中小企业信息安全:基本原则
中小企业信息安全:基本原则
作者:老醋蜇头
概述:
对于大多数小企业来说,他们对信息、系统和网络的安全可能并没有比较高的优先权,但是对他们的客户、员工和贸易伙伴比较看重。
小企业在国民经济发展中占有很重要的地位,也是GNP(Gross National Product)的重要贡献力量并创建了众多的新的工作岗位。他们是国民经济发展中不可缺少的一部分。
大的企业一直在积极地寻求与信息安全相关的各种资源,包括技术、人才并投入大量的预算。这样一来,hack和网络犯罪分子把这些企业作为目标会变得更困难。所以,我们看到hacker和网络犯罪分子现在把目标更多的关注在了对信息安全不是很在意的中小企业上。
因此,适当的确保每个中小企业的信息,系统和网络安全变得非常重要。
这份资料将协助小企业的管理,来了解如何为他们的信息、系统、和网络提供基本的安全策略。
1、 介绍
为什么小企业应该对信息安全感兴趣或者是要关心的?
每个企业的客户都期望自己的敏感信息受到尊重并给予足够和适当的保护。企业的员工也期望他们敏感的个人信息也被适当的保护。
而且,除了这两个群体,当前或潜在的业务伙伴也与他们相关的信息也能在这个小企业中得到安全保护。这些企业伙伴希望确保他们连接小企业的信息,系统和网络是没有风险的。当前的合作伙伴或潜在的业务伙伴期望能有一个适当的安全等级来保护他们的敏感信息----类似于他们在自己系统和网络的实施的安全等级。
在你的企业中使用的一些保密信息需要特殊保护(确保只有在实际工作中需要访问的人,才能访问这些信息)。对于企业中使用的信息需要进行完整性保护(确保该信息不应该被没有授权访问的人篡改或者删除)。在你的企业中使用的这些信息,需要保护它的可用性(确保当需要使用这些信息时,这些信息是可用的)。当然了,在你的企业使用的信息中,需要保护的不止这些。
这些信息可能是敏感的员工或者客户信息、商业机密研究或计划、财务信息、或者像隐私信息、健康信息、或者某类金融信息等这样的特殊信息。这些信息类别中的有些特殊信息,对监管要求更加严格的这些信息,更需要特殊的保护,如果没有按照监管要求进行妥善保护的信息,可能很容易导致监管机构的罚款和处罚。
正如要保护信息就要涉及到成本(硬件、软件或者像政策&方针这样的管理控制成本等)。也涉及到没有保护的信息成本。对于小企业的风险管理,也要关注规避成本—在这样的情况下,避免没有保护敏感商业信息带来的成本。
当我们考虑成本规避时,我们要知道哪些成本不是立即显现的。在这些成本当中有些是法律对任何企业都要求的,包括小企业,会以指定的方式通知(hacker事件中、恶意代码事件,员工擅自发布的信息等)那些数据被漏洞曝光的所有人,这些与安全漏洞相关的通知造成的平均成本费用估计已经超过没人13000美元(此数据引用美国商务部-国家标准技术研究所)。如果你有1000名客户的数据被攻破,你的最低成本是每人130000美元,这应该成为预防此类事件再次发生的动力,客户因为企业在信息安全方面的工作做得不到位而导致客户信息的泄露,会让客户对该企业失去信任,进而影响到他们在其他地方开展业务,比如CSDN事件,就导致了该企业大量高质量客户的流失,这种成本不会立即显现,但是这个成本会均摊到每个人身上。
考虑到病毒和其他恶意代码(程序);根据卡巴斯基最新发布的安全报告,2015年网络罪犯针对企业发起的攻击数量几乎翻倍。2015年58%的公司电脑至少遭遇过一次恶意软件感染威胁,比2014年上升了三个百分点。29%的公司电脑至少曾遭遇过一次网络攻击,41%遭遇过本地威胁,例如USB优盘。此外,针对Android平台的攻击数量同比增长了7%。赛门铁克在2015年发现新增恶意软件430多万个,与往年同比增长36%。(Symantec:Internet Security Threat ReportVOLUME 21, APRIL 2016),对于操作带有这些危害的没有受到保护的计算机是不可想象的。即使不是大多数人,犯罪分子利用这些病毒和恶意程序窃取信息,损失也是很庞大的。
要让小企业实行完备的信息安全方案不太可能,但是对信息、系统和网络实施足够的安全还是可能的。
2、 小企业应该保护好他们的信息、系统和网络是绝对必要的行动
要给你的信息、计算机和网络提供基本的信息安全,这些练习是必须要做的:
- 保护由病毒、间谍软件和其他恶意代码,对信息/系统/网络带来的危害。
对公司中使用的每台电脑都安装反病毒和反间谍软件,并保持定期更新,如果有“real-time”模式,开启它。
- 对Internet连接提供安全防护
对于7天*24小时的互联网宽带连接,提供安全访问时很重要的。应该在内部网络和互联网之间运行一个硬件防火墙。这个防火墙可以是带有无线访问的热点或路由器或者是ISP提供的路由器。
因为有的员工会在家里连接企业内部网做些企业工作,确保所有员工的家用系统和互联网之间有个硬件防火墙的保护。
对这些安装的设备进行密码管理,定期更改密码和默认的管理员名称。设置一个不易让Hacker猜到的密码
- 在所有的企业系统上安装并激活软件防火墙
对公司使用的每台计算机系统安装,使用并定期更新软件防火墙。
如果你使用的Microsoft Windows 系统,它本身包含防火墙,你必须确保这个防火墙是正在运行的,并且是可用的。具体如何使用,参加相关资料。
- 对操作系统和应用程序打补丁
所有的操作系统都提供补丁程序,要及时的对系统补丁更新,防止被Hacker或恶意程序利用漏洞。
- 对重要的企业数据/信息进行备份
备份你的企业在每台电脑中使用的数据。这些数据包括但不限于工作流程文档、电子表格、数据库、财务文件、人力资源文件,应收/应付账款文件和其他在你的业务中产生的信息等。
如果可能的话,这些工作应该是自动化的,异地化并定期验证完整性,可用性
- 控制对你的计算机和网络组件的物理访问
不允许非授权的人去碰触你的业务电脑。你没有在使用的笔记本就应该随时锁定。可以对屏幕进行相应的隐私设置,让路过的人无法看到屏幕上的信息。
控制对你的计算机和网络的物理访问,包括清洁员,电脑维修人员等。
- 保护你的无线接入点和网络
如果你使用的是无线网络,应该关闭SSID。更改管理员名称和密码,设置无线加密方式为WPA-2的高级加密标准AES。
- 用基本的安全原则培训员工
对于使用任何包含敏感信息的计算机程序,都应该学习如何正确的使用和保护这些信息。新员工第一天开始工作,你需要教给他们你的信息安全原则,让他们按照你的安全原则来使用你的计算机、网络和互联网连接。
此外,培训他们关于限制个人使用电话、打印机和任何其他业务拥有的或提供的资源。培训结束后,应该要求他们签署一份商业保密协议。对违反商业协议的,你需要明确的规定处罚措施。
建立如何处理和保护客户数据和其他商业数据的行为准则。这可能包括不允许把公司的数据带到家里或在家里的电脑上进行工作。
在这个信息、系统、网络安全的原则中培训员工,可以更好的保护你的商业信息,在员工中和企业中指定“安全文化”这也是最有效的信息安全投资之一。
提供安全培训的通常是本地的小企业发展中心(SBDC),社区学院,技术学院或商业培训机构
- 对每个在业务计算机和业务应用程序上的员工设置个人账户。
为每个使用业务相关的计算机和应用程序的员工设置帐号和密码,要求密码应该是随机序列的字母,数字和特殊字符,长度至少要有8位。员工的帐号不能具有管理计算机的权限
- 限制员工访问数据和信息,并限制安装软件的授权。
保护信息安全较好的商业实践是,对任何员工都不提供对所有数据的访问权限。只提供他们工作需要的信息和系统。
不允许一个人既能发起交易又能审批交易。
3、 强烈建议的措施
这些做法都是非常重要的,并且应该在第2部分之后立即完成如下设置
- 关注电子邮件及附件敏感信息的安全
不要轻易打开邮件附件,除非是你信任的邮件发送方。
间谍软件或恶意代码通过邮件附件进行分发是最常见的手段。通过披着伪装的合法外衣来威胁你的信息安全。
无论谁的邮件出现要求敏感的个人信息或财务信息,都要当心这个邮件。没有一个负责任的企业会在邮件中要求这些敏感信息的。
- 关注邮件中的web连接,即时消息、社交媒体或其他的安全问题
- 关注弹窗和其他hacker伎俩
- 对在线业务和在线银行做更多的安全保证
- 建议对正要雇佣的员工进行全体人员背景调查
当你雇佣新员工时,在进行职位工作前,对该雇员的背景做个全面的调查。
应该考虑新员工有没有犯罪背景,尤其是没有有计算机犯罪前科。
- 对web冲浪的安全考虑
任何人都不应该使用具有管理权限的帐号进行网上冲浪
- 从互联网下载软件的问题
不要从未知的网站下载软件
- 在你需要安全设置时如何获得信息安全的帮助
没有哪个人是在每个业务和技术领域都是专家。因此在你需要保障信息安全的时候,应该求助于SBDC或者社区学院,技术学院以及合作伙伴的引荐或者是安全服务提供商。
- 如何处理旧电脑和存储媒介。
对保存过敏感信息或对信息安全存在威胁的电脑和存储媒介,不应该进行再次销售,正确的做法是对像磁盘这类使用暴力进行多次打孔,破坏马达和磁头,摧毁电子设备和连接器,纸质媒介进行粉碎焚烧处理。
- 如何防止社会工程
社会工程就是个人或者电子通过操纵人们试图获得未经授权的信息来访问系统/设备或敏感区域
4、 关注信息、计算机和网络安全的其他规划
- 应急和灾难恢复规划注意事项
如果发生了灾难(洪水,火灾,龙卷风等)或意外(停电,下水道倒灌,意外激活了放火喷水装置等)会发生什么?
- 信息安全中成本规避的考虑
对敏感数据进行分级,评估各个分级下的数据丢失带来的成本损失。附录C中有一个风险等级模板,用来生成不同的数据信息管理事件造成的财务风险金额。这个工作表应该填写您在业务中使用的每种数据类型,从最高优先级到最低优先级。
很重要的一点是,要明白没有提供适当保护的敏感信息与真实的成本是有关联的,虽然这部分成本不可见,直到坏的事情发生。到那时付出的代价会很昂贵,甚至不能承受。
- 商业策略相关的信息安全和其他有关主题
每桩生意都需要有书面的策略,以确定可接受的做法和对业务运营的预期。
附录A:确定并优化你的组织的信息类型
考虑使用的信息或你的组织。对你在组织中使用的所有信息类型,做一个列表。(定义。 “信息类型”,任何对你的业务有意义的有用的方式)
然后列出并优化子啊你的组织中使用的5种最重要的信息类型。在下面的表中输入他们
标识出每个信息类型是在哪个系统上
最后,为所有的业务信息类型创建一个完整的表——优先顺序。
表1:在我的组织中5是最高优先级信息类型
优先级 |
信息类型 |
存储在哪个系统上? |
1 |
|
|
2 |
|
|
3 |
|
|
4 |
|
|
5 |
|
|
使用这个区域作为你的“便笺本”
(一旦你完成这个练习,把你的所有重要的业务信息填满这个表格)
附录B:通过你组织的优先级信息类型确定需要保护的信息
- 思考一下通过你的组织或在你的组织中使用的信息。
- 在下面的表中输入你的组织中5种最优先的信息类型
- 对每种信息类型在右边的列中输入保护要求。(C-保密性;I-完整性;A-有效性)<”Y”-需要保护;”N”-不需要保护>
- 最后,用所有你的业务信息类型完成这个完整的表
(注意:通常给表1增加三列)
表2: 在我的组织中需要保护的5种最高优先级信息类型
优先级 |
信息类型 |
C |
I |
A |
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
4 |
|
|
|
|
5 |
|
|
|
|
附录C:当坏事情发生时对你的重要业务信息的成本估算
- 思考一下通过你的组织或在你的组织中使用的信息。
- 在下面的表中输入你的最高优先级信息类型
- 为左边的每个分类输入预估成本。如果它没有被使用,请输入NA。在表格的底部是每一列的总成本
- 做完上面的三步之后,用你的所有信息类型完成这个表。
表3:在我的组织中最高优先级信息类型并关联指定发生在它身上的坏事情时的预估成本。
|
<数据类型名称> 问题:数据公布 |
<数据类型名称> 问题:数据修改 |
<数据类型名称> 问题:数据丢失 |
泄露成本 |
|
|
|
成本验证信息 |
|
|
|
失去可用性成本 |
|
|
|
失去工作成本 |
|
|
|
法律成本 |
|
|
|
失去信任成本 |
|
|
|
修复问题成本 |
|
|
|
罚款和处罚 |
|
|
|
其他通知成本等 |
|
|
|
|
|||
此类数据&问题的总成本 |
|
|
|
以上如有错误欢迎指正。