四張表格助你篩選出關鍵網絡安全隱患——中小企業網絡安全怎么搞?
責編:mhshi |2016-12-15 10:11:13上一篇的內容,我們知道了網絡安全管理對于中小企業具有非常重大的意義。
http://www.tcsft.com/article/20769.html
風險無處不在,我們每天都要基于風險做出決定。
想象一下我們開車上班要面臨哪些風險?也許是堵車,也許是雨雪天氣,也許遇到一個“新手上路”,也許遇到車子拋錨、剎車失靈這樣的狀況…風險數不勝數,其中不乏可能產生嚴重后果的風險,我們又沒有精力面面俱到將他們完全消除,為什么我們還敢開車呢?
因為無形中我們都是做過風險評估和管理的,針對那些重要的風險,采取必要的措施,從而降低風險。
車禍會造成嚴重影響,但發生概率不高,所以大家會注意系安全帶、不在開車時打電話;堵車雖不會威脅生命,但會造成遲到的影響,發生概率很高,所以大家在出行前都會查看路況,選擇通暢的道路。
類似的,在公司的網絡安全風險管理中,想面面俱到必然投入巨大,這對成本有限的中小企業顯然不現實,因此要集中資源去管理最關鍵的風險,資源用在“刀刃”上。
那么,該如何挑選出對于自己最關鍵的那幾個值得好好管理的安全風險呢?
基本思路是:重要度 = 影響力 * 可能性
重要度:代表一種風險的重要程度,值越大,重要度越高,越需要好好管理。
影響:代表風險真的發生了產生影響的程度,仍以開車為例,車禍風險的影響很大,堵車的影響就較小。
可能性:代表風險發生的可能性。
下面,我們用三步來流程化講解具體如何實施:
影響力判斷
第一步,給你的數據按影響力分級
拿出一張紙寫下你在工作中接觸到的所有類型的數據(如果覺得自己考慮的不夠周全,可以叫上你的項目經理、行政、法律顧問和IT人員共同商討),針對每類數據,問自己三個問題:
- 如果這類數據被公開,會對我的公司產生什么影響?
- 如果這類數據出現謬誤,會對我的公司產生什么影響?
- 如果我或者我的客戶無法訪問到這個數據,會產生什么影響?
并按照他們影響力等級(低中高)填寫下面這個表格:
數據需要依托硬件存儲和軟件的處理,因此對于這些硬件和軟件,我們也要關注。
實際上,數據并不是集中在一個地方的。比如客戶聯系方式這一類別的數據,它可能同時存在在客戶管理系統中、某些員工的手機或其他設備中,為了統一管理,我們需要在下面這個表中詳細的列出來,并給出總體影響力的評分。
可能性計算
第二步,評估數據遭到破壞的可能性
那么,整理出的這些數據,遭到破壞的可能性有多大呢?中小企業應該根據自身業務特點,總結出一個安全風險與薄弱環節的清單,并根據上一節表二的內容,評估出某數據載體(硬件設備或軟件)在發生泄漏、篡改、損壞時的可能性。
經過這兩步,我們就可以根據
重要度 =?影響力?*?可能性
評估出,到底哪些數據是最重要的,最需要優先考慮保護的。
在上表中我們可以看到,當影響與可能性雙高,優先級高,中小企業應當優先考慮解決這部分的數據防護問題。
知道什么數據最重要還是搞不定?你需要幫助
社會分工的結果讓我們可以享受到更多的專業服務,在網絡安全領域也不例外,專業的事應該交給專業的人來做。當你了解自己企業面臨的網絡安全問題后,就可以考慮選擇誰來提供服務了。
- 征求意見。你可以問問你的合作伙伴,相關專業的學者,甚至是看看你欣賞的同行業大佬在用什么產品。
- 查看往期表現。通常網絡安全企業都會在自己的官網展示產品,可以查看一下這家企業經營了多少年,是否在業內活躍,曾經做過什么客戶,詢問這些用戶的使用效果,是否還繼續購買該企業的服務。
以上,我們利用了一個公式、兩個步驟、三個表格找到了對于一個中小企業最應該關注的網絡安全環節,并提供了后續挑選服務商的方法。
在下一期《中小企業網絡安全怎么搞?》中,我們將給大家提供一些簡單可行的網絡安全管理方法供中小企業使用。
關于網康科技:
網康科技成立于2004年,是中國上網行為管理理念的締造者和下一代網絡安全管理的引領者。作為業界最具技術創新和產品研發實力的企業之一,擁有200多項自主知識產權與發明專利,擁有一流的互聯網內容研究實驗室和網絡安全攻防實驗室,并締造了“全球最大的中文網頁分類數據庫”和“中國最大的網絡應用協議庫”。 網康科技緊密關注并深刻理解網絡安全威脅與網絡應用層的技術趨勢和需求變化,為客戶提供更智能、更完整、更及時、更高效的下一代網絡安全解決方案與安全服務,致力于成為中國企業網絡安全領導廠商。
做這個系列的目的:
大企業關注網絡安全大家覺得合情合理,但是當提到中小企業網絡安全的時候,很多人會覺得中小企業沒有必要過于關注自己的網絡安全,因為——反正也沒什么“值錢”的東西。然而,中小企業一旦面臨攻擊,不管是來自黑客攻擊、內部商業信息泄露亦或是來自自然災害的侵害,損失可能比大企業要更多。一次嚴重的網絡安全事故,可能就讓抗風險能力較低的中小企業,面臨關門的風險。
本系列基于NIST最新發布的中小企業網絡安全標準,一步步告訴中小企業,如何用最低的成本,做成網絡安全管理這件大事兒。
這是你系統了解中小企業網絡安全管理方法的最佳機會。