
四張表格助你篩選出關(guān)鍵網(wǎng)絡(luò)安全隱患——中小企業(yè)網(wǎng)絡(luò)安全怎么搞?(二)
發(fā)表日期:2016-12-05 17:42:58
上一篇的內(nèi)容,我們知道對(duì)于抗風(fēng)險(xiǎn)能力低下的中小企業(yè),也許一次網(wǎng)絡(luò)攻擊,就將面臨關(guān)門的風(fēng)險(xiǎn)。(戳下面鏈接看中小企業(yè)網(wǎng)絡(luò)安全怎么搞?(一))
為什么中小企業(yè)也要重視網(wǎng)絡(luò)安全管理?
本系列基于NIST前沿發(fā)布的中小企業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),一步步告訴中小企業(yè),如何用較低的成本,做成網(wǎng)絡(luò)安全管理這件大事兒。
本篇內(nèi)容將探討中小企業(yè)該如何系統(tǒng)的了解自身存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)無處不在,我們每天都要基于風(fēng)險(xiǎn)做出決定。
想象一下我們開車上班要面臨哪些風(fēng)險(xiǎn)?也許是堵車,也許是雨雪天氣,也許遇到一個(gè)“新手上路”,也許遇到車子拋錨、剎車失靈這樣的狀況…風(fēng)險(xiǎn)數(shù)不勝數(shù),其中不乏可能產(chǎn)生嚴(yán)重后果的風(fēng)險(xiǎn),我們又沒有精力面面俱到將他們完全消除,為什么我們還敢開車呢?
因?yàn)闊o形中我們都是做過風(fēng)險(xiǎn)評(píng)估和管理的,針對(duì)那些重要的風(fēng)險(xiǎn),采取必要的措施,從而降低風(fēng)險(xiǎn)。
車禍會(huì)造成嚴(yán)重影響,但發(fā)生概率不高,所以大家會(huì)注意系安全帶、不在開車時(shí)打電話;堵車雖不會(huì)威脅生命,但會(huì)造成遲到的影響,發(fā)生概率很高,所以大家在出行前都會(huì)查看路況,選擇通暢的道路。
類似的,在公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中,想面面俱到必然投入巨大,這對(duì)成本有限的中小企業(yè)顯然不現(xiàn)實(shí),因此要集中資源去管理較關(guān)鍵的風(fēng)險(xiǎn),資源用在“刀刃”上。
那么,該如何挑選出對(duì)于自己較關(guān)鍵的那幾個(gè)值得好好管理的安全風(fēng)險(xiǎn)呢?
基本思路是:
請(qǐng)輸入圖片描述
重要度:代表一種風(fēng)險(xiǎn)的重要程度,值越大,重要度越高,越需要好好管理。
影響:代表風(fēng)險(xiǎn)真的發(fā)生了產(chǎn)生影響的程度,仍以開車為例,車禍風(fēng)險(xiǎn)的影響很大,堵車的影響就較小。
可能性:代表風(fēng)險(xiǎn)發(fā)生的可能性。
下面,我們用兩步來流程化講解具體如何評(píng)估重要度:
請(qǐng)輸入圖片描述
拿出一張紙寫下你在工作中接觸到的所有類型的數(shù)據(jù)(如果覺得自己考慮的不夠周全,可以叫上你的項(xiàng)目經(jīng)理、行政、法律顧問和IT人員共同商討),針對(duì)每類數(shù)據(jù),問自己三個(gè)問題:
? 如果這類數(shù)據(jù)被公開,會(huì)對(duì)我的公司產(chǎn)生什么影響?
? 如果這類數(shù)據(jù)出現(xiàn)謬誤,會(huì)對(duì)我的公司產(chǎn)生什么影響?
? 如果我或者我的客戶無法訪問到這個(gè)數(shù)據(jù),會(huì)產(chǎn)生什么影響?
并按照他們影響力等級(jí)(低中高)填寫下面這個(gè)表格:
請(qǐng)輸入圖片描述
表一:確定某數(shù)據(jù)類型的影響力等級(jí)
數(shù)據(jù)需要依托硬件存儲(chǔ)和軟件的處理,因此對(duì)于這些硬件和軟件,我們也要關(guān)注。
實(shí)際上,數(shù)據(jù)并不是集中在一個(gè)地方的。比如客戶聯(lián)系方式這一類別的數(shù)據(jù),它可能同時(shí)存在在客戶管理系統(tǒng)中、某些員工的手機(jī)或其他設(shè)備中,為了統(tǒng)一管理,我們需要在下面這個(gè)表中詳細(xì)的列出來,并給出影響力的評(píng)分。
請(qǐng)輸入圖片描述
表二:從設(shè)備的角度評(píng)估潛在影響力
請(qǐng)輸入圖片描述
那么,整理出的這些數(shù)據(jù),遭到破壞的可能性有多大呢?中小企業(yè)應(yīng)該根據(jù)自身業(yè)務(wù)特點(diǎn),總結(jié)出一個(gè)安全風(fēng)險(xiǎn)與薄弱環(huán)節(jié)的清單,并根據(jù)上一節(jié)表二的內(nèi)容,評(píng)估出某數(shù)據(jù)載體(硬件設(shè)備或軟件)在發(fā)生泄漏、篡改、損壞時(shí)的可能性。
請(qǐng)輸入圖片描述
表三:表二數(shù)據(jù)遭到各種破壞的可能性
經(jīng)過以上這兩步,我們就可以根據(jù)
請(qǐng)輸入圖片描述
評(píng)估出,到底哪些數(shù)據(jù)是較重要的,非常需要優(yōu)先考慮保護(hù)的。
請(qǐng)輸入圖片描述
表四:找出較重要的那個(gè)風(fēng)險(xiǎn)
在上表中我們可以看到,當(dāng)影響與可能性雙高,優(yōu)先級(jí)高,中小企業(yè)應(yīng)當(dāng)優(yōu)先考慮解決這部分的數(shù)據(jù)防護(hù)問題。
還是搞不定?你需要幫助
社會(huì)分工的結(jié)果讓我們可以享受到更多的專業(yè)服務(wù),在網(wǎng)絡(luò)安全領(lǐng)域也不例外,專業(yè)的事應(yīng)該交給專業(yè)的人來做。當(dāng)你了解自己企業(yè)面臨的網(wǎng)絡(luò)安全問題后,就可以考慮選擇誰來提供服務(wù)了。
1、 征求意見。你可以問問你的合作伙伴,相關(guān)專業(yè)的學(xué)者,甚至是看看你欣賞的同行業(yè)大佬在用什么產(chǎn)品。
2、 查看往期表現(xiàn)。通常網(wǎng)絡(luò)安全企業(yè)都會(huì)在自己的官網(wǎng)展示產(chǎn)品,可以查看一下這家企業(yè)經(jīng)營(yíng)了多少年,是否在業(yè)內(nèi)活躍,曾經(jīng)做過什么客戶,詢問這些用戶的使用效果,是否還繼續(xù)購(gòu)買該企業(yè)的服務(wù)
以上,我們利用了一個(gè)公式、兩個(gè)步驟、四個(gè)表格找到了對(duì)于一個(gè)中小企業(yè)較應(yīng)該關(guān)注的網(wǎng)絡(luò)安全環(huán)節(jié),并提供了后續(xù)挑選服務(wù)商的方法。
?