中小型企业的五个*安全实践

　　1、确保覆盖安全基础

　　你知道你应该在公司的每台计算机上有防病毒和防火墙保护，你也知道要培养员工对电子邮件和Web访问的安全意识。但是你验证安全工具是最新的了吗？你验证员工了解点击怪异附件随之而来的风险了吗？

　　根据安全与合规专家的观点，你应该确保遵循的其他安全基础知识包括：

　　确保员工在用户级别，而非管理员级别(当然要确保至少有一两个员工具有管理员级别的访问)。

　　保持补丁更新，并在可能的情况下启用自动更新。“补丁第一，问问题第二。”专家说。

　　使用共享的网络驱动器归档重要的数据。

　　教育员工识别新出现的威胁，如移动恶意软件和社交媒体网络钓鱼。

 

　　2、驯服电子邮件

　　太多的安全问题从电子邮件开始。然而，大多数钓鱼攻击可以被良好的垃圾邮件过滤工具切断。垃圾邮件不仅经常是恶意软件的重要载体，它也是带宽和存储的杀手。

　　如果你的电子邮件是外部托管的，你可以通过部署基于网关的垃圾邮件过滤阻止这种垃圾邮件到达企业内部网络。从长远来看，这比基于桌面的垃圾邮件过滤更有效。

　　对于业务细水长流的中小型企业来说，桌面垃圾邮件过滤始终是一个选项。或者廉价的解决方法是将邮件转发到Gmail中，Gmail使用Postini筛选出dreck。这个管理需要给每个员工两个电子邮箱(很明显麻烦，但如果你希望便宜，就不能抱怨太多)。邮件被投递到第一个收件箱中，将其转发到Gmail进行清洁，设置Gmail转发到第二个地址，当然你也可以信赖Gmail作为第二个电子邮件地址，因为你可以设置Gmail以企业电子邮件地址回复。

　　积极移除垃圾邮件，将帮助你消除很多潜在的威胁。现在，找出你将如何做到这一点的方法。

 

　　3、超越基本的密码

　　自动密码破解工具包在网上泛滥，企业需要拥抱强密码，在理想情况下，最好采用多重身份验证。

　　据德勤的报告显示，在2013年超过90%的用户生成的密码容易受到黑客攻击，甚至那些被IT部门认为是强大的密码未能幸免。

　　使用强密码的麻烦，那些很长的包括数字、特殊字符和大写字母的字符串是几乎不可能记住的。或者把它们写下来，或依靠助记符过关。 如“the Red Sox broke the curse of Babe Ruch (and stopped the 1918 jeers) in 2004.”密码将是tRSbtcoBR(ast1918j)i2004。

　　当你不知道你的密码强度，尝试工具如微软的Password Cheker，或者是How Secure is My Password。我比较喜欢后者，不仅因为它会估算采取台式电脑破解密码将耗时多久，还因为它的警示标签：“该网站可能窃取您的密码，小心输入你的密码。”

　　我试过助记符，但我总是忘记一个词或符号。如在上述例子，我忘了开头的"the"，或者我会忘记某个特定网站不接受括号，所以我代之以星号。

　　那么，投资于密码管理软件或服务是有必要的，而且其中大部分是相当便宜的。如LastPass(入门版免费;高级版本每年12美元，支持移动设备和创建双因素认证的USB令牌)，1Password(49.99美元)，OneID(个人免费)，PasswordBox(免费版支持高达25个密码;超过25个每月1美元)，都将帮助你以低成本管理密码，不用写下来。

 

　　4、超越网络保护

　　这些天来，坏人可能攻击你的网页，你的应用程序甚至数据库。数据库安全公司GreenSQL创始人兼首席技术官大卫•马曼(David Maman)建议：“网络防火墙是不够的。”

　　Web环境有四层需要保护：网络层，应用层，操作系统级和数据库级。马曼说“大多数人认为这些层是嵌套的同心圆”， 他们的理由，如果他们保护最外层，内层将自动被保护，但这是不正确的。

　　马曼指出，一个很常见的攻击，SQL注入攻击，防火墙就无法停止。他建议采用Web应用防火墙(WAF)以帮助解决这个问题，但他同时指出，WAF不能看到数据库的攻击，不具备基本的签名，这意味着数据库需要自己的安全层。

　　同样，如果任何人都可以直接连接到你的数据库，你可能会遇到麻烦。“举个例子，当银行使用数据库顾问以微调银行网站的主数据库，外部顾问出于维护目的连接到数据库，但实际上，他可以做他想做的任何事，比如在无人知晓的情况下变更信息，或复制客户列表。”

　　调查GreenSQL这样的公司提供的数据库安全工具，和CloudFlare这样的供应商的网站保护工具，选择合适的方案，将有助于保护你的网站免遭分布式拒绝服务攻击(DDoS)，SQL注入和电子邮件截获。
 

　　5、跟上潮流拥抱云

　　许多复杂的安全工具正在迁移到云计算上，供应商在疏远内部部署(on-premise)软件，拥抱服务。即使是复杂的移动设备管理(MDM)或企业移动管理(EMM)或移动应用管理(MAM)或其他的缩写，现在可以作为一个负担得起的基于云的解决方案，从Apperian、Fiberlink和思杰(通过收购Zenprise)等供应商获得。

　　同时，BullGuard希望Mobile Security和Marble Security全部提供基于云的保护，防止手机恶意软件。

　　移动反恶意软件，MDM，MAM，等等，有很多的特性，所以你一定要做好功课，只为你真正需要的功能买单。