红暗科技®

网络安全守护进程

中小企业的网络安全指南

STEP 1:培养良好的网络安全文化

分配管理责任

良好的网络安全状态是所有中小企业成功的关键因素。这一关键职能的责任应分配给组织内的某个人,此人应确保适当的资源,如人员时间、网络安全软件、服务和硬件的采购、员工培训和网络安全有效政策的制定。

获得员工的支持

通过与管理层就网络安全问题进行有效沟通,管理层应支持网络安全措施,向员工提供适当的培训,并向员工提供网络安全政策中列出的明确而具体的规则,从而获得员工的支持。

发布网络安全准则

应该在网络安全政策中为员工概述清楚和具体的规则,关于他们在使用公司的ICT环境、设备和服务时应该如何表现。这些政策还应该强调员工如果不遵守这些政策可能面临的后果。这些政策需要定期审查和更新。

进行网络安全审计

定期审核应由具有适当知识、技能和经验的人员进行。审计人员应该是独立的,无论是外部承包商还是中小企业内部,并且独立于日常it操作。

牢记数据保护

根据欧盟一般数据保护条例,任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业,都需要确保适当的安全控制措施来保护该数据。这包括确保所有代表中小企业工作的第三方都有适当的安全措施。

STEP 2:提供适当的安全培训

定期对所有员工进行网络安全意识的培训,确保他们能够识别并应对各种网络安全威胁。这些培训应为中小企业量身定制,并以现实生活为重点。为企业内部负责网络安全管理的人员提供专门的网络安全培训,以确保他们具备从事其工作所需的技能和能力。

STEP 3:确保有效的第三方管理

确保所有供应商,特别是那些能够访问敏感数据和系统的供应商,得到有效的管理,并达到商定的安全级别。应该有合同协议来规范供应商如何满足这些安全要求。

STEP 4:制定事件响应计划

制定正式的事件应急计划,包括明确的指导方针、角色和责任,以确保所有安全事故以及时、专业和适当的方式作出反应。要快速响应安全威胁,请调查可以在可疑活动或安全漏洞发生时监视和创建警报的工具。

STEP 5:确保安全的访问系统

鼓励每个人使用密码短语(passphrase),将至少三个随机的常用单词组合成一个短语,提供记忆和安全性的非常好的组合。

如果要使用一个传统的密码:

长一点,用大写字母和小写字母,也可以是数字和特殊字符。

避免使用明显的字符,如“password”;字母或数字的序列如“abc”,数字如“123”。

避免使用可以在网上找到的个人信息。

以及无论你是使用passphrases还是passwords

不要在其他地方重复使用它们。

不要和同事分享。

使用多因素身份验证。

使用专用的密码管理器。

STEP 6:确保设备安全

确保员工使用的设备安全,无论是台式电脑、笔记本电脑、平板电脑还是智能手机,都是网络安全项目的关键一步。

保持软件补丁和最新

理想情况下,使用一个集中的平台来管理补丁。建议中小企业:

定期更新所有软件。

尽可能打开自动更新。

确定需要手动更新的软件和硬件。

关注移动和物联网设备。

杀毒

应在所有类型的设备上实施集中管理的杀毒解决方案,并不断更新,以确保其始终有效。另外,不要安装盗版软件,因为它可能包含恶意软件。

使用电子邮件和网络保护工具

采用解决方案,阻止滥发的电子邮件、含有恶意网站链接的电子邮件、含有恶意附件(如病毒)的电子邮件和钓鱼电子邮件。

加密

通过加密保护数据。中小型企业应确保存储在移动设备(如笔记本电脑、智能手机和表)上的数据是加密的。对于通过公共网络传输的数据,如酒店或机场WiFi网络,请确保数据是加密的,可以使用VPN (Virtual Private Network),也可以使用SSL/TLS协议通过安全连接访问网站。确保自己的网站采用适当的加密技术,以保护在互联网上传输的客户数据。

STEP 7:保护网络安全

实现移动设备管理

为方便员工远程工作,许多中小企业允许员工使用自己的手提电脑、平板电脑和/或智能手机。这就导致了存储在这些设备上的敏感业务数据的几个安全问题。管理这种风险的一种方法是使用移动设备管理(MDM)解决方案,中小企业应该:

控制哪些设备允许访问其系统和服务。

确保设备安装了最新的杀毒软件。

确定设备是否加密。

确认设备是否安装了最新的软件补丁。

强制设备受到PIN和/或密码的保护。

如果设备所有者报告丢失或被盗,或者设备所有者的雇佣将结束,则需要远程擦除设备上的所有SME数据

使用防火墙

防火墙管理进出网络的流量,是保护中小型企业系统的关键工具。应该部署防火墙来保护所有关键系统,特别是应该使用防火墙来保护中小企业的网络不受Internet的影响。

审查远程访问解决方案

中小企业应定期审查所有远程存取工具,以确保其安全,特别是:

确保所有远程访问软件已打补丁和更新。

限制来自可疑地理位置或某些IP地址的远程访问。

限制员工远程访问他们工作所需的系统和计算机。

为远程访问执行强密码,并在可能的情况下启用多因素身份验证。

确保启用监视和警报功能,对可疑的攻击或不寻常的可疑活动发出警告。

STEP 8:提高物理安全性

在所有有重要信息的地方都应该采用适当的物理控制。例如,公司的笔记本电脑或智能手机不应该无人看管地放在汽车后座上。当用户离开他们的电脑时,他们应该锁定它。否则,请在所有用于商业目的的设备上启用自动锁定功能。敏感的打印文件也不应无人看管,当不使用时,应妥善保存。

STEP 9:确保备份安全

为了关键数据的恢复,应该保持备份,因为备份是从勒索软件攻击等灾难中恢复的有效方法。

应使用以下备份规则:

备份是常规的,只要有可能就会自动进行。

备份与SME的生产环境是分开的。

备份是加密的,尤其是当它们要在不同地点之间移动时。

对定期从备份中恢复数据的能力进行了测试。理想情况下,应该从头到尾定期进行一次完整恢复测试。

STEP 10:参与云计算

基于云的解决方案提供了许多优势,但也存在一些独特的风险,中小企业在与云提供商接洽之前应该考虑这些风险。

在选择云提供商时,中小企业应确保其在欧盟/欧洲经济区以外存储数据,尤其是个人数据,不会违反任何法律或法规。例如,欧盟 GDPR要求欧盟/欧洲经济区内居民的个人数据不得在欧盟/欧洲经济区之外存储或传输,除非在非常特殊的条件下。

STEP 11:确保在线网站安全

中小企业必须确保其在线网站的配置和维护的安全,并确保任何个人资料或财务资料(例如信用卡资料)得到适当保护。这需要定期对网站进行安全测试,以找出任何潜在的漏洞,并定期审查,以确保网站得到妥善维护和更新。

STEP 12:寻求和分享信息

信息共享是打击网络犯罪的有效工具。分享有关网络犯罪的资料,是中小企业了解其面临的风险的关键。与从行业报告或网络安全调查中听到类似细节相比,从同行那里得知网络安全挑战以及如何克服这些挑战的公司更有可能采取措施保护自己的系统。

原文链接:

https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes