昨天,朋友给我打电话说,他们单位的电脑无法连上互联网了,而管理员这几天又出差在外。笔者到了他们单位之后,发现其硬件和网络均没有问题,于是根据现象用排除法查找问题,最后确定并排除ARP病毒所致的网络故障。在排除过程中,笔者发现其终端用户网络安全意识不强,且没有相应的防护措施。因此导致这次故障的发生是迟早的事情。
毋庸置疑,终端用户需要做到的安全方面不一而足。几乎每一家公司都有大量的安全文件和策略,基本而言,都是要告诉雇员在下载时要当心,要注意防止钓鱼欺诈和口令泄露等。不过,长篇累读的教程效果未必很好。有时,向员工提供几条简短的安全提示或许能达到更好的效益。在此我们仅列示几个易被忽视的方面。
确保口令安全
最受欢迎的口令是那种最容易记忆的东西。不幸的是,这些口令是最不安全的。一般情况下,口令应当至少有八个字符,而且要包含一些特殊字符并对口令经常改变,这种改变不应当是简单的调整。例如,如果目前的口令是“mypassword”,修改之后,不应当是“OKmypassword1”等类似的字符。
对有些用户来说,由于担心忘记口令,它们可能需要记下来,否则就容易出问题。用户应当与IT管理人员讨论是否可以实施一个可以安全地存储口令的程序,而且只需要一个密码就可以解开加密的文件。
保持公司信息的私密性
数据是公司运营的宝贵财产,而发布私有信息有可能是一种主要的安全损害。许多用户不仅不知道有哪些行为可为企业造成风险,如不清楚所发出的电子邮件或扔下的纸条会损害企业安全。
有时,公司的数据有可能被当作电子邮件附件发送出去。例如,一位销售代表有可能将新的合同保险单发给一个客户,却未认识到这种消息保存着敏感数据。公司雇员应当仔细检查发往公司外部的数据,看是否包含私密信息。
要知道敏感信息并不仅仅是数字格式存在,而且还出现于打印文档中。企业的每个部门应当设立一个碎纸机,为破坏一些敏感信息提供保障。
知道什么人可以信任
最阴险的安全攻击形式要算是社会工程学(Social Engineering)了。它可以利用人际关系的某些技巧和方法,通过交谈、假冒等手段,从合法用户套取用户系统资料或管理权限,也可以诱使合法用户打开一些伪造的钓鱼邮件或网站,从而骗取其资料或钱财等。例如,某个外部的个人可以打电话冒称是一个IT部门的业务代表,也可伪装为一个雇员粉墨登场。
而且一些新的社会工程技术也不断出现,这就要求终端用户在收到电话或陌生人的来访时,需要保持高度的警惕。
关注个人设备的安全风险
随着智能电话、MP3播放器等微型设备的普及,许多雇员可能会将这些个人设备带到工作中。企业应当告诉或要求员工,不要将其插入到计算机中,更不能将公司的资料复制到这些设备中。
个人设备可能构成一种风险,而在丢失机密数据之前,许多用户并没有认识到这一点。使用这种设备将违背公司关于数据传输的安全策略。一个普通用户可能会将iPod当作一个音乐播放器,而对于一个IT人员来说,这是一种能够不当地拷贝公司信息的可移动存储设备。
拥有整体安全观
有一些用户并不理解下载应用程序的后果,有的用户不理解公司为什么禁止从拥有免费Wi-Fi的位置连接网络。这自然说明企业安全文化的建设不够深入,以至于用户缺乏整体的安全观念。要让其知道,使用一些自动化的工具确实有帮助作用,但对于用户来说知道某些策略背后的原因也很重要。
为了让员工获得更为广泛的安全知识,一些公司已经设置了安全方面的在线教程。公司还应当鼓励用户向IT专业人员请教安全问题的最佳方法,如怎样进行口令控制和保障新设备的安全等。终端用户理解某条策略的原因将有助于确保其不违反规定和损害数据。
我们可以这样表达所讨论的几个方面,即:安全第一我做起,口令安全很关键。信任他人需谨慎,公司秘密不外传。个人设备有风险,拥有整体安全观。
