有一些安全惯例是每一个员工都应该知道的。为此,澳大利亚的ZDNet站给出了一个指南,根据这个指南,您可以很容易的对员工进行网络安全方面的培训。
Ernst & Young在全球51个国家1230个组织中开展了一项信息安全方面的调查--全球信息安全调查2004。
对他们来说,之所以目前各个公司的信息安全状态不是很好,一个主要原因在于公司的用户缺少相应的警惕性,因为,只有百分之二十八的回答者将"对员工进行信息安全方面的培训,提高员工的安全意识"作为他们2004年的一项主要任务。
他们所没有意识到的是,对员工进行信息安全意识方面的教育是一件非常简单的事情。
可以把下面的安全提示告诉您的员工,从而可以提高他们的安全意识。
密码
- 有一个好的密码是一个良好的开端。之所以有这种想法,是因为密码猜测和暴力破解等攻击方法很难攻击好的密码,但是同时带来的问题是,用户很难记住这些好的密码。
避免使用字典中单一出现的单词、名字、生日(尤其是家庭成员或者宠物的名字、生日等)。一个好方法是使用您能够很容易记忆的一首歌中的一句话。将这句话中的首字母作为密码,然后将其中的一些字母变成类似形状的特殊字符。当然,您也可以使用整个短语,但是,如果您在一个早上就输入了10遍的话,那么您的新鲜劲很快就会消失。
- 澳大利亚的标准AS17799建议密码的长度至少要有八位以上,并且应该混合字母和各种特殊字符。因此,"Mary Mary quite contrary, how does your garden grow?"可能就变成了"MMq<,hdygg?"这样一个口令。
- 如果您不退出系统,或者在您离开您的计算机时不使用屏幕保护程序的话,那么强口令的价值就会大为降低,这些情况将会导致一些很大的安全漏洞,导致别人能够通过物理手段对您的系统进行物理访问。
- 一旦有了一个能够记住的密码,不要将其写在一个可以随处粘贴的便携条上,或者将其写在屏幕下方或者键盘下面。
要记住的是,在澳大利亚,虽然社会工程攻击(比如说,这样的电话"我是IT部门的Jim,我们正在重新设置所有用户的密码,因此请告诉我们您现在使用的密码",或者其他虚假的调查等)还不是那么广泛,但是它仍然会造成一定的风险。记住,对您来说,您可能不知道提问者已经知道了什么,或者以后将会找到什么有关于您的东西。
- 定期更换密码。在用户使用的不方便性以及潜在的可能暴露的威胁之间,六到十二周的间隔是一个比较好的平衡点。在您的PDA中增加一条备忘录或者在日程安排中添加一个日期来提醒您及时处理这个问题。要记住的是,其他的密码(比如语音邮件)也是非常有价值的,因此,员工也应该努力保证他们的安全。
- 最后,对于双重认证系统来说,如果您已经有了一个安全令牌,那么一定不要让其他人来使用这个令牌。
网络和个人计算机安全
- 在没有得到正式批准之前,不要直接或者间接的将个人拥有的设备接入到公司网络中,比如说,将个人的笔记本电脑直接接入公司的局域网,或者将您的PDA与公司的个人计算机进行同步等。IT部门应该会告诉您,应该遵守公司的哪些安全策略,比如说安装公司认可的防病毒软件或者防火墙软件等,并且要定期对这些软件进行更新。
- 如果您的个人机器上已经安装了个人防火墙软件,那么对因特网的访问要求您的第一反应应该是"不允许"。
臭名昭著的SQL Slammer蠕虫病毒和Blaster 蠕虫都需要服务器的权限进行操作,除非您能够明确识别该程序,并且知道它访问网络的要求是合法的,否则的话最好方法还是阻塞它。如果您有什么疑问,咨询您们的IT技术支持以获得更好的建议。
- 不要安装非正式的无线访问接入点。对无线接入点的不正确配置将可能导致外部人员进入您的网络,潜在的可能导致秘密信息的泄漏,并且可能因此允许入侵者使用公司的资源。因此,在使用那些位于家中或者咖啡馆中的无线接入点时,应该确保已经激活了WPA安全策略。
- 从一个远程个人计算机(比如说在家中)上访问公司的资源而不是公开网站时,您应该安装一个信誉良好的防病毒提供商和防火墙提供商提供的防病毒和防火墙软件。学会在您的机器上使用自动更新功能,并且要保证操作系统和一些应用程序如Office可以使用同样的方式进行更新,而且还要安装一个VPN软件。
- 无论在什么时候,公司的个人计算机都应该使用IT部门配置的自动更新设置来实现自动更新。IT部门配置的设置应该能够为您提供最好的保护,并且这种设置能够尽可能的减少组织对因特网访问连接的负载。
- 不要安装未授权的软件。如果您使用的是得到批准的非标准软件,在不再需要的时候卸载这些软件。这将可以释放一定的磁盘空间,提高计算机的性能,并且可以消除那些"网络流氓"可能隐藏的"阴暗的角落"。
- 在即时消息软件中阻止文件的传输。他们和电子邮件附件一样,可能被用来传播恶意软件。
- 不接触那些名声不好的网站(您知道我的意思),因为他们可能会在您的机器上种植恶意代码。
- 通过哄骗的方式暴露密码的情况可能很少,但是通过前面所讲述的方法--通过社会工程学技术来获得密码的尝试还是很多的。所以,如果有表面上看起来是"来自IT部门"的电话找您,并且开始询问您的软件或者硬件配置,或者想要改变某些设置或者其他的东西的话,告诉他,您会把电话反拨回去。但是在将电话拨回去之前,先与您的技术支持人员确认一下这个人是不是真的是IT部门的人。
电子邮件
- 公司的安全并不是难以渗透的,因此,在提供商为组织的防垃圾邮件和防病毒过滤器提供最新的签名更新之前,那些恶意的电子邮件有可能会渗透到公司的网络中。与此同时,您的警惕性将变得非常重要--您必须知道如何识别这些电子邮件,处理这些电子邮件需要非常谨慎。另一个问题是新出现的"小商店恶意软件",这些软件传播的并不是很广泛,并且可能不会得到防病毒提供商的注意。
- 对于那些有疑问或者不知道来源的邮件,第一步是不要查看或者回复消息,更不要打开可疑的附件。
如果消息来自某个非常熟悉的电子邮件地址,但是发送者的名字和地址并不相符、主题明显包含一些随机单词或者字母、或者书写格式和相应的人并不相符的话,那么可以认为这封邮件非常值得怀疑,并且删除这封邮件。对于其他任何声称有关爱情、笑话、庆典视频以及其他非业务性内容的电子邮件都使用同样的处理方法。有很多蠕虫都是使用这种欺骗方法来实现欺骗的。
假设出现最坏的情况:如果看起来处理的不是很合适的话,要么立即删除信息,要么打电话给这个发送者来确认其真实性。
- 不要点击电子邮件中的连接--而是直接在浏览器中输入URL。由于人们已经习惯于直接点击相应的连接,因此,这成了一个很大的问题,而且通常情况下,URL都很长,而且一般看起来好像是一个随机的字符序列。
如果您真的不愿意重新输入这个长长的序列的话,一个折中的办法是从电子邮件中复制这个地址并将其粘贴到浏览器中。在进行这个操作的时候,您一定要注意不要直接点击了这个连接。虽然在古老的欺骗方式中,文本中显示给您的是一个"好的"URL,实际上点击的是"恶意的"URL,它无法提供IDN所给予的保护,因为这种攻击主要是利用类似英文字母的国际字符创建一个域名,让您看起来非常熟悉,但实际上是一个攻击者伪造的网站。
- 网络钓鱼,这种通过看起来是真实的电子邮件来诱骗人们访问虚假的网上银行(或者相似的)网站的攻击行为,现在变得越来越普遍。
最近的发展趋势是"spearphishing"攻击,使用专门为某些人设计的电子邮件来欺骗某个组织内的特定人群,通过安装键盘记录软件或者其他恶意软件,以便能够得到访问秘密信息的权限。所以,即便某些电子邮件来自于组织内部,您也必须要小心处理。
- 最后,电子邮件真的是不安全。如果您不得不使用电子邮件来发送秘密信息,那么使用得到批准的加密工具来保护要传输的数据。