就像以上数据表明的那样，许多中小企业缩减安全预算。Small Business Technology Institute的研究表明，1/5的小公司(1-100个雇员)没有足够的恶意软件保护措施，大部分没有任何安全策略，许多公司只是在灾难发生后才制定相应计划。然而中小企业和大公司面对恶意软件攻击的危险性是一样的。安全专家分享了他们的十个方法来达到更快，更便宜也更容易控制的安全计划。

1. 用自动保护阻止恶意软件

保护中小企业的第一道防线是阻止和减少病毒，蠕虫，间谍软件和其他恶意软件，包括木马下载和击键记录器，无论是端点还是网关上的。相应的，为e-mail网关安装预防恶意软件和过滤软件，阻止恶意软件和垃圾邮件(它经常携带恶意软件)到达用户端的PC。为了处理这些，许多中小企业购买了所谓的统一的威胁管理程序，它在一个设备上采用多个安全技术。但是只有网关保护是不够的。就像Randy Abrams，ESET技术教育的管理者，一个信息安全软件的提供者说的，“太在意目标就会错过一些东西，”所以确保在每个笔记本，桌上电脑，服务器，有可能的话包括移动设备上都安装杀毒软件套装。这样的套装也包括个人防火墙和基于主机入侵防御措施。

2. 尽快给你的漏洞打补丁

一个有效的安全计划需要保持操作系统和应用程序都是打了补丁的。“如果不是的话你可能会导致你的其他所有机制都无效”Abrams说。目的是迅速的给PC和服务器打补丁。什么样才叫快?如果你一年前这么问，我会说一季度就合适了。但是我看到的更多的是每月都有变化，越来越多的厂商都是这样--不只是微软--每个月都发布补丁。但是，我们需要做决定，“你不能把一切都做好，你得实际点”。相应的，搜索外部资源，比如SANS 上最容易受攻击的20个网络安全攻击目标列表，以便决定哪个漏洞需要打补丁，以什么样的顺序打补丁。

3.密码：对“Fluffy”说不

今天许多登录仍然是以密码形式，所以，“确保雇员使用有效的密码，只要有可能，使用多种认证技术，因为不管你相不相信，小公司的雇员特别愿意使用他们的名字作为登录名和密码，这对黑客和在线鉴别贼来说是很容易算出的”Teixeira说，事实上，字典攻击—自动快速使用成千上万的已知单词去猜测密码—可能在几分钟之内猜出这种密码。这是一个简单的信息安全解决方案：让使用者避免使用真正的单词，而是使用他们记住的一个长句子的每个单词的首字母。在创建一个更好的密码一文中可获得更多相关信息。

4.定义“好的行为”(Define “Good Behavior”)

什么是可接受的行为?无论是从可行性还是法律来衡量都不可能很容易的实现，除非已经很明确的规定。进入安全策略和规程。“用户会做愚蠢的事情，你必须有能够实施的策略，至少能够抑制一些用户准备要做的事情”。Abram说。事实上，规程告诉职员什么是需要的(每隔30天改变密码)或者是禁止的(观看成人网页)。设置策略不需要很大代价，花费时间或者很难。例如，SANS组织的信息安全策略项目在网上提供30个免费的模型策略，还有一些收钱的。“Information Security Policy Made Easy”这本书和CD-ROM提供超过1350种方法。但是，不要只是添加公司的名字到空白地方。而是，在策略方面训练雇员，把策略放在共享网络驱动或内部互联网的一个显著位置，并且经常访问它们。

5.小心警惕应用软件

为了用最少的时间最大化安全性能，作为“可接受使用(acceptable use)”策略的一部分，要禁止使用者在PC上安装没有经过认证的软件。“然后实施和确保你是唯一合适使用了商业上需要的软件的人”Abrams说。这种简单的方法改进了安全性，节省了时间。因为第三方软件很容易成为恶意软件的躲藏处，从而引起安全漏洞，并且它需要额外的时间来打补丁。此外，如果PC感染了恶意软件—它通常是很难根除的—使用标准磁盘镜像来清除和重恢复PC可以更加快捷，而不用安装额外的应用程序。

6.要准备计划

如果有些地方出了问题—在安全方面—雇员会知道怎么处理吗?“当没有IT人才每天24小时在岗的时候(这是很多中小企业的一种典型情况)，人们需要相应的处理步骤，至少要有一个协调和交流的观点”Webroots Eschelbeck说。事先计划和考虑需要时间，对于中小企业来说，这无可否认是一种很罕见的安全奢侈行为。即使这样，“制定一个紧急应对计划：预测一个成功的攻击，知道当攻击发生时怎么处理它”Abrams建议。特别的，雇员在他们的安全软件报告它们已经被恶意软件感染时他们应该向谁求助?

7.备份是个优点

盗窃，飓风，龙卷风，破坏性的恶意软件，爆裂的管子，破坏的硬盘，电火花，生气的员工：假设数据已经备份，这些都和数据完整性无关了。当然每个人都知道他们应该备份，但是很少有人去做。因此，是由IT人士去保护这些数据。考虑安装一个自动备份软件，为了防范物理灾难，确保最后的备份不是存储在站点上。如果要获得更方便的使用—虽然代价不低—聘请一项自动在线备份服务。

8.审核：仔细观察记录

“如果杀毒软件报警了，但是没有其它注意到这个，这是不是真正的病毒呢?”ESET的Abrams问“你必须审核你的记录并确认自己被攻击了吗?因为你的IDS报告你正在偏转这一切东西，那么你就会想知道，因为攻击者会不断转移攻击直到攻击成功”。即使那些没有入侵检测系统的中小企业仍会研究杀毒软件的记录来监视攻击，并保持对基本服务器安全设定的关注。“黑客会改变安全设定来确保他回来的时候更容易点，注意到有安全设定的变化通常是你发现攻击的第一个信号”他说。

9.在预算方面的安全教育：要有创造性

在所有的公司里，有效的安全需要对人，过程，技术都加以注意—“但是安全中人这方面通常被忽视”Forrester 研究分析员Khakid Kark警告说。为了解决这个，保持一个识别安全程序。一个好的开始是对所有的新雇员进行短期培训课程，了解规则：帮助桌面从来不需要密码，小心免费的Wi-Fi热点因为一些人可以监听所有的通信;使用旅馆的PC或者是机场的公用电话会很明显留下一份所有数据和连接的备份;而且千万不要打开任何看起来可疑的e-mail链接。

10.数据加密：设定它然后忘记它

保护丢失和被窃的信息不被滥用的最好方法是什么?考虑整个磁盘加密软件，它保证硬盘数据对没有合适认证的任何人都是无效的。“笔记本丢失总是在发生，笔记本被偷后，你最不想发生的事情就是偷了笔记本的那个人把顾客的信息在网上出售”NCSA的Teixeira说。