經營規模不大，人員、資金有限的中小規模企業，相比于那些實力雄厚的大企業，他們可能沒有那么多資源和技術來應對網絡攻擊。

那么，中小企業應該通過什么方式以最小成本來維護企業安全?這是我們要探討的問題。

麻雀雖小，五臟俱全，小企業和大企業實現信息安全的過程、流程都是差不多的，只是用戶在進行安全部署時往往首先考慮成本、維護費用等支出。

一些規模更小的企業并沒有專門的IT部門，通常依靠辦公室的行政人員或一名IT人員處理復雜的安全性任務。

在某些情況下，資金較短缺的企業由于不堪重負，容易疏于保護他們的網絡和數據。

在過去，因自身企業規模較小受到攻擊的概率相對較小，網絡安全的投入均不能迅速帶來顯而易見的回報。

但在實際企業運營過程中，又常常有來自網絡安全的損失阻礙著企業成長。

當病毒、黑客技術的發展使得網絡威脅無處不在，誰也不能幸免。

在網絡攻擊肆掠橫行的今天，許多大公司都防不勝防，更不要說技術與之相去甚遠的中小企業了。

如果說網絡失守造成的信息系統中斷對大公司來說只是一場感冒，那么對中小企業則可能是滅頂之災。

幸運的是，中小企業網絡安全最佳實踐流程比比皆是，技術變得越來越好，而且越來越傾向采用正確的思維方式來處理問題。

盡管我們在總體上仍處于被動之中，但是充滿希望，而如何界定問題是邁向更好成果的第一步。

中小企業驅動著世界。

與500強企業相比，單個企業可能規模較小，但總體而言，其影響遠遠大于大型企業。

你的業務可能很小，但對企業所有者是意義重大的。

任何不重視你的服務或技術提供商，都不應該為你服務。

在提出具體的戰術建議之前，讓我們先談談幾點關鍵的戰略：找到可靠的信息安全咨詢顧問，并按他們所說的做!承擔責任。

即使有專家為你提供意見，行動也要靠自己!人人都應承擔起責任——在任何行業，小到個人員工，大到董事會，這是維護安全的一個關鍵理念。

不要指望政府。

政府要做的并且能做的事情就是：(1)制定法規，對信息服務商/企業，提出指導性的最低要求;(2)懲處違反法規者。

采取行動。

不要只停留在研究，不要讓分析癱瘓。

采取行動-任何行動-不要拖延。

如果找到更好的選擇，則以后可以隨時調整。

服務外包，不要自己動手做。

從單項安全服務到企業安全/ IT基礎設施的完全外包，可選擇范圍非常大。

租用服務而不是購買實體。

讓員工負責!你負有最終責任，但在那之前，請確保每個員工都知曉他們必須為自己的不當行為/違規行為負有責任，并付出代價。

說完了戰略，讓我們進入關鍵的十大戰術——每個中小企業應該采取這十個項目來保障企業網絡安全。

這些都不貴，都是易于理解、易于執行的。

然而，如果你不這么做，只要忽視了其中一項，就等于將整個企業置于危險之中。

1.保持合理的硬件更新率。

理想的情況下，建議企業每年都更換新的PC，盡管我們知道這是不現實的。

換句話說，更新率超過3-4年，意味著企業要承擔額外的風險。

硬件制造商每年在“隱藏”的安全性改進上投資數十億美元，其中許多漏洞作為用戶是不知道的。

企業要做的就是讓你的IT基礎設施(從PC到手機再到服務器)保持最新的狀態。

2.使用最新的操作系統。

這一條的意義和第一條相同。

如果企業仍在運行Windows 7，那么會使公司面臨不必要的風險——Windows 7在2020年1月14日之后將停止服務。

上Windows 10，就現在!3.使用評級較高的端點安全解決方案。

不推薦任何具體的解決方案，有一個主要原因——所有服務商都竭盡全力試圖在檢測率，性能等方面超越對手。

每年都有多個年終評選，對防病毒、安全服務商等進行排名/評級——因此每年審查企業選擇的服務商的性能，如果有更好的解決方案，請切換。

4.定期下載并安裝所有補丁/更新。

無論是操作系統、硬件，還是關鍵業務軟件，甚至是IP攝像頭，勤打補丁對于安全性都是至關重要。

在計算機領域，“零日漏洞”指被發現后立即被惡意利用的安全漏洞，而利用這種漏洞發起的攻擊則被稱為“零日攻擊”。

這種攻擊利用用戶缺少防范意識或未裝補丁，造成巨大破壞。

零日漏洞一直是黑客的最愛，通常在漏洞與安全補丁曝光的同一日內，惡意利用程序就會出現，及時打補丁是防范零日攻擊的最好方法，盡管這是一項無聊乏味的工作，但卻是必不可少的。

5.遵守良好的密碼衛生習慣，并進行現代化管理。

始終為購買的新硬件(如路由器等)和軟件更改默認密碼。

使用“強密碼”，并每年更改幾次。

切勿對多個設備/服務使用相同或相似的密碼!為了使所有這些事情變得更容易，您可以使用實用的“密碼管理器”——如Dashlane之類具有硬件優化功能的密碼管理器。

6.使用雙重(或多重)身份驗證——也稱為“ 2FA”。

如果最終用戶和企業都使用雙重(或多重)身份驗證，可以消除絕大部分數據和隱私泄露隱患。

這是免費、簡單、有效的方法。

如果要在網絡安全方面選一個“躺贏”的方法，那就是它了。

此外，與此密切相關的是，根據身份驗證的要求，按需選擇不同的供應商——從金融服務到辦公服務。

要求雙重身份驗證，要求供應商有清晰的，易于理解的隱私和安全聲明。

如果你看不明白聲明的內容，或者對其中的任何內容不滿意，企業可以選擇下一家。

7.計算機務必安全地聯網。

首先，連接到熱點時務必使用VPN。

切記。

被入侵的主要途徑之一就是無保護地連接到犯罪分子偽造/廣播的公共熱點。

你在連接的時候就已經放棄了所有密碼。

最壞的情況是，系統感染了無法檢測的惡意軟件(例如，鍵盤記錄程序等)。

如果可能的話，使用蜂窩網絡連接也好過使用公共熱點。

大多數現代手機都允許自己作為個人熱點，企業可以在PC上連接個人熱點連接到互聯網。

8.備份，備份，備份。

之所以迫切地需要備份數據，拋開所有的其他原因，現在我們有了一個最大的元兇——勒索軟件。

有許多基于云的備份服務商，企業必須根據自己的業務性質，確定最符合你功能需求的服務。

需要堅持的一項重要功能是“無限制拷貝”(unpmited copies)——即每次更改文件時，服務都會保存一份副本，而不僅僅是最后一份。

這一點至關重要，因為一旦遭遇勒索軟件攻擊，企業需要確定感染發生的確切時間并選擇此時間點之前的備份文件進行還原。

另外，強烈建議使用本地文件備份服務器(網絡附加存儲或NAS)作為備份——本地備份可以使企業在事件發生后立即備份并運行，而從云服務下載TB數據需要一段時間。

但是，不要只做本地備份，因為可能會遭遇物理災害(例如火災)。

備份是無聊，乏味的，而且對于NAS來說，安裝起來很困難。

9.信任但要審查——每年聘請一名審計師。

很少有人建議這樣做，但是考慮到數據在業務運營中的重要性，我認為這是值得的投資。

審計公司會檢查企業的補丁程序，評估你的保護措施，審查企業的員工政策，并對備份設置進行風險評估。

考慮到發生數據泄露可能會導致公司破產，被起訴或甚至徹底毀掉，提前審查無疑是省心又安心的辦法。

10.不要忘記基礎的網絡安全防護例如企業網站部署SSL安全證書，企業郵件部署郵件證書等等，給用戶的隱私數據上了一把鎖，在用戶訪問頁面的時候，幫你檢查該網站是否安全，還會預防流量劫持，數據篡改等問題。

做好最基礎的安全防護工作，避免因小失大。

以上提到的十個戰術，并沒有高深復雜的技術，也沒有獨樹一幟的創新方法，但其中很多重要的事項是值得老生常談的。

如果這篇文章使每個讀到它的中小企業至少采取了其中一項行動，那么它就是有意義的。