對大多數企業而言，改善業務安全性似乎不可避免地帶來資金投入;但事實上我們也有不必花錢的其它實現途徑。

盡管不少企業已經在應對日常業務需求時花費大量時間，但仍然無法避免安全問題日益積累的尷尬局面。不過中小企業的信息技術人士還是能通過小規模修復在一定程度上改善安全狀態，而且不必花費大量資金，Thrive Networks公司——一家專為中小企業提供信息技術管理的服務供應商——首席技術官Dylan O’Connor指出。

“客戶有很多成本很低甚至完全不存在成本的途徑來改善自身安全性，”他表示。“這些步驟對于IT管理者可能并不陌生，但我們的大多數客戶甚至根本沒有設置IT管理員崗位。”

從評估過時系統與低強度密碼到組織第三方供應商調查，企業完全可以在不影響運營底線的前提下將安全性提升至新高度。下面就請大家一同來看由中小企業安全專家提供的五大省錢改進途徑。

1.評估當前業務安全性

企業應當盡早著手評估自己的計算機系統，了解這些系統對于業務運營及安全性的重要性與實際意義。整個過程并不會給企業帶來直接開支，只是占用了員工的一部分工作時間。但其效果仍然非常顯著，過時系統與安全隱患最終可能給企業帶來巨額損失，安全管理服務供應商Trustwave公司研究實驗室主管Charles Henderson如是說。

“如果可能的話，請盡量探索能最大限度降低攻擊面的方法，”他指出。“我發現很多中小企業都會在業務流程中摻雜一些不必要的復雜項目。”

當企業對現有系統進行匯總整理時，他們還需要確保所有系統都經過合理配置、從而限制終端用戶的操作權限——即不允許使用者以Windows管理員的身份登錄系統。除此之外，企業還應該通過檢查確定所有密碼——尤其是那些與Windows域及其它關鍵服務器相關的密碼——并未采用默認內容且不易被猜出，Thrive公司的O’Connor建議道。

2.培訓終端用戶

要想攻破目標系統，大多數攻擊者都必須借助終端用戶的不當操作，因此向員工傳授安全知識能夠有效降低攻擊活動的發生頻繁，戴爾軟件終端用戶產品戰略執行理事Brett Hansen表示。

“終端用戶自身已經成為最嚴重的安全威脅，”他告訴我們。“盡管安全解決方案能夠以各種方式消弭其它高危因素，但用戶仍然必須時刻保持警惕。”

企業應當每月組織午餐交流活動，為員工提供安全溝通平臺，Thrive公司的O’Connor建議道。為了保持大家的參與積極性，我們不妨為每次活動設定單獨的主題，例如籌備一些安全案例研究或者網絡釣魚電子郵件，并向員工傳達保障系統與設備安全的重要性，他指出。

“另外，當我們與員工討論互聯網安全時，不要只以辦公環境為基礎展開交流，也應該把家中的工作狀況考慮進來，”O’Connor補充稱。

3.定期為系統重新制作鏡像

企業也應該考慮將員工計算機的鏡像快速重新制作納入工作流程。雖然創建標準化鏡像并將其部署到新系統中屬于IT部門的職責，但定期實施這一方案對企業安全性保障同樣大有禆益，某中型游戲廠商資深安全分析師Michael Gough表示——他不愿透露自己所在單位的具體名稱。

任何一臺在一周之內通過企業殺毒軟件、公司防火墻或者入侵檢測系統提交過警告信息的設備都應該重新進行鏡像制作。對于那些對取證工作較為重視的企業而言，IT人員還應該直接將原有硬盤撤換下來并在新驅動器中制作鏡像。

“如果某位員工收到來自殺毒軟件的警報，并在一周之內再次發現類似提示，請馬上重新制作設備鏡像，”Gough解釋道。“如果大家在一個月內發現三次這類提醒，那么整臺PC的鏡像都需要重新制作。”

此外，公司還可以定期對員工系統的鏡像加以重制以獲得良好的安全保護效果。根據Trustwave公司發布的2013年全球安全報告，只有36%的企業能在入侵活動發生九十天之內檢測到該事故。每個季度定期重新制作鏡像能幫助企業根除潛在安全威脅，從而將那些已經感染了員工系統但尚未造成危害的隱患扼殺在萌芽狀態。

“只要我們能定期更新設備中的數據，停機機率就能被控制在極低的范圍，這樣的收益確實非常顯著，”Gough總結道。

4.嚴格審查第三方合作伙伴

從云供應商到業務顧問再到外包交易系統，第三方合作伙伴的介入可能成為企業業務環境安全的致命短板。根據Trustwave公司的研究報告，由第三方公司引發的數據泄露事故占事故總體數量的三分之二左右。

“我們真的很難把握第三方合作伙伴在安全性方面的水準，”Trustwave公司的Henderson指出。“而且我們也經常需要處理由第三方供應商安全實踐失誤所引發的安全事故。”

中小型企業需要在確保第三方供應商具備良好的安全指標之后才著手籌備協作并簽署合作意見。根據Thrive公司O’Connor的意見，企業管理者需要首先弄清以下幾個問題：供應商的基礎設施受到哪種防火墻或安全機制的保護;他們多久安裝一次安全補丁，安裝流程如何進行;第三方擁有多少位常駐安全專家，這些專家擁有如此認證資質;另外，他們為客戶提供哪些安全強化措施——例如雙因素認證等。

“大家不需要在第三方評估工作中投入資金，我們只需要確保對方花錢完成這些任務即可，”Henderson補充稱。

5.使用云服務及托管服務供應商

對第三方服務供應商安全因素感到滿意的企業也可以利用向云端遷移將自身安全水平推向新高度。盡管大型企業可能會通過創建內部服務實現最高水準的安全性指標，但中小型則幾乎不可能擁有足夠的財力與精力實現同等效果，因此云服務安全性已經可以算是相對理想的業務方案。有鑒于此，將電子郵件、備份以及文件共享等服務遷移至云環境當中不僅能夠節約資金，更會獲得相對平衡的安全表現，Thrive公司的O’Connor解釋道。

“現在的關鍵問題已經不再是我們為什么要向云端遷移，而是隨著這一趨勢的持續升溫，為什么還要拒絕云服務這樣一套極佳的備選方案，”他表示。

托管服務供應商還能夠搞定大部分企業自身受員工素質所限而完成不了的安全任務。員工總人數在250人以下的企業通常都不具備全職信息安全經理，因此管理者必須考慮利用托管安全服務供應商來打理復雜的安全設備，例如入侵檢測系統以及日志分析系統等。

“只有真正熟悉并掌握安全知識的頂尖人才能夠順利搞定保護工作，”安全專家Gough指出。“如果大家所在的企業還沒有專門負責審核防火墻規則及路由規則的團隊，那么即使部署了入侵檢測系統、其結果也不過是形同虛設。”

原文鏈接：http://www.darkreading.com/smb/5-ways-for-smbs-to-improve-security-but/240154276