随着IT物联网科技的不断发展，企业网络与计算环境也在随之变化，这给网络安全与信息保密带来了种种新的挑战。

网络安全说起来复杂，但是对于中小企业机构来讲，只要走正确的方向，其实并不难。可是话虽如此，现实并不理想，一项针对中小型企业的网络安全调查表明：一半的中小企业主认为，如果关键数据在数据泄露中被盗或删除，他们将无法保持盈利超过一个月。对此，昆明亭长朗然科技有限公司的企业网络安全专员董志军表示：尽管在企业中，计算设备越来越普及，越来越简便，但并不表示保障企业网络安全就越来越容易。相反，那些貌似简单易用的傻瓜型安全解决方案在带来便利的同时，也在从安全技术和防范思想两个方面毒害IT从业人员以及最终用户。当一些很“傻瓜”的解决方案充斥于市场上时，人们会真的变“傻瓜”，因为他们不再思考网络安全该做什么、该如何做、以及为什么要这样做等等问题。自然也不会在安全技术防范措施方面寻求更多的可能性和进行资源投入，更令人担心的问题是人们的思想变得麻痹和轻敌，认为网络安全没什么，只需要一个“傻瓜”式的解决方案就可以了。

理论上，网络安全无非是防止未授权访问和滥用计算机网络，并对此做出反应的能力。说起来简单，做起来复杂，因为网络安全涵盖了一系列多种可能的情况，从控制恶意软件的传播，到识别入侵者并跟踪和阻止其在内部网络上的活动。这无疑需要专业的知识技能，不是市面上所谓的“傻瓜”式解决方案可以轻松搞定的。网络罪犯喜欢攻击中小型企业，主要是他们缺乏专业的知识和技能，不懂该如何在IT安全方面付诸行动，也没有时间或资源来投资，这种对安全威胁毫无准备的代价是巨大的。

幸运的是，在信息大爆炸的年代，必备的网络安全知识技能并不总是封闭的和昂贵的，中小企业主和IT安全负责人员可以采取一些步骤来提升网络安全性。不过要注意的是，网络安全是一项永无止境的任务。随着新技术和威胁的发展，必须不断重新审视需要采取的保护措施，以确保它们的充分和有效。在特定的情况下，可能有必要与受信任的网络安全服务商进行合作，也就是采购他们的产品或服务。

如下，我们分享一些普适的信息安全管理知识和方法，希望能帮上中小企业找到网络安全前进的方向。

一、列出信息资产清单，划出重点

网络资产包含所有计算机设备，如笔记本电脑、工作站、服务器、平板电脑，智能手机及其他设备，以及所有相关的网络连接、应用程序以及电子数据。网络安全只是意味着拥有适当的技术方案、制度和流程，使您可以控制对网络以及数据流的访问。

尽管网络的规模和复杂性可能有所不同，但是不管规模和复杂性如何，都适用相同的基本安全要求。在清点了全部信息资产和需要重点保护的项目之后，就可以选用一些安全控制措施。中小企业不必要浪费太多时间和精力去分析可能的安全威胁会带来的损失以及如何科学地消除或降低风险，只需要应用常识即可，比如在终端计算机设备上安装和使用技术安全工具（例如防病毒和防火墙），对存储和处理重要数据的信息系统实施访问控制、记录审计和数据备份等IT安全最佳实践。

二、端到端的通讯加密

在当今主流的网络架构下，云端服务加上终端设备基本上已经解决大多数中小企业的业务场景需求，网络设备安全的重要性越来越淡出人们的视野。但是，不要忘记终端与服务端通讯的安全，端到端加密可以使信息无法被恶意访问。很多服务可以为敏感数据增加了一层额外的、强大的、专家级的加密技术，不管是主流的Web浏览器方式或应用程序方式，都可以轻松部署端到端的通讯加密通讯方案。

此外，较为流行的，更适用于分支机构和远程工作人员的一个方案是虚拟专用网络，虚拟专用网络对经过互联网的通信进行加密，这意味着没有中间人（包括互联网服务提供商或其他恶意行为者）可以监视企业在线信息活动。

三、终端计算机设备的清洁

对中小企业来讲，终端计算设备的种类较多且数量较大，往往是网络安全防线的较为薄弱之地，很容易被外界威胁侵入，当然更容易受到内部威胁的侵害。终端计算机设备防范任务繁重，但并不表示永远只能搞搞重复性的系统修复工作。很多IT技术员过于自大和懒散，仅仅靠一个U盘，GHOST恢复系统后配置一下网络连接及应用软件，天天就这样混饭吃的情形在中小企业很普遍，同时也很危险。现在的软硬件稳定性已经很好了，问题不该重复出现，如何彻底解决其实并非难事。保持计算设备的清洁是必备的一项战略措施。在我们的日常生活中，清洁卫生了，病菌就会远离，人们才会健康。在计算领域也是如此，要强化防御力，必须实施基本的安全措施，比如安装如防病毒防火墙安全软件、保持软件的及时更新、设置强大的密码在离位时锁屏、定期备份重要数据、及时清理和删除那些不再有用的文件……

要确保终端计算机设备的清洁，需要建立桌面安全检查和监督制度，形成终端安全文化需要与使用人员进行不断的沟通和培训。

四、服务器端的安全保固

业务流程相关的应用服务器是中小企业的信息命脉，保障其主机、应用和数据安全的重要性自然是最高优先级的。在物理安全层面，我们要给其专用的设备和安全的存放空间，不仅是防万一的失窃或人为破坏，亦要考虑自然灾害如防水防火防雷等。这些应用服务器中的数据也是外部网络入侵者眼中的肥肉，他们会尽其所能来尝试窃取和破坏，因此让防御力强大起来很重要。除了主机层面的安全卫生和清洁之外，可以考虑启用必要的常规安全保护措施，比如进行严格的身份验证和访问控制措施，强化网络访用和应用使用的监控。

由于应用的多样性和各种平台的技术差异，我们在这里只讲讲通用的准则，不指定具体的技术标准，如果不那么自信，应该咨询应用服务提供商，看看有哪些该采取哪些安全措施，或者避免直接暴露在互联网上，使用多重的访问控制和保密措施。

五、人员安全防范意识的强化

中小企业缺乏足够的内部信息安全师资力量，但并不表示网络犯罪分子就会放过中小企业，相反他们会更好的利用终端用户安全意识的缺乏。相对于大中型机构，中小企业灵活高效但是在安全相关控管制度和流程方面较弱，因此平时应该多多进行自我教育和学习，在收到不请自来的电话、短信、即时消息或电子邮件时，切勿提供任何个人或业务信息，并在采取行动前验证重要交易。遇到大额现金转账，一定与领导当面确认后再进行汇款，不能先汇款后签字确认。当然在应对信息窃贼方面，在任何时候都不要在未经授权的情况下访问机密信息。

中小企业信息安全负责人可以考虑使用外部的信息安全意识培训服务，挑选相应的安全意识宣教内容，以弥补内部资源的不足，在安全知识领域，武装起员工，这是一道关键的人员安全防线，因为网络犯罪的趋势开始转向针对人性的弱点了。

昆明亭长朗然科技有限公司开发创作了一系列的活动来帮助包括中小企业在内的各类型组织提高员工的意识。这可以包括内部交流，如海报挂图和传单彩页、卡通动画和真人视频、研习活动和一套全面的电子学习内容。重要的是，内容可以定制以适合您自己的政策、程序和品牌。

欢迎联系我们洽谈采购使用及业务合作事宜。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

勒索软件、网络犯罪、人工智能黑客、高仿换脸变声……这些话让所有计算设备的用户心生恐惧，但是许多小企业却并未实施足够的网络安全方法，以便来保护企业数据免受网络攻击。对此，昆明亭长朗然科技有限公司网络安全专业人员董志军表示：很多中小企业的老板和经理们是业务专家，然而并不是IT专家，即使知道一些IT的重要性，也局限于业务流程方面，对于网络安全几乎是没有任何经验和方法，而竞争激烈的大多数中小企业显然又没法吸引网络安全专业人员加盟的兴趣，就是现有的IT管理员往往也是力量薄弱，和财大气粗的大型企业和政府机关相比，也没几个预算来搞网络安全工程项目。

所以，作为良心的网络安全企业，有必要考虑到中小企业的困难，为其提供技术和管理方面的帮助，特别是实施网络安全计划的最佳实践。我们并不是指搞一些免费的杀毒软件，这些业内已经有一些“羊毛出在猪身上”的做法，尽管多数网络安全专家对此嗤之以鼻，但是谁也没法打破这些僵局。

网络安全与黑客方面的头条大新闻不断刷新历史，黑客攻击致使超过数亿人的个人数据遭受泄露，并通过难以监管的P2P、暗网等渠道传播。有些行业面临着独特的挑战，一些欺诈者炮制很多场景，入侵对方的电子邮件、窃取邮箱、假借身份要求支付款项到另一账号，给很多贸易型企业造成了数百万甚至数千万的损失。对此，专家称：随着技术不断渗透到我们的生活，从联网汽车到交易中的区块链技术，再到云计算的增长，技术将为企业带来新的风险。

企业不仅需要跟上新技术，还需要应对每一项新技术发展带来的风险。与保护计算机防止病毒等恶意程序破坏，需要强化防病毒技术相比，新时代网络安全更多需要的是管理，实施安全程序的关键一步是创建数据安全程序、更新安全政策。国家出台了不少法令，对未能保护消费者个人信息数据的企业采取执法行动。对此，董志军补充说：为了帮助企业保持国家安全及消费者的个人数据安全，国家出台了《网络安全法》、《数据安全法》和《个人信息保护法》，并且细化了很多可执行的数据保护实践指南。

即使算不上国家的领导干部，中小企业的管理者们也是时间金贵，让我们简要说一说如何能够快速达到合规。先说一个问题，有人可能会说，国家的数据安全保护相关法律还看不到中小企业，或者说执法时会有选择性的差异，也会考虑实际，不会重点关注非关键信息基础设施领域，这是有道理，但是不要大意，消费者隐私意识觉醒，中小企业本身就不容易，再面临客户丢失甚至受到诉讼的风险？

第一步是一个关键原则，就是搞出来数据安全或隐私保护政策，其中安全注意事项指导并告知用户数据收集实践。有人说根本没有什么人会去看那些文字，如同使用协议一样的，点“接受”或“同意”就过去了。这人就是不懂，那是法律条款，你接受了，就表示同意了，相当于一个微型的合约就达成了，不出事儿倒好，出事儿了，有合约在，权利才能得到保障，即使是电子记录形式的合约。

第二步，包括中小企业在内的所有机构，都应仅收集相关的个人信息，并仅在需要时保留这些信息，并制定销毁不必要数据的流程。这要说到做到，有章法可以向监管机关展示，有执行记录可以做证明，就是大道昭昭，合规守法经营，黑帮也不敢惹你，鬼都不敢上身。

第三步，明智地控制对数据的访问。当网络上有敏感数据（例如工资或客户订单、联系信息）时，请仅允许需要使用这些信息的人访问。控制谁可以访问所有类型的信息，刚入职的新员工，在还不够稳重可靠时，不要马上给他/她访问这些数据的权限。

第四步，需要安全密码和身份验证，大多数黑客通过坏密码或弱密码破坏网络。确保用户创建强密码（现在建议使用长短语）并将所有密码保存在安全位置。这个安全位置，通常指的是大脑，或者密码管理器，不是随意写在纸条上，贴出去，或者写在博客网站里可供世界上任何人查看。

第五步，安全地存储敏感的个人信息并在传输过程中对其进行保护。如果需要传输数据，请确保使用经过验证的安全方法，例如加密，这是必须的，WEB不搞SSL证书、邮箱不弄个TLS/SSL支持（HTTPS、SMTPS、IMAPS协议），现在就没法混电子商务，因为黑客会通过网络窃听未加密的明文密码和信息。

第六步，分割工作网络并监控网络进出流量。没必要过于限制员工们个人的互联网访问权限，但是得防万一出现网络安全问题，警察来要访问记录并进行查案。此外，对内部关键数据的访问，关系着业务生存和发展，只给各部门人员他们需要访问的网络权限。例如，销售人员应无法访问公司的财务数据或其他销售人员的帐户。分割网络访问有助于限制违规造成的损害。

此外，强化安全远程访问也很必要，架设VPN太容易了，而且保护在外人员安全的效果非常好，可以确保远程访问网络的每个人都拥有强大且安全的连接，因为只需一个容易发生数据泄露的点，即可让整个公司受到重大损失。在外工作的人员经常性的，也会越来越多地使用智能手机，一不小心连接到开放式无线网络，如果没有VPN的话，可能导致数据轻易泄露。

第七步，在开发新产品时应用健全的安全实践，此步骤是企业在开发自己的软件产品（例如应用程序）时应采用的标准策略。当然啦，有不少中小企业是将这些软件开发外包的，那就要确保服务提供商实施合理的安全措施，对于经常依赖供应商存储其数据的小型企业来说，这是非常重要的措施，提出这项，会让服务供应商另眼相看，重视数据安全。

确保供应商通过测试他们的合规性来正确保护数据，并在合同中加入要求供应商保持一定安全级别的条款。谁不想等到出现数据泄露时才发现供应商没有采用良好的安全措施，这不仅是责任的归属问题，更是在危难之时保障自身权利的必备！

第八步，制定程序以保持安全最新并解决可能出现的漏洞，保持软件最新，启用防恶意软件程序，这是个安全管理最基本的实践，也是IT安全必备技能，因为系统安全更新对于保护网络和数据安全很重要。

第九步，保护纸张、物理介质和设备，这些比较传统的信息容易被电子时代的管理者们所忽略，比如打印出来的合同、订单、发票自留页等，别大意，大型机构有保密部门，中小企业就用与保护电子数据相同的步骤保护其他形式的载体。所有的信息都需要以安全的方式存储，当业务目的结束时，应丢弃不需要的信息。当然啦，使用WIKI或更为良好的文档管理系统将帮助跟踪所有数据，包括非电子格式的数据。

总之，信息安全不仅仅是政策、程序、标准和指南，还包括对合规审计或行业要求的回应。对于大多数员工来说，这是一个需要进行文化变革的业务流程。在要求任何人遵守安全措施之前，他们必须首先了解需求和流程。这是一个持续的过程，从新员工入职培训开始，一直持续到离职后的离职面谈。它必须至少每年进行一次，并包括定期提醒。

信息安全意识不需要庞大的预算。但是，它确实需要花费管理者和员工们一些时间。对于管理者来说，在实施上述安全程序（步骤）之前，您必须将其应用给自己，然后向全员进行推广，其中的沟通涉及意识计划，必须使用理性和逻辑的声音。从小处着手并扩展。当员工意识到有一个安全计划时，它已经成为文化的一部分。昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com