数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
答案是肯定的。越是弱小的公司越经不起大风大浪,很可能一次较大的信息安全事件就把公司干倒闭了。譬如Kaspersky发布的《勒索软件报告》中有提到:40% 的小型企业表示,如果遭遇勒索攻击而无法恢复数据,可能会导致其难以继续运营。
但小公司可能连盈利都达不到,是养不起专业信息安全团队的。所以最好的方式就是:向安全乙方厂商购买安全产品和服务。一般来说,定期的渗透测试是必须的,这个时间周期可以根据产品迭代的频次而动态调整,但一般建议最长不要大于1年,按季度为宜,按月亦可。而且建议跟购买安全服务的乙方工程师搞好关系,因为他对你公司使用的技术栈、组件、中间件、服务等都很了解,以便及时获悉零日漏洞资讯,或者干脆花点小钱来购买相关威胁情报服务。当然,自身的IT员工来关注所使用组件和系统的漏洞资讯亦可,这些资讯在各组件的官方网站或下载渠道都会公布。此外,终端安全防护和边界安全防护也有必要性,应按需采购。
我这里随意列一些安全乙方出来,可供安全服务和能力采购时参考:奇安信、深信服、天融信、绿盟科技、启明星辰、360、安恒、长亭、知道创宇、华顺信安、亚信科技、北信源。排名不分先后,而且也不保证齐全,不过这些公司的安全能力、产品和服务都是很好的,对付小公司是游刃有余。当然,联系到安全销售时,他总是想把各种各样的东西卖给你,你有一万的预算就能花掉你一万,你有一个亿的预算他也能花掉你一个亿。所以,选择适合自己的最重要,不要追求所谓的极致的安全。极致的安全是不存在的,只要能大体上控制好资产暴露面的安全风险就好。数字化转型网www.szhzxw.cn
声明:本文来自梦之光芒的电子梦,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于梦之光芒的电子梦;编辑/翻译:数字化转型网萍水。
