小企业信息安全:基础(草稿)
Small Business Information Security:
The Fundamentals
(Draft)
原文: http://csrc.nist.gov/publications/PubsDrafts.html#ir7621
总览:
对于一些小企业来说,信息、系统和网络安全问题不是优先考虑的问题,但这些对于他们的客户,雇员和贸易伙伴是至关重要的。小企业这个术语有时跟企业和组织归为同一范畴。小企业/组织也可以是非赢利组织。小企业的规模因业务性质而不同,同常是员工人数小于500。
在美国,95%的企业是小企业,他们创造了全美国大约50%的GNP以及50%的新增就业岗位。因此小企业美国经济的重要组成部分,也是构成关键性的经济和网络基础设施的的重要部分。
多年来,美国的大型企业利用有效资源(包括技术,人员,资金)积极寻求信息安全。因此,对黑客和网络犯罪分子来说,攻击这些企业将会越来越难。这就导致黑客和网络犯罪分子现在把注意力集中在安全性欠佳的小企业。
因此,对小企业来说,恰当地保护他们的信息、系统、网络显得至关重要。
这个中间机构报告(IR)将帮助小企业管理层明白如何提供安全措施来保护信息、系统、网络。
1. 介绍
小企业为什么要关注信息安全?
小企业的顾客期望他们的敏感信息能得到尊重并能给于足够且合适的保护。
小企业的雇员也期望他们的个人信息能够得到合适的保护。
除了这两类人外,当前和潜在的商业合作伙伴也对小企业内的信息安全给予很大的期望。
某些信息因机密性需要特殊保护((确保只有具有权限和特权的人才能访问信息),某些信息因完整性需要特殊保护(确保信息没有被未授权的人员修改或删除),某些信息因可用性而需要得到特殊保护(确保授权用户需要的时候取得他们需要的信息)。当然某些信息需要保护并不限于上述原因。
这些信息可能是员工和客户的敏感信息,机密的商业研究和计划,财务信息或者那些被归到特殊信息类别的信息比如个人隐私信息,健康信息和某类财务信息。特殊和严格的法规要求这些信息类别中的部分信息用指定的信息保护手段加以保护。如果无法根据这些要求对这些信息加以保护的话,企业将面来自管理结构的临巨额罚款和严厉处罚。
正如信息保护会涉及成本(硬件,软件以及策略、程序等管理控制的投入),对信息不采取保护也会涉及成本。那些对小企业做风险管理的人也很关注成本规避,避免因不保护敏感商务信息而带来的成本。
当我们考虑成本规避时,我们需要了解那些不会马上发生的显而易见的成本。在多个州已经获得通过的通知法案要求任何企业(包括小企业)需用指定的方法通知所有在数据侵害事件中(黑客事件,恶意代码事件,员工发布未授权的信息)数据可能遭曝露的相关人员。据估计,这些因通知和相关的安全侵害而产生的平均成本是每个人130美元。在一次事件中如果有1000个客户的数据可能遭到泄露,那么你的最小成本是13000美元。这将促使公司实施足够的安全措施来避免类似事件的再次发生。当然,如果确实有这样的事件,顾客将对受影响的公司失去信任转而与其他公司做生意。这是另一个不会马上发生的显而易见的成本,但这种成本也必须包含在上述的每人成本中。
就病毒和恶意代码而论,在2009年中,每个月大约有100万个新的病毒和恶意代码产生。如果你的电脑没有对这些病毒和恶意代码采取保护措施,而能正常运行,这将是不可想象的。这些病毒和意代码的很多一部分(如果不是大部分)被有组织的犯罪分子用于从电脑里窃取信息,然后出售或非法使用信息来赚钱。
对小企业来说实施一个完美的信息安全计划不太可行,但是完全可能实施一个合理的安全计划足够对付那些心怀恶意到处寻找易下手的目标的人。更多的信息可以从 http://csrc.nist.gov获取。
2. 为保护信息、系统、网络安全,小企业应该采取的绝对必要的行动
为信息、计算机、网络提供基本的安全保护,请应用以下实践经验。
2.1 防止病毒、间谍软件和其他恶意代码对信息、系统、网络的破坏
在公司的每个电脑安装、使用(可以的话在实时模式)杀毒软件和反间谍软件,并保持定期更新。
很多商业软件厂商提供了价格合适的安全保护方案,有些是甚至是免费的。在互联网搜索杀毒软件和反间谍软件可以找到很多这样的厂家。现在很多厂家提供“安全服务”应用程序的订阅,提供多层次的保护(不仅仅是杀毒软件和反间谍软件)。
你应该让杀毒软件定时(如每天晚上12点)自动检查更新,随后(如12:30)自动扫描病毒。设定反间谍软件每天早上2:30检查更新,3:00对系统做一个全扫描。假定你有永久、高速的互联网连接。无论上述计划更新和扫描的确切时间,在计划在任务里执行这些命令使得任何时候只有一个活动在运行。
在你和你的员工家用计算机中安装一个公司的杀毒软件。大部分人需要在家里开展工作。你当然希望他们的家用电脑也得到保护。
2.2 为互联网连接提供安全保护
大部分公司有(高速)宽带连接,可能是从当地的cable TV公司或电话公司得到。千万要记住这种连接是持续的连接,因此你的电脑或者任何你连接的任何网络总是会受到来自互联网7x24的威胁。
对宽带连接而言,在内网和互联网之间安装和运行一个硬件防火墙就显得至关重要。这也许是无线接入点或路由器的一个功能或者是ISP提供给小企业路由器的一个功能。有很多硬件厂商可以提供带防火墙的无线接入点/路由器,防火墙。
正如2.1节所述,要确保你的系统和你员工家里的系统得到防火墙的保护。
安装完设备后,马上修改管理员密码,以后要定期修改。修改管理员帐号不失为一个好主意。默认的值不修改的话很容易被猜到,设备有可能被黑客控制,进而监视、记录你进出网络的通讯(或数据)。
2.3 在所有业务系统安装和激活软件防火墙
在你的公司给每个电脑安装,使用并保持更新防火墙。
如果使用的是微软操作系统,可能已经包含防火墙。要确保防火墙在运行并且是在起作用。
要检查windows XP中自带的防火墙,点击“开始”,选择“控制面板”,选防火墙。如果防火墙正在工作,你可以看到“windows 防火墙正在保护你的电脑”等字样。如果不是,点击“打开或关闭防火墙”(在左上角)然后选择“开启防火墙”。
如果使用其他商业操作系统,确保你完全翻阅了操作手册,以便能发现系统是否包含防火墙以及如何启用。
正如2.1节所述,要确保你的系统和你员工家里的系统中安装并运行了防火墙。
及时你已经有一个硬件防火墙来保护你的网络,为每个电脑安装防火墙还是有必要的。万一硬件防火墙被黑客或某类恶意代码攻破,你一定不希望入侵者或恶意代码毫无限制地访问对你的电脑或其他电脑的信息。
2.4 给系统和应用程序打好补丁
为了解决安全问题和提高系统功能,每个操作系统厂商都会他们的产品提供补丁和更新。微软会在每个月的第二个礼拜二发布月度补丁。微软也会不时发布紧急补丁。要更新微软操作系统补丁,点击开始选择windows 更新或微软更新。按照提示选择和安装建议的补丁。其他操作系统也有类似的功能。确保你知道如何给你选择的操作系统安装补丁。
待续。。。