实现自我安全检查机制之十步走战略(1)

　　每一家企业都有自己宝贵的IT资产，诸如计算机，网络和数据。要实现对这些资产的保护需要大小企业都拥有自己独立的安全审查机制，这样就可以及时发现企业面临的安全问题以及如何应对风险。

　　以下10条建议将告诉你如何实现最基本的IT检查。虽然这些建议没有专业人士所做的那样广泛，但是让你在保护安全之路上起步了。

　　1. 构建安全审查的范围：列举资产清单和安全范围

　　安全审查的第一步就是列出计算机资产清单，然后我们才知道那些需要保护。列举有形资产的清单很简单，譬如计算机，服务器，文件夹。但是无形资产的清单就不是那么容易的事情了。为了保证列举的无形资产清单的连续性，安全审查范围是很有用的。

　　什么是安全审查范围

　　安全审查范围既是一个实体上的和概念上的界限，安全审查关注的只是界限之内的东西，界限之外的事情与安全审查无关。当然决定最终安全审查范围的是你自己，但是一般来说，安全范围应该是最小的界限，只是包含那些控制你企业安全必须的资产。

　　需要考虑的资产

　　一旦你决定了安全范围，接下来就要完善资产清单。我们要考虑所有潜在的资产并且决定那些资产是否应该包含在安全范围之内。一般来说，以下资产是必须列入清单的：

　　1. 台式机和笔记本

　　2. 路由器和网络工具

　　3. 打印机

　　4. 视频，不管是数码的或是类似的东西，还有含有公司敏感数据的照片

　　5. 销售数据，顾客信息数据，还有员工信息数据

　　6. 公司智能电话和掌上电脑

　　7. VoIP电话，IP PBX(private branch (telephone) exchange 专用分组交换机)以及相关的服务器

　　8. VoIP或是普通电话的通话记录

　　9. 电子邮件

　　10. 员工日常工作安排和活动的日志

　　11. 网页，特别是那些对用户信息请求的信息还有由网络脚本支持的对数据库访问的请求

　　12. 网络服务器

　　13. 监控视频

　　14. 员工出入证

　　15. 访问点(譬如门禁系统的扫描仪)

　　这一清单没有穷举所有的资产，你还要再三思考以下那些数据还没有包含进去。列举的资产清单越详细越好，这样将有助于你更加准确认识到那台计算机面临风险。