副本”-也就是说,每次更改文件时,服务都会保存一个副本,而不仅仅是最后一个。这是至关重要的,因为在勒索软件攻击的情况下,企业需要确定感染的确切时间,并在该时间点之前选择备份文件以将其还原。另外,强烈建议使用本地文件备份服务器(网络连接存储或NAS)作为备份-本地备份允许企业在事件发生后立即备份和运行,并且需要一段时间才能下载TB来自云服务的数据。但是,不要仅仅进行本地备份,因为您可能会遇到物理灾难(例如火灾)。备份无聊,乏味且难以为NAS安装。
9.信任但要审核-每年聘请一名审核员。
很少有人建议这样做,但是考虑到数据在业务运营中的重要性,我认为这是值得的投资。审核公司检查公司的补丁程序,评估您的保护,检查公司的员工政策,并对备份设置进行风险评估。考虑到数据泄露可能导致破产,起诉或什至完全销毁,因此尽早审查无疑是一种内心的平静和内心的平静。
10.不要忘记基本的网络安全保护
例如,企业网站部署SSL安全证书,企业邮件部署邮件证书等,并锁定用户的私人数据。当用户访问页面时,它可以帮助您检查网站是否安全,还可以防止流量劫持和数据篡改。等问题。做好最基本的安全防护工作,避免小损失。
上面提到的十个策略没有先进和复杂的技术,也没有独特的创新方法,但是许多重要的事情是司空见惯的。如果本文使每一个读过它的中小企业都采取了至少一项行动,那么这是有道理的。