转载:信安之路 作者:国联信安
信息安全意识(Information Security Awareness),就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。
从人性角度看待信息安全问题,如何让员工对抗企业信息安全面临的风险,如何从培训和教育角度入手,加强员工在安全意识方面的认知。下面是2017年关于企业安全意识方面的五类最佳实践策略及信息安全意识漫谈总结。
一 、施之所欲
2017年基于网络的精准营销会有很大跃升,源于用户行为分析及环境学习在人群中的普及。Gartner分析师Matthew Cain和Stephen Kleynhans认为,环境学习是以算法驱动,基于用户行为分析客户化后从而传递给用户的信息。
二、微学习
作为对抗“遗忘曲线”最可行的方法,微学习会持续风靡,现在是时候开始了!简单来说,微学习是针对短期内、小规模学习内容最好的实践方式。
三、对抗“安全疲劳”
2017年基于网络的精准营销会有很大跃升,源于用户行为分析及环境学习在人群中的普及。Gartner分析师Matthew Cain和Stephen Kleynhans认为,环境学习是以算法驱动,基于用户行为分析客户化后从而传递给用户的信息。
四、注意你的高管
首席执行官和其他管理人员因其敏感信息可在黑市中变现,成为网络犯罪最有吸引力的攻击对象,这一标靶地位在2017年仍将继续。
五、隐私保护 人人有责
在企业中隐私问题得到更大的聚焦,即将囊括在一般数据保护条例中。隐私安全的规范——由一般数据保护条例强制规定——将进入每个软件产品与技术解决方案中,这也包括员工安全意识认知。不仅是已经执行数据保护规定的公司,各行业的公司都会加入这个领域的讨论中。除此之外,条例中明文规定需要进行隐私意识培训。例如,规定企业数据保护负责人要“安排员工安全意识培训的操作。”在这些法规压力下,企业应该在其经营管理中充分考虑隐私问题否则将付出代价。
信息安全意识漫谈
随着信息化时代的来临,办公已经在朝着集成化和智能化方向发展,不仅逐渐实现了无纸化办公,而且在互联网的影响下,办公的效率越来越高,但是信息化时代也有诸多不足,会给计算机办公的信息造成很的影响,例如互联网时代可以实现资源共享,所以就会导致信息存在巨大的安全隐患。
每年企业动辄投资上千万防毒防黑,但一个容易被忽略的问题造成了上述所有手段的防御失效,即:来自员工、厂商或其它合法使用系统者的内部滥用。在漏洞攻击愈来愈快速的今日,有可能因为一个访客携入的计算机而瘫痪几千万IT设备。一个能进入办公室打开电脑的普通员工对内网安全的潜在威胁远远超过了一个技术一流的网上黑客。
办公安全
访客/陌生人进入
现实场景:
乔装成各种工作人员进行作案也是商业间谍或黑客收集信息的重要方式之一,快递员是写字楼最常见的工作人员,所以也是伪装后不容易引起注意的角色。另外,也不能排除个别快递人员的职业操守问题。
安全建议:
■ 收取快递在门外进行
■ 带外人进入要前台登记并全程陪同
■ 进出大门时注意是否有尾随人员
■ 对于不能自动闭合的大门注意随手关门
会议安全
现实场景:
利用会议室白板讨论的一般都是一些主要思路、关键结论,这些内容如果泄露给未授权知晓的人员,容易带来各种不可预知的后果。
安全建议:
■ 注意选择比较隔音的会议室
■ 开会期间拉上百叶窗或窗帘
■ 会前叮嘱参会人员保密事项,不允许拍照、录音,甚至不能带手机入会场
■ 会后整理会场,不遗留文件,注意擦白板
锁定屏幕
现实场景:
同事之间工作内容、工作性质不同,有权知晓的信息内容、信息密级也有所不同。中午吃饭或上洗手间的时间如果不锁屏,同事们不光能看到屏幕内容,别有用心的人还会打开电脑各种文件甚至用U盘拷出。
安全建议:
■ 短时间离开电脑请按WIN+L键锁屏
■ 长时间离开电脑建议关机
■ 日常请设置屏幕保护程序,建议在10分钟以内启动,并勾选“恢复时显示登录屏幕”以免离开电脑忘记锁屏
桌面安全
现实场景:
对于一般的公司来说,外人进入办公区域并不是一件很难的事情,特别是对于面向公众办公的单位,桌面如果放有敏感文件,很容易被拿手机偷拍或随手带走。
安全建议:
■ 同样强调电脑要锁屏
■ 敏感文件一定要锁到柜子里
■ 桌面不要遗留门禁卡、钥匙、手机等重要物件
办公区域安全总结
■进出大门防尾随,收发快递在门口
■会议过程不拍照,会后谨记擦白板
■离开电脑要锁屏,设置自锁十分钟
■敏感文件柜里锁,钥匙门禁身边留
WIFI安全
免费WIFI接入
现实场景:
不法分子通常会搭建与常用WIFI名相同或相近的WIFI,设置空密码或相同密码吸引公众连接,然后在WIFI路由器上劫持DNS,将你引入到钓鱼网站获取你的账号密码,或者在路由器上监听手机流量,获取明文密码。
安全建议:
■ 同样强调电脑要锁屏在公共场合连接WIFI时请同商家仔细确认WIFI名称
■ 没有密码的公共WIFI请慎用
■ 在使用支付APP时请使用运营商4G网络,尽量避免使用公共WIFI
私搭WIFI热点
现实场景:
无线路由器有较多的安全隐患,比如之前的WEP认证能轻易破解。个人架设无线路由,如果设置不当,家用最多导致蹭网或个人资料泄露,但在公司使用可能会导致内网被入侵,公司机密、客户资料泄密,后果不堪设想。
安全建议:
■ 认证方式使用安全的WPA2算法
■ 建议隐藏SSID,绑定接入设备的MAC地址
■ 增加WIFI密码强度,建议8位以上的混合字符密码
■ 在办公网络架设无线路由器必须经过公司批准并进行安全检查
WIFI自动连接
现实场景:
一些手机在搜到不是同一个WIFI热点但名称相同的WIFI时也会自动使用保存的密码连接,这就给黑客以可乘之机。
安全建议:
■ 日常不用WIFI时关闭手机和笔记本的无线局域网功能,以防止自动连接恶意WIFI
■ 当手机或笔记本连接上WIFI后,留意连接到的WIFI热点名称
WIFI万能钥匙
现实场景:
手机上WIFI万能钥匙类的APP在安装以后默认设置自动上传你所连接的WIFI密码。这些密码一般不会明文给出,只会在连接WIFI时自动输入,但曾曝出漏洞用一个APP能读出检测到WIFI的密码,这样就可以用笔记本接入WIFI使用更强大的攻击工具了。
安全建议:
■ 建议不要使用WIFI万能钥匙类APP
■ 如果必须使用建议关掉自动上传密码功能
WIFI安全总结
■公共场合连WIFI,名称一定确认好
■无密WIFI不要连,安全支付用4G
■私搭路由要审批,安全设置莫忘记
■WIFI不用要关闭,万能钥匙请回避
个人电脑
文件加密存储
现实场景:
文件直接放在硬盘上,电脑丢失后硬盘上文件就可以被直接读取,如果存到加密盘中,拿到硬盘后必须输入加密盘密码加载加密盘才能看到其中的文件,就有效避免了重要文件泄密。
安全建议:
■ 敏感文件建议存放在加密盘中,开机输入密码后加载加密盘
■ 加密密码一定要设置复杂密码
■ 加密盘可以使用微软的BITLOCKER
■ 邮件中也会有敏感信息,OUTLOOK或FOXMAIL的数据文件也建议放入加密盘,加密密码一定要设置复杂密码
弱口令
现实场景:
密码越复杂,破解难度越高,而且这个比例是成指数级的,简单6位数字密码秒破,而8位复杂密码的破解需要20年以上。
安全建议:
■ 包含大小写字母,数字和标点符号,位数在8位以上
■ 不能包含名字、生日、手机号或车牌号
■ 定期修改各种密码,如三个月或半年
密码分级
现实场景:
很多人各网站用户名密码相同,这样黑客用被泄露网站的密码登录其他网站很有可能会成功,每个网站都设置不同的密码可能不现实,那就可以对密码就行分级管理。
安全建议:
■ 不同网站/应用的账号设置不同的密码是最安全的
■ 也可以按账号重要程度进行分级,不同级账号设置不同密码,同一级账号设置相同或相似密码
■ 爆发拖库事件时第一时间修改自己的相应级别的账号密码
软件下载
现实场景:
黑客会入侵一些安全性不高的小软件下载站点,将其中的软件全部替换为捆绑病毒的软件,这些软件安装使用和原版一模一样,但后台就默默运行着病毒木马,一般都会做成免杀版,各种主流杀毒软件无法检测到。
安全建议:
■ 建议搜索该软件的官方网站,到官网下载
■ 下载后用MD5工具查看下载软件的MD5值,并同官方网站公布的MD5值做对比,如果不一样则肯定被修改过
系统更新
现实场景:
操作系统和软件的安全更新就如同汽车的缺陷召回,安全更新修复了已知的可能导致系统被入侵或用户信息泄露的漏洞。更重要的是,每个更新补丁发布时,黑客会多方收集漏洞细节和利用方法,此阶段就成为用相应漏洞进行攻击的高峰期。
安全建议:
■ 建议打开操作系统和各种应用的自动安装更新,或有更新时提示
■ 建议得知漏洞或更新通告后,了解漏洞详情,对于重要的更新第一时间手工安装
文件删除
现实场景:
删除电脑或U盘中的文件时,如果你仅点删除按钮,或快速格式化,其实并未真正从硬盘或U盘中删除,利用数据恢复软件可以轻松恢复出来,清空回收站同样可以恢复。
安全建议:
■ 单个文件彻底删除可以利用杀毒软件自带的文件粉碎功能,一般在文件上点鼠标右键可以看到
■ 电脑出售或者移交其他人使用,删除敏感文件后,同样需要对硬盘脱密,使用脱密工具反复擦写5次以上
数据备份
现实场景:
有很多原因可能导致硬盘上的文件丢失或不可用,比如硬盘日久老化故障,电脑掉电硬盘故障,电脑中病毒将文件都加密,甚至电脑丢失等,所以日常需要注意重要数据的备份。
安全建议:
■ 个人电脑上的重要数据要定期备份到服务器或移动硬盘
■ 备份时注意数据要加密,建议使用加密盘,备份整个加密盘原始文件
个人电脑安全总结
■敏感文件要加密,邮件文件莫忘记
■密码设置要复杂,分级安全又好记
■软件请到官网下,MD5一定要对比
■系统补丁及时打,不怕黑客常惦记
■文件删除要彻底,硬盘移交需脱密
■数据备份要定期,备份文件需加密
移动办公安全
短信链接木马
现实场景:
这个实例虽说也是短信开始,骗到钱结束,但跟普通的电信诈骗不同的是利用了恶意链接和挂马页面,科技含量非常高。手机中木马后,黑客通过在后台监听截获短信验证码的方式,结合其他途径已经获取的身份证、银行卡信息,注册了受害人的银行卡快捷支付。
安全建议:
■ 及时根据系统提示升级手机系统和APP,减少挂马页面可利用的漏洞
■ 手机中安装安全软件
■ 不要点击任何短信中的链接
越狱和ROOT
现实场景:
安卓的ROOT和苹果的越狱都是使普通的APP获取手机最高权限,这样恶意的APP可以随意读写删除手机文件、监听截获短信和数据流量、后台随意安装其他APP等,也使得手机在打开挂马页面时更容易中木马。有些木马甚至可以自行对手机进行ROOT操作。
安全建议:
■ 非专业人员或爱好者切勿越狱或ROOT
■ 安装安全防护软件,并在官方市场下载应用
二次验证防盗号
现实场景:
用一个密码来保护账号是常用的认证方式,但密码泄露后账号就不保。现在很多手机厂商账号或APP账号支持二次验证,当检测到你的账号在其他手机登陆时,会增加一种除了密码以外的验证方式,比如短信验证码。
安全建议:
■ 关注你的各种重要账号是否开启了二次验证,有些是默认开启,有些是需要手动开启
■ 换手机号记得修改二次验证通知的手机号
■ 不要告诉任何人你的短息验证码
应用安装
现实场景:
目前手机APP应用市场多如牛毛,各市场对上架APP的审核力度不一,有些应用安全性不够还被黑客入侵,将正常APP替换为恶意APP。
安全建议:
■ 下载应用务必到手机操作系统官方应用商店下载,或到应用官网扫码下载
■ 安装应用时谨慎选择应用所需的权限,后期若影响使用提示权限不足还可手工修改
SIM和SD卡安全
现实场景:
手机丢失后如果不及时挂失SIM卡,黑客可轻易取出换到另一部手机里收取验证短信。注册银行卡的快捷支付只需要证件号码、银行卡号和短信验证码。
安全建议:
■ 为SIM卡设置PIN码,手机重启或更换手机后必须输入PIN码才能使用这个号码
■ 手机或SD卡上不要存储敏感信息,比如身份证照片、银行卡照片、工作文档,以免手机丢失后被不法分子利用
手机出售前脱密</2>
现实场景:
手机恢复出厂设置只是把系统文件简单还原、用户数据简单删除,在手机内部芯片上并未彻底删除,就如同我们在电脑上删除文件一样。
安全建议:
■ 手机出售前除了恢复出厂设置外,还需要用大的视频文件反复拷贝删除几次,或者用专门的数据擦除软件擦除数据
■ 技术宅可以用非原厂ROM刷机,这样可以清除可能遗留的原厂账号信息
手机使用安全总结
■系统和应用勤升级,短信链接勿点击
■安全软件要安装,越狱ROOT隐患多
■二次验证一开启,密码泄露不着急
■应用下载到官方,后台权限谨慎选
■SIM卡要加PIN码,敏感信息莫留存
■手机出售要重置,视频文件刷几次