企业的工作人员可以影响企业的安全环境和策略,因为很多安全问题是由内部人员引起的。比方说企业的电子邮件系统可以引发许多问题,如垃圾邮件、数据泄露、网络钓鱼等。因为电子邮件是现代工作场所的主要通信手段,我们不应当限制雇员对邮件的使用,而应该引导其对邮件系统的正确使用。
企业应当建立正式的雇员邮件使用策略,这种策略可以帮助雇员清楚电子邮件使用的有关问题,并告诉这些用户安全使用邮件的正确信息。不同的企业有不同的环境,但保障网络安全的基本策略和措施总有一些相通之处。
首先,公司雇员可以使用“隐蔽副本”来保护收件人。在电子邮件环境中,“隐蔽副本”简称为BCC ,它是指将一个消息发送给多个接收者,但每个接收者收到消息时并不包含接收者的全部清单。也可以这样说“隐蔽副本”是一种将某些邮件接收者从其它接收者中隐蔽起来的方法。如果用户必须发送一组电子邮件给多个接收者,那么就不应当将这些接收者的邮件地址放在“抄送”字段中,因为垃圾邮件制造者可以轻易地获得这些地址。雇员应当对这些地址使用电子邮件程序的“隐蔽副本”选项。
其次,教育用户使用安全的文件类型。例如,微软的Word文件易于受到某些病毒,如宏病毒的感染,而且雇员甚至不清楚文件是否感染的情况下就可能发送或共享文件。一种更安全的Word文件的处理选择是发送以RTF格式存储的文件。另外一种选择是使用openoffice.org,允许用户创建电子表格、文本文档、图表等,还可以将XML文件输出为微软的office格式。当然,不限于office文件,其它的文件如可执行文件、pdf文件如果不谨慎使用都可能给公司和雇员带来危害。
第三,当心垃圾邮件伎俩。打开垃圾邮件可以引进更多的垃圾邮件。垃圾邮件中可能包括一幅GIF图像,它受控于一个垃圾邮件制造者,它引诱用户打开电子邮件中的链接,由此垃圾邮件制造者会确认邮箱的合法性和可用性。其欺骗手段还有,垃圾邮件制造者会向用户发送一个电子邮件谎称你发送的邮件被退回;取消订阅承诺,垃圾邮件制造者会向用户发送一个包括“取消订阅”链接的邮件,如果用户单击了这个链接,那么用户收到的垃圾邮件将会更多。最好的办法是将来历不明的邮件地址加到垃圾邮件箱中。
第四、正确使用垃圾邮件名单列表。要教育用户不要简单地删除垃圾邮件,而要将其加入到阻止列表中,由此垃圾邮件制造者将无法再向用户发送邮件。公司应当向雇员提供一个简单的方法,使其可以自动地标记垃圾邮件,并能够轻易地将其加入到黑名单中。
第五、谨慎打开附件。垃圾邮件制造者经常使用附件来传播恶意文件,这种附件可能包括恶意软件、rootkit、间谍软件等,由此会给公司和雇员带来更大的经济损失。一些附件中的恶意代码还可以大量占用公司的网络资源。
第六、限制免费邮件账户的使用。在公司的邮件策略中,公司和客户的信息绝对不应当通过免费的账户发送。在某些行业,如金融服务业中,有必要禁用免费的邮件账户,目的是保障客户信息不会被滥用。
此外,为公司的移动设备建立一个单独的邮件账户也是很有必要的。如果雇员要长期离开笔记本电脑,可以将其普通邮件发送到主要的邮件账户。
