上一篇的內(nèi)容，我們知道對(duì)于抗風(fēng)險(xiǎn)能力低下的中小企業(yè)，也許一次網(wǎng)絡(luò)攻擊，就將面臨關(guān)門的風(fēng)險(xiǎn)。（戳下面鏈接看中小企業(yè)網(wǎng)絡(luò)安全怎么搞？（一））

為什么中小企業(yè)也要重視網(wǎng)絡(luò)安全管理？

本系列基于NIST前沿發(fā)布的中小企業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，一步步告訴中小企業(yè)，如何用較低的成本，做成網(wǎng)絡(luò)安全管理這件大事兒。

本篇內(nèi)容將探討中小企業(yè)該如何系統(tǒng)的了解自身存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)無處不在，我們每天都要基于風(fēng)險(xiǎn)做出決定。

想象一下我們開車上班要面臨哪些風(fēng)險(xiǎn)？也許是堵車，也許是雨雪天氣，也許遇到一個(gè)“新手上路”，也許遇到車子拋錨、剎車失靈這樣的狀況…風(fēng)險(xiǎn)數(shù)不勝數(shù)，其中不乏可能產(chǎn)生嚴(yán)重后果的風(fēng)險(xiǎn)，我們又沒有精力面面俱到將他們完全消除，為什么我們還敢開車呢？

因?yàn)闊o形中我們都是做過風(fēng)險(xiǎn)評(píng)估和管理的，針對(duì)那些重要的風(fēng)險(xiǎn)，采取必要的措施，從而降低風(fēng)險(xiǎn)。

車禍會(huì)造成嚴(yán)重影響，但發(fā)生概率不高，所以大家會(huì)注意系安全帶、不在開車時(shí)打電話；堵車雖不會(huì)威脅生命，但會(huì)造成遲到的影響，發(fā)生概率很高，所以大家在出行前都會(huì)查看路況，選擇通暢的道路。

類似的，在公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中，想面面俱到必然投入巨大，這對(duì)成本有限的中小企業(yè)顯然不現(xiàn)實(shí)，因此要集中資源去管理較關(guān)鍵的風(fēng)險(xiǎn)，資源用在“刀刃”上。

那么，該如何挑選出對(duì)于自己較關(guān)鍵的那幾個(gè)值得好好管理的安全風(fēng)險(xiǎn)呢？

基本思路是：

請(qǐng)輸入圖片描述

重要度：代表一種風(fēng)險(xiǎn)的重要程度，值越大，重要度越高，越需要好好管理。

影響：代表風(fēng)險(xiǎn)真的發(fā)生了產(chǎn)生影響的程度，仍以開車為例，車禍風(fēng)險(xiǎn)的影響很大，堵車的影響就較小。

可能性：代表風(fēng)險(xiǎn)發(fā)生的可能性。

下面，我們用兩步來流程化講解具體如何評(píng)估重要度：

請(qǐng)輸入圖片描述

拿出一張紙寫下你在工作中接觸到的所有類型的數(shù)據(jù)（如果覺得自己考慮的不夠周全，可以叫上你的項(xiàng)目經(jīng)理、行政、法律顧問和IT人員共同商討），針對(duì)每類數(shù)據(jù)，問自己三個(gè)問題：

? 如果這類數(shù)據(jù)被公開，會(huì)對(duì)我的公司產(chǎn)生什么影響？

? 如果這類數(shù)據(jù)出現(xiàn)謬誤，會(huì)對(duì)我的公司產(chǎn)生什么影響？

? 如果我或者我的客戶無法訪問到這個(gè)數(shù)據(jù)，會(huì)產(chǎn)生什么影響？

并按照他們影響力等級(jí)（低中高）填寫下面這個(gè)表格：

請(qǐng)輸入圖片描述

表一：確定某數(shù)據(jù)類型的影響力等級(jí)

數(shù)據(jù)需要依托硬件存儲(chǔ)和軟件的處理，因此對(duì)于這些硬件和軟件，我們也要關(guān)注。

實(shí)際上，數(shù)據(jù)并不是集中在一個(gè)地方的。比如客戶聯(lián)系方式這一類別的數(shù)據(jù)，它可能同時(shí)存在在客戶管理系統(tǒng)中、某些員工的手機(jī)或其他設(shè)備中，為了統(tǒng)一管理，我們需要在下面這個(gè)表中詳細(xì)的列出來，并給出影響力的評(píng)分。

請(qǐng)輸入圖片描述

表二：從設(shè)備的角度評(píng)估潛在影響力

請(qǐng)輸入圖片描述

那么，整理出的這些數(shù)據(jù)，遭到破壞的可能性有多大呢？中小企業(yè)應(yīng)該根據(jù)自身業(yè)務(wù)特點(diǎn)，總結(jié)出一個(gè)安全風(fēng)險(xiǎn)與薄弱環(huán)節(jié)的清單，并根據(jù)上一節(jié)表二的內(nèi)容，評(píng)估出某數(shù)據(jù)載體（硬件設(shè)備或軟件）在發(fā)生泄漏、篡改、損壞時(shí)的可能性。

請(qǐng)輸入圖片描述

表三：表二數(shù)據(jù)遭到各種破壞的可能性

經(jīng)過以上這兩步，我們就可以根據(jù)

請(qǐng)輸入圖片描述

評(píng)估出，到底哪些數(shù)據(jù)是較重要的，非常需要優(yōu)先考慮保護(hù)的。

請(qǐng)輸入圖片描述

表四：找出較重要的那個(gè)風(fēng)險(xiǎn)

在上表中我們可以看到，當(dāng)影響與可能性雙高，優(yōu)先級(jí)高，中小企業(yè)應(yīng)當(dāng)優(yōu)先考慮解決這部分的數(shù)據(jù)防護(hù)問題。

還是搞不定？你需要幫助

社會(huì)分工的結(jié)果讓我們可以享受到更多的專業(yè)服務(wù)，在網(wǎng)絡(luò)安全領(lǐng)域也不例外，專業(yè)的事應(yīng)該交給專業(yè)的人來做。當(dāng)你了解自己企業(yè)面臨的網(wǎng)絡(luò)安全問題后，就可以考慮選擇誰來提供服務(wù)了。

1、 征求意見。你可以問問你的合作伙伴，相關(guān)專業(yè)的學(xué)者，甚至是看看你欣賞的同行業(yè)大佬在用什么產(chǎn)品。

2、 查看往期表現(xiàn)。通常網(wǎng)絡(luò)安全企業(yè)都會(huì)在自己的官網(wǎng)展示產(chǎn)品，可以查看一下這家企業(yè)經(jīng)營(yíng)了多少年，是否在業(yè)內(nèi)活躍，曾經(jīng)做過什么客戶，詢問這些用戶的使用效果，是否還繼續(xù)購(gòu)買該企業(yè)的服務(wù)

以上，我們利用了一個(gè)公式、兩個(gè)步驟、四個(gè)表格找到了對(duì)于一個(gè)中小企業(yè)較應(yīng)該關(guān)注的網(wǎng)絡(luò)安全環(huán)節(jié)，并提供了后續(xù)挑選服務(wù)商的方法。

?