网络安全的10个步骤:现在可以实施的最佳网络安全提示:当您寻找针对小型企业的网络和IT安全提示时,您可能会寻找经济高效的解决方案和流程,这些解决方案和流程可以在没有整个IT专业人员团队的情况下(并且无需花费很多资金)即可实施。这可能是因为您没有像企业和其他大型组织那样的庞大预算。那么,这是没有希望的原因吗?
当然不是。您可以采用多种方法来计算网络安全预算的每一分,同时减轻IT人员的压力。您可以立即执行以下10个网络安全步骤,以使中小型企业更安全:
提示1:保护您的数据和通讯
保护数据和通信对于任何中小型企业的健康和成功至关重要。
我们可以提供的最重要的网络安全提示之一是不惜一切代价保护您的数据。您的数据包括从敏感的客户信息(包括PII和财务信息)到专有信息(如知识产权和产品价格信息)的所有内容。您知道,您永远不会 希望看到的那种数据 落入竞争对手或网络犯罪分子的手中。
基本上,无论数据是处于静止状态(坐在服务器上的某处)还是处于传输状态(在两个端点之间传输),数据加密都可以帮助您保护数据:
●使用HTTPS协议来保护发送到您的网站的传输中数据。 由于数据以明文形式在用户的浏览器(客户端)和您的网站(服务器)之间传输(这意味着知道外观的人都可以读取),这意味着您必须保护传输通道。 在Web服务器上安装 SSL / TLS证书可帮助您保护在Web客户端和您的网站之间传输的数据。它通过在两个设备之间创建一个安全的加密通道来防止网络犯罪分子“读取”或以其他方式访问该信息来实现此目的。
●使用加密来保护静态数据位于服务器上时的安全。 无论您是要保护电子邮件服务器上的数据还是云存储中的数据,在发送或上传之前都必须对其加密。这样,如果一个坏人以某种方式访问您的帐户并窃取了您的文件,那么如果没有数字密钥,他们将无法读取或访问数据。
得知使用加密并不像看起来那样复杂,您可能会感到惊讶。您不必计算任何复杂的数学方程式或执行任何复杂的过程—您只需安装一些数字证书(在Web服务器或电子邮件客户端上),进行一些选择即可进行设置。数字证书将为您处理其余的工作。
提示2:让用户尽可能安全(轻松)进行远程访问
将所有员工强制使用虚拟专用网络。
就像您将看到的那样,其中一些网络安全提示在持续的冠状病毒大流行期间尤其重要。根据Willis Towers Watson的一项调查,由于雇主报告说有一半以上的全职员工(53%)由于COVID-19而在远程工作,因此 对安全远程访问的需求从未如此重要。这是 真正强大的 网络安全性和身份验证措施可以发挥作用的地方。
这意味着,为了确保您的业务安全及其数据安全,您需要采取措施降低风险并消除任何远程连接漏洞。但是,棘手的部分是这样做,而不会为您的用户带来过多的麻烦。如果您对用户而言,使安全性流程或工具过于具有挑战性或令人沮丧,则他们将无法使用它们。
一个不错的起点是提醒您的员工更改其个人Wi-Fi密码。人们经常使用其互联网服务提供商(ISP)设置的默认密码,这为网络犯罪分子提供了轻松的攻击途径。限制可以访问远程桌面的用户数。另外,请确保其计算机和设备是最新的,并且不允许任何人在不使用VPN的情况下直接连接到您的网络。
提示#3:使用身份验证工具来证明您的身份
为了开始我们的IT和网络安全提示列表中的第三项,让我们花一点时间来认识一下小型企业的身份和声誉对于其成功不可或缺的重要性。与个人身份盗用的情况非常相似,如果您的企业的身份受到损害,则可能造成毁灭性的打击。如果犯罪分子以您的名义开展业务,而客户对您的业务的信任遭到破坏,那么您要走很长的路要走。(也就是说,如果您的业务完全恢复了。)
网络罪犯可以创建看起来像您的假网站,诱骗用户提供其个人信息。他们还可以使用看似来自您或您的公司的网络钓鱼电子邮件来欺骗用户。这就是为什么保护您的身份如此重要的原因。
但是,如何阻止它们?此网络安全技巧着重于如何使用各种身份验证工具以不同的方式断言您的身份,并证明您是自称的身份:
为您的员工安装个人身份验证证书
这种类型的证书(也称为客户端证书或 S / MIME证书)对于验证特定用户很有用。根据您选择使用它的方式,此类型的证书可为电子邮件通信和网站访问提供几种不同的用途:
●对于电子邮件,它使您可以使用数字签名对电子邮件进行数字签名。这不仅可以帮助您向收件人显示您所声称的身份,还可以指示自签名以来,邮件的敏感内容未被篡改。
●对于电子邮件,它还允许您加密邮件和所有附件。这意味着,在您甚至没有点击电子邮件上的“发送”之前,您的邮件就已经被打乱了,除了预期的收件人之外,其他任何人都无法阅读。
●为了网站安全,这种数字证书也可以用于授予对网站受限区域的访问权限。例如,假设您只允许特定用户访问门户或网站区域。如果他们安装了这种类型的证书,则服务器将能够对其进行身份验证并授予他们访问权限。
使用代码签名证书对所有软件进行签名
一个 代码签名证书 使软件开发商和制造商,证明其身份。如果您的软件未签名,则Windows会弹出一条警告消息,显示您的软件来自未知发行商。当您在使用代码签名证书的同时对软件进行签名时,您正在与信誉卓著的第三方(商业证书颁发机构)验证您的身份,该第三方可以证明您确实是您的身份。
在Web服务器上安装网站安全证书(又称SSL / TLS证书)
我们在第一个网络安全提示中提到了这种类型的证书。这对于保护传输中的数据(即在两个端点(通常是用户的Web浏览器和您的Web服务器)之间传输的数据)的保护非常有用。
提示4:对所有用户进行身份验证并限制访问权限
在提供对任何系统(包括网络)的访问权限时,您需要确保可以验证连接的人是否就是他们所说的人。我们咨询的几位专家赞扬的一种工具是 多因素身份验证 (MFA)。通过两种或多种类型的数据对用户进行身份验证的技术可以包括:
●您知道的一些信息(例如密码或PIN);
●您拥有的东西(例如HSM,令牌或移动应用);
●您的身份(生物特征,例如指纹,面部扫描或视网膜扫描)。
提示5:使用多层方法进行网络安全
我们的网络安全提示列表中的下一个:保护中小型企业免受网络威胁的最佳方法是采取多层方法。这应该包括工具,流程和操作人员的正确组合。一些基本的网络安全工具包括端点和网络防火墙以及防病毒解决方案。但是,您需要超越基础知识并实施安全措施,例如:
基于DNS和IP的Web过滤;
●电子邮件过滤,渗透测试;
●入侵检测系统(IDS);
●统一威胁管理(UTM)工具;
●自动化解决方案,例如PKI证书管理器和补丁管理工具;
●定期数据备份。
但这听起来可能有点贵-取决于您选择的工具,价格可能会很高。那么,对于那些渴望安全但又没有足够预算的中小企业来说,哪种方法更具成本效益呢?
提示#6:保持软件,硬件和固件为最新
退休的空军网络运营官,Milepost 42所有者Stacy Clements 说,保持系统修补至关重要至关重要。
在他的网络安全提示中,Puranik还说,虽然适当的工具很重要,但是如果您不通过制造商更新来修补和更新它们,则它们实际上是无用的。
提示7:为最坏的情况做准备,为最好的事做希望
小型企业在网络安全方面往往会犯的最大错误之一是,他们忙于专注于技术方面,以至于忘记了大局:您需要确保自己的身份是什么?业务保持运营?
进行定期漏洞和风险评估
了解其安全漏洞和风险所在的业务 非常宝贵。定期执行漏洞评估可以帮助您识别漏洞,并保护您的网络免受常见的安全漏洞的侵害。风险评估可帮助您确定可缓解的活动或流程带来的任何潜在风险。
维护当前数据备份
当然,您需要网络安全工具和软件来帮助您保持领先(或至少跟上)网络犯罪分子的地位。但是,您需要的最基本的内容之一就是数据:您的知识产权,客户信息以及其他敏感数据。
制定,执行和执行网络安全策略和政策
拥有(并执行)强大的政策是任何强大的网络安全策略的核心要素。其中一部分需要拥有强大的网络策略,例如BYOD和计算机使用策略,以及最低特权策略。
有计划和人员到位,以应对出现问题的情况
当胡言乱语时,你会打电话给谁?我向您保证,《捉鬼敢死队》不会对您有任何帮助。只有您可以保存自己,这意味着您需要 制定防备计划 ,并且可以立即将其付诸实施。这种计划的关键组成部分包括:
●事件响应(IR)计划
●业务连续性(BC)计划
●灾难恢复(DR)计划
●具有角色和职责明细的团队名册
●事后调查和活动概要
与您的团队一起进行练习,以确保每个人都了解自己的角色。确保使用不同的方案。这样他们就知道自己在各种紧急情况下的责任。
提示8:评估并了解您的第三方风险
网络安全公司通常谈论风险评估-但是如果这些风险来自第三方供应商等外部来源怎么办?Collin Varner说,他可以提供的最佳网络安全提示之一与第三方有关。
提示#9:培训员工识别威胁
我们获得的最重要(和推荐)网络安全提示之一可能与教育有关。网络意识培训会教您的员工如何识别各种网络安全威胁以及如何安全地在线运行。但是,小型企业应该接受什么样的培训?
提示10:投资您的IT团队
根据是将公司的网络安全需求外包还是聘请内部人员,这是非常具体的选择。在专家的网络安全提示中,一些专家可能会争辩说,将您的IT和网络安全需求外包给第三方供应商是小型企业的最佳选择,因为您花更少的钱就能获得更多的访问权限。但是,行业内是否存在这种广泛概括的争论很多。
以上就是关于网络安全的10个步骤:现在可以实施的最佳网络安全提示的全部内容,想了解更多关于网络安全的知识,请继续关注中培教育。