如何实现最基本的IT检查的10条建议(2)

　　2. 建立“危险清单”

　　仅仅知道资产还不足以实现保护，还需要它们面临那些危险。这一步主要是列举一个你现阶段可能面临的一些风险。

　　应该包含哪些风险?

　　如果你的危险清单过于泛化，那么你就应该特别注意那些细枝末节的安全问题。当你决定那些风险应该包含在清单的时候，应该根据比例尺测试一下。例如，如果你考虑飓风是否会影响到你的服务器的时候，你因该对两方面加以考虑，尽管风险很小，但是一旦发生风险将是致命的。如果风险达到足以影响到你的企业的话，不管风险多么小都应该列入清单之中。

　　一般的“风险”包括哪些?

　　以下这些司空见惯的风险在你构建风险清单的时候可以作为参考：

　　1. 计算机和网络密码。是不是有一个日志中包含所有人的密码?ACL(Access Control List 有效服务列表)清单的安全程度如何?现在使用的密码时候足够安全?

　　2. 实体资产。台式机和笔记本是否会被来访者或是员工带出工作场所?

　　3. 实体资产的记录。它们是否存在?是否备份?

　　4. 数据备份。哪些虚拟资产需要备份，怎么样备份，放在哪，谁来管理备份?

　　5. 网络访问日志。每当有人访问数据的时候，这一访问是否被记录，谁，什么时间，什么地点等等。

　　6. 对敏感顾客信息的访问，诸如，信用卡信息。谁可以访问?怎么样实现访问控制?公司之外的网络是否可以实现访问?

　　7. 客户清单访问。网站是否允许通过后门进入客户机数据库?是否会被劫持?

　　8. 长途拨号。长途拨号是否会被限制，或是所有的拨号都是免费的?是否应该被限制?

　　9. 电子邮件。垃圾邮件过滤器是否安排妥当?员工是否需要进行垃圾邮件和网络钓鱼邮件的教育?公司发出去的邮件是不是不应该包含某种形式的超链接?

　　3. 过期的检测和预测未来

　　在这一阶段，你需要编辑当下危险清单，但是那些还没有发现的风险怎么办呢，更或是那些还没有开发出来的危险呢?一个好的安全检查不仅仅是关乎现实，也需要预测未来风险。

　　以史为鉴

　　要想预测未来，首先需要了解过去受到危险的历史。许多风险在史上不断的重复出现，将过去的风险进行归类整理，将相关的风险列入你的风险清单之中，这样你对计算机漏洞会有一个更加全面的认识。

　　检查安全趋势

　　通过网络和各大安全门户网站了解时下流行的一些网络安全风险是大有裨益的。

　　协同作战

　　面对外部风险的时候，一些竞争对手常常成为对方最大的资产。与竞争对手构建良好的关系可帮助你对网络安全风险有一个全面的了解。要做到与对手实现安全威胁信息的共享。