如何提高员工企业信息安全意识
有一些安全惯例是每一个员工都应该知道的。为此,澳大利亚的ZDNet站给出了一个指南,根据这个指南,你可以很容易的对员工进行网络安全方面的培训。
Ernst & Young在全球51个国家1230个组织中开展了一项信息安全方面的调查--全球信息安全调查2004。对他们来说,之所以目前各个公司的信息安全状态不是很好,一个主要原因在于公司的用户缺少相应的警惕性,因为,只有百分之二十八的回答者将"对员工进行信息安全方面的培训,提高员工的安全意识"作为他们2004年的一项主要任务。
他们所没有意识到的是,对员工进行信息安全意识方面的教育是一件非常简单的事情。可以把下面的安全提示告诉你的员工,从而可以提高他们的安全意识。
密码
有一个好的密码是一个良好的开端。之所以有这种想法,是因为密码猜测和暴力破解等攻击方法很难攻击好的密码,但是同时带来的问题是,用户很难记住这些好的密码。避免使用字典中单一出现的单词、名字、生日(尤其是家庭成员或者宠物的名字、生日等)。一个好方法是使用你能够很容易记忆的一首歌中的一句话。将这句话中的首字母作为密码,然后将其中的一些字母变成类似形状的特殊字符。当然,你也可以使用整个短语,但是,如果你在一个早上就输入了10遍的话,那么你的新鲜劲很快就会消失。
澳大利亚的标准AS17799建议密码的长度至少要有八位以上,并且应该混合字母和各种特殊字符。因此,"Mary Mary quite contrary, how does your garden grow?"可能就变成了"MMq<,hdygg?"这样一个口令。
如果你不退出系统,或者在你离开你的计算机时不使用屏幕保护程序的话,那么强口令的价值就会大为降低,这些情况将会导致一些很大的安全漏洞,导致别人能够通过物理手段对你的系统进行物理访问。
一旦有了一个能够记住的密码,不要将其写在一个可以随处粘贴的便携条上,或者将其写在屏幕下方或者键盘下面。
要记住的是,在澳大利亚,虽然社会工程攻击(比如说,这样的电话"我是IT部门的Jim,我们正在重新设置所有用户的密码,因此请告诉我们你现在使用的密码",或者其他虚假的调查等)还不是那么广泛,但是它仍然会造成一定的风险。记住,对你来说,你可能不知道提问者已经知道了什么,或者以后将会找到什么有关于你的东西。
定期更换密码。在用户使用的不方便性以及潜在的可能暴露的威胁之间,六到十二周的间隔是一个比较好的平衡点。在你的PDA中增加一条备忘录或者在日程安排中添加一个日期来提醒你及时处理这个问题。要记住的是,其他的密码(比如语音邮件)也是非常有价值的,因此,员工也应该努力保证他们的安全。
最后,对于双重认证系统来说,如果你已经有了一个安全令牌,那么一定不要让其他人来使用这个令牌。
网络和个人计算机安全
在没有得到正式批准之前,不要直接或者间接的将个人拥有的设备接入到公司网络中,比如说,将个人的笔记本电脑直接接入公司的局域网,或者将你的PDA与公司的个人计算机进行同步等。IT部门应该会告诉你,应该遵守公司的哪些安全策略,比如说安装公司认可的防病毒软件或者防火墙软件等,并且要定期对这些软件进行更新。
如果你的个人机器上已经安装了个人防火墙软件,那么对因特网的访问要求你的第一反应应该是"不允许"。
臭名昭著的SQL Slammer蠕虫病毒和Blaster 蠕虫都需要服务器的权限进行操作,除非你能够明确识别该程序,并且知道它访问网络的要求是合法的,否则的话最好方法还是阻塞它。如果你有什么疑问,咨询你们的IT技术支持以获得更好的建议。
不要安装非正式的无线访问接入点。对无线接入点的不正确配置将可能导致外部人员进入你的网络,潜在的可能导致秘密信息的泄漏,并且可能因此允许入侵者使用公司的资源。因此,在使用那些位于家中或者咖啡馆中的无线接入点时,应该确保已经激活了WPA安全策略。
从一个远程个人计算机(比如说在家中)上访问公司的资源而不是公开网站时,你应该安装一个信誉良好的防病毒提供商和防火墙提供商提供的防病毒和防火墙软件。学会在你的机器上使用自动更新功能,并且要保证操作系统和一些应用程序如Office可以使用同样的方式进行更新,而且还要安装一个VPN软件。
无论在什么时候,公司的个人计算机都应该使用IT部门配置的自动更新设置来实现自动更新。IT部门配置的设置应该能够为你提供最好的保护,并且这种设置能够尽可能的减少组织对因特网访问连接的负载。
不要安装未授权的软件。如果你使用的是得到批准的非标准软件,在不再需要的时候卸载这些软件。这将可以释放一定的磁盘空间,提高计算机的性能,并且可以消除那些"网络流氓"可能隐藏的"阴暗的角落"。
在即时消息软件中阻止文件的传输。他们和电子邮件附件一样,可能被用来传播恶意软件。
不接触那些名声不好的网站(你知道我的意思),因为他们可能会在你的机器上种植恶意代码。
通过哄骗的方式暴露密码的情况可能很少,但是通过前面所讲述的方法--通过社会工程学技术来获得密码的尝试还是很多的。所以,如果有表面上看起来是"来自IT部门"的电话找你,并且开始询问你的软件或者硬件配置,或者想要改变某些设置或者其他的东西的话,告诉他,你会把电话反拨回去。但是在将电话拨回去之前,先与你的技术支持人员确认一下这个人是不是真的是IT部门的人。
电子邮件
公司的安全并不是难以渗透的,因此,在提供商为组织的防垃圾邮件和防病毒过滤器提供最新的签名更新之前,那些恶意的电子邮件有可能会渗透到公司的网络中。与此同时,你的警惕性将变得非常重要--你必须知道如何识别这些电子邮件,处理这些电子邮件需要非常谨慎。另一个问题是新出现的"小商店恶意软件",这些软件传播的并不是很广泛,并且可能不会得到防病毒提供商的注意。
对于那些有疑问或者不知道来源的邮件,第一步是不要查看或者回复消息,更不要打开可疑的附件。如果消息来自某个非常熟悉的电子邮件地址,但是发送者的名字和地址并不相符、主题明显包含一些随机单词或者字母、或者书写格式和相应的人并不相符的话,那么可以认为这封邮件非常值得怀疑,并且删除这封邮件。对于其他任何声称有关爱情、笑话、庆典视频以及其他非业务性内容的电子邮件都使用同样的处理方法。有很多蠕虫都是使用这种欺骗方法来实现欺骗的。
假设出现最坏的情况:如果看起来处理的不是很合适的话,要么立即删除信息,要么打电话给这个发送者来确认其真实性。不要点击电子邮件中的连接--而是直接在浏览器中输入URL。由于人们已经习惯于直接点击相应的连接,因此,这成了一个很大的问题,而且通常情况下,URL都很长,而且一般看起来好像是一个随机的字符序列。
如果你真的不愿意重新输入这个长长的序列的话,一个折中的办法是从电子邮件中复制这个地址并将其粘贴到浏览器中。在进行这个操作的时候,你一定要注意不要直接点击了这个连接。虽然在古老的欺骗方式中,文本中显示给你的是一个"好的"URL,实际上点击的是"恶意的"URL,它无法提供IDN所给予的保护,因为这种攻击主要是利用类似英文字母的国际字符创建一个域名,让你看起来非常熟悉,但实际上是一个攻击者伪造的网站。
网络钓鱼,这种通过看起来是真实的电子邮件来诱骗人们访问虚假的网上银行(或者相似的)网站的攻击行为,现在变得越来越普遍。
最近的发展趋势是"spearphishing"攻击,使用专门为某些人设计的电子邮件来欺骗某个组织内的特定人群,通过安装键盘记录软件或者其他恶意软件,以便能够得到访问秘密信息的权限。所以,即便某些电子邮件来自于组织内部,你也必须要小心处理。
最后,电子邮件真的是不安全。如果你不得不使用电子邮件来发送秘密信息,那么使用得到批准的加密工具来保护要传输的数据。
打印机和其他媒介
没有必要总是把文档打印出来。如果打印的信息是机密信息,并且它是以电子版本的形式存在的话,那么可能需要更好的保护。如果有必要打印的话,不要使用"公用的"打印机--使用专门为你配发的个人打印机,或者使用其他类似的位于受限或者被监控的领域的(比如说只为财务人员所使用的)打印机,或者使用那些除非用户在前面板上输入了Pin,否则打印机将信息一直保存在内存不能打印的打印机来打印机密文档。
一旦完成了机密文档的打印,需要你总是快速干净的收拾打印机中打印出来的文档,不要将他们扔在打印机的柜子中,将不需要的文件粉碎了,或者按照其他安全处理程序操作。
在没有首先咨询IT部门的员工应该采取什么样的必要措施(比如,加密)来保护数据以及如何才能够安全删除数据(比如说,粉碎用过的CD)的情况下,不要通过可移动的存储器如USB盘,CD或者其他可移动磁盘来传递机密文档。
物理安全
如果没有物理安全的话,绝大多数的技术手段将会失去其本身的价值。如果有人能够偷到硬盘的话,那他没有必要知道密码,就可以很任意实现对硬盘的访问。
一定要注意的是,不要将存储有敏感信息的笔记本电脑或者PDA放在出租车的后备箱中或者放在其他公共场所。即使是找回了这些设备,在几周之后,这些曾经失去的敏感信息有可能被拍卖。
将笔记本电脑或者PDA放在一个无人照看的汽车内,是明摆着要让小偷偷走。
不要让任何人"紧随你身后"进入安全门,也不要让任何人有这样的接口--他说他丢失了他的通行证、或者他说要进去运送东西以及其他任何可能的接口--进入安全门。
如果你看到有人正在损害或者拆卸工作场所内的硬件设备的话,很客气的向他们提出你的质疑。如果你认为自己不适合做这样的事情的话,你可以联系物业管理方面的保安人员。下列人员对本文给出了很好的建议:Stephen Bell,是Lexmark澳大利亚和新西兰的企业、公司和政府机构方面的产品经理;Edwin Butler和Chewy Chong,是澳大利亚Avanade的技术基础设施的实施主管和高级系统工程师。Ben English,澳大利亚微软公司的安全部门的领导人;Fred Felman;Check Point的Zone 实验室部门的市场部副总经理;Paul Macrae,MessageLabs的业务拓展部经理;Sebastian Moore,RSA安全公司的副总经理。Oscar Moren,,Pointsec 移动技术公司的管理主管。Paul Sproule,Dimension Data的NSW安全实践经理。
来源:ZDNET
- 1连锁便利企业的信息化与方法
- 22005年Linux发展趋势
- 3用IT协调CRM和SCM
- 4“无线”模式也可绕道快行
- 5利用数据可视化工具降低导航风险
- 6小软件项目开发的管理
- 7中小企业VoIP部署指南
- 8知识管理是一种持续的实践
- 9文档的智能化未来
- 10如何安装六类布线系统
- 11制定知识管理的应用战略
- 12解密DSL的QoS
- 13虚拟团队的组织优势及挑战
- 14IT项目需要周全的交流计划
- 15中国汽车行业信息化现状与应用发展趋势综述
- 16小公司用好IT一样发家
- 17管理集成是技术集成的先导
- 18研发项目管理系列(3)——市场预测
- 19CIO如何安排多厂商管理
- 20美国国家半导体如何进行知识管理
- 21持续改善IT服务流程
- 22IT揭开管理伤疤:波司登集团ERP实施经验
- 23数据挖掘技术及其应用现状
- 24IT基础设施最佳实践ITIL
- 25成熟合作伙伴策略是技术厂商在亚太市场取胜关键
- 26ERP需要全程的流程变革
- 27行业信息化:车业精益变革
- 28市场导向、组织学习与组织绩效的关系研究(二)
- 29我国软件本地化行业亟待成熟
- 30APS算法之六禁忌搜索TS(上)
成都公司:成都市成华区建设南路160号1层9号
重庆公司:重庆市江北区红旗河沟华创商务大厦18楼