查看本文国际来源

　　在今天的商业世界中IT安全是非常重要的部分。然而，对中小企业而言运用所需的人力资源和资金来有效的完成这项工作仍然是很困难的。这里列出了在你刚好开始你的安全项目之前你应该检查的最重要的十项问题。注意：这些不是按照准确的顺序列举的，所有这十项都很重要。

1. 认真选择你的平台。许多小企业遭受了近来的经济衰退，尽管企业在不断改善。现在是时候报废那些仍可继续在网络上使用的Windows 9x设备了。这些计算机基本上都不安全。Windows 2000/XP也许是很好的代替品。
   
   
2. 报废旧的网络设备。也许你是极少的仍然在使用网络集线器（hub）的机构中的一员。如果是的话，你应该认真考虑替换掉它们了。不仅是因为它们抢占宝贵的带宽，而且它们还有安全方面的风险，因为它们使网络中的任何人都可以很容易地偷听到敏感信息。
   
   
3. 给你的Web服务器打补丁。当然，你有一些专用IP地址和一台能够作为你的Web站点主机的计算机，但是你是真的要做吗？所有这些依赖于你能够投入于这件事的大量的时间和努力。重要的是你要记住你的Web站点是很容易被攻击者找到并连接上的。因此你要确保能定期更新你的Web服务器软件。你要确保总是能在攻击者之前运行最新的软件版本；另一方面他们能够秘密地将你的Web站点作为进入你的网络的据点。
   
   
4. 忘记对等网络（peer-to-peer）。也许在小的附属办公室中你仍然认为对等网络工作得很好。虽然如此，报废掉它吧！对等网络不该在任何规模的企业中使用。它们缺乏安全并且没有集中的控制。它迟早会引发一个安全灾难。
   
   
5. 修改默认的密码。我确信你们中有些人会说：“每个人都会修改他们的密码！”这并不是真的。我不能统计出我遇到过的仅仅因为密码从未修改而导致未经许可的访问的安全问题的数目。这里有一个默认密码列表。如果你在这个列表中看到了你的密码，请花几分钟修改它。
   
   
6. 执行坚固的密码政策。每个人都喜欢简单的密码，但是执行坚固的密码政策是必须的。微软（Microsoft）制造了一种免费的工具被称为Passprop，它使得设置坚固的密码成为一件轻而易举的事。
   
   
7. 培训你的员工。你不能提供今年最新的安全小发明吗？没有问题。许多网络安全缺口都是人为的。花费时间来在IT安全的重要性方面培训你的员工。这个过程要在员工被雇佣的那一天开始并且在他的工作过程中一直继续。竞赛、时事通讯、帖子和政策暗示都是将安全是每个人的工作这一信息发布出去的简单的办法。
   
   
8. 考虑总体的安全。我希望我能够告诉你安全是一件在做过以后就可以忘记的事，但是事实不是这样。安全是一个过程，而不是一个产品。要练习把每件事做到完美，或者几乎完美！
   
   
9. 他不仅仅是对外的。你也许已经安装了防火墙或其它边缘设备来把那些坏家伙拒之门外，但是要记住防火墙仅仅保障了外围安全。最好的途径是“内部防御”。一个方法是在内部设备中安装基于主机的防火墙。
   
   
10. 小心加班的员工。这是不幸但是真实的，一旦每个人都回家后，那些拖延着的员工和其它加班的员工有时会不被注意到，这会成为安全威胁。这些人通常完全有权使用那些设备并且会意识到没有任何人在周围。