解读NIST最新中小企业网络安全标准

  做这个系列的目的(前言):

  大企业关注网络安全大家觉得合情合理,但是当提到中小企业网络安全的时候,很多人会觉得中小企业没有必要过于关注自己的网络安全,因为――反正也没什么“值钱”的东西。然而,中小企业一旦面临攻击,不管是来自黑客攻击、内部商业信息泄露亦或是来自自然灾害的侵害,损失可能比大企业要更多。一次严重的网络安全事故,可能就让抗风险能力较低的中小企业,面临关门的风险。

  本系列基于NIST最新发布的中小企业网络安全标准,一步步告诉中小企业,如何用最低的成本,做成网络安全管理这件大事儿。

  这是你系统了解中小企业网络安全管理方法的最佳机会。

  NIST:美国国家标准与技术研究院(National Institute of Standards and Technology)直属美国商务部,提供国家标准、标准参考数据及有关服务,在国际上享有很高的声誉。

  中小企业是我国经济的重要组成部分,目前数量已经超过5000万家。这些中小企业占全国60%以上的国内生产总值,并创造了80%的城镇就业。当互联网以迅雷不及掩耳之势深入这样数量庞大且重要的一个群体时,网络安全管理却常常被忽视。

  中小企业更容易成为网络攻击的受害者

  中小企业常常觉得,网络安全是大企业的事。因为大企业才会有能力将人力、财力、技术力量投入到保护信息资产和网络安全威胁中去。但正是因为大企业做了,而中小企业什么都没做,让后者成为了一个更容易的攻击目标。

  也许中小企业会说,我们并没有把资产或者机密信息放到网络上,被攻击了对方也一无所获。但实际情况远不是如此简单,即使没有有价值的信息,但公司的电脑可能成为“肉鸡”,成为黑客攻击别人的工具;也许你的产品、服务会成为跳板,为攻击者提供接触到其他价值更高目标的途径。

  更重要的是需要意识到,并不是所有的攻击都是为了获利。他人的报复(比如因为被炒而怀恨在心的…)或只是一时冲动想要搞破坏的情况也经常发生。

  被攻击怎么了?对中小企业有什么影响?

  以为与网络安全事件绝缘的中小企业,在面临网络安全事故时,损失却往往比大企业要惨重。从不防备,出现问题不知如何处理,临时抱佛脚都不知道该从何入手,这一套下来,再谈保护资产,为时晚矣。

  出现网络安全事件的企业会给人“不靠谱“的心理印象,但除了名誉受损,公司资产也将受到严重威胁。

  一家官网遭到攻击的公司负责人说:“花一整天的时间为官方网站被攻击而向客户道歉当然很不爽,但如果黑客一下子划走100万,那么企业将立刻面临倒闭。”

  网络犯罪分子每年都会利用银行服务类木马袭击上百家小型企业,他们能够借木马之力控制被害人的计算机,让银行服务端误以为是真正的客户在操作。早在2009年,美国一家小型企业就遭到网络攻击,网络窃贼通过感染该企业的计算机在不到一周的时间里就从银行账户中豪夺60万美元。尽管该公司及时向银行方面提交事故报告,但最终只追回不到半数的损失。该公司在此事故中险遭灭顶之灾。

  名誉受损虽然短期看不到明显问题,但从长期来看,会影响一个企业的寿命。

  消费者对于他们的个人信息是否受到保护非常敏感。特别是近年来国内外屡次出现的大型网站用户信息泄露事件,使得消费者发现,,原来提交给企业的个人信息,常常处于一种缺乏保护的状态。因此,具有良好的网络安全管控能力,可以积累消费者的信任,向消费者传达一种“我们关注你的利益,关心你的数据安全”的态度,无形中增加自己在市场中的竞争机会。

  同样的,内部员工也希望自己的敏感信息可以得到妥善的保管,一个有序的网络安全管理机制让员工感受到他们的重要性并在学习网络安全知识的同时提高自己的技能。

  对于合作伙伴也是一样,合作伙伴希望在合作时,确保他们的信息,系统和网络不会因为对接对方的业务而陷入风险之中。如果企业具有一套网络安全保障方法,对于潜在的合作者,也是具有强烈吸引力的优点,更容易获得青睐。

  中小企业网络安全是不是很难?

  很多人觉得,保护信息资产是件非常难的事,要投入巨大的人力,物力和财力,因此中小企业没有能力做。虽然说这世界上没有简单的到可以一蹴而就的网络安全解决方案,但是只要投入一定的时间并仔细思考相关风险,把网络安全纳入商业策略和常规流程,网络安全根本不必那么让人畏惧。

  没有系统是百分百安全的。但是却有可能通过合理的规划和管理,在安全需求和公司的能力之间寻找到一个平衡点。

  在下一期<中小企业网络安全怎么搞?》中,我们将了解中小企业中的安全风险和防御他们的基本套路。

转载请注明:安全主题 » 解读NIST最新中小企业网络安全标准

赞 (0)

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址