如何提高員工企業(yè)信息安全意識

有一些安全慣例是每一個員工都應(yīng)該知道的。為此，澳大利亞的ZDNet站給出了一個指南，根據(jù)這個指南，你可以很容易的對員工進行網(wǎng)絡(luò)安全方面的培訓(xùn)。 
 
Ernst & Young在全球51個國家1230個組織中開展了一項信息安全方面的調(diào)查--全球信息安全調(diào)查2004。對他們來說，之所以目前各個公司的信息安全狀態(tài)不是很好，一個主要原因在于公司的用戶缺少相應(yīng)的警惕性，因為，只有百分之二十八的回答者將"對員工進行信息安全方面的培訓(xùn)，提高員工的安全意識"作為他們2004年的一項主要任務(wù)。

他們所沒有意識到的是，對員工進行信息安全意識方面的教育是一件非常簡單的事情。可以把下面的安全提示告訴你的員工，從而可以提高他們的安全意識。

密碼

有一個好的密碼是一個良好的開端。之所以有這種想法，是因為密碼猜測和暴力破解等攻擊方法很難攻擊好的密碼，但是同時帶來的問題是，用戶很難記住這些好的密碼。避免使用字典中單一出現(xiàn)的單詞、名字、生日（尤其是家庭成員或者寵物的名字、生日等）。一個好方法是使用你能夠很容易記憶的一首歌中的一句話。將這句話中的首字母作為密碼，然后將其中的一些字母變成類似形狀的特殊字符。當然，你也可以使用整個短語，但是，如果你在一個早上就輸入了10遍的話，那么你的新鮮勁很快就會消失。

澳大利亞的標準AS17799建議密碼的長度至少要有八位以上，并且應(yīng)該混合字母和各種特殊字符。因此，"Mary Mary quite contrary, how does your garden grow?"可能就變成了"MMq<,hdygg?"這樣一個口令。

如果你不退出系統(tǒng)，或者在你離開你的計算機時不使用屏幕保護程序的話，那么強口令的價值就會大為降低，這些情況將會導(dǎo)致一些很大的安全漏洞，導(dǎo)致別人能夠通過物理手段對你的系統(tǒng)進行物理訪問。

一旦有了一個能夠記住的密碼，不要將其寫在一個可以隨處粘貼的便攜條上，或者將其寫在屏幕下方或者鍵盤下面。
要記住的是，在澳大利亞，雖然社會工程攻擊（比如說，這樣的電話"我是IT部門的Jim，我們正在重新設(shè)置所有用戶的密碼，因此請告訴我們你現(xiàn)在使用的密碼"，或者其他虛假的調(diào)查等）還不是那么廣泛，但是它仍然會造成一定的風(fēng)險。記住，對你來說，你可能不知道提問者已經(jīng)知道了什么，或者以后將會找到什么有關(guān)于你的東西。

定期更換密碼。在用戶使用的不方便性以及潛在的可能暴露的威脅之間，六到十二周的間隔是一個比較好的平衡點。在你的PDA中增加一條備忘錄或者在日程安排中添加一個日期來提醒你及時處理這個問題。要記住的是，其他的密碼（比如語音郵件）也是非常有價值的，因此，員工也應(yīng)該努力保證他們的安全。

最后，對于雙重認證系統(tǒng)來說，如果你已經(jīng)有了一個安全令牌，那么一定不要讓其他人來使用這個令牌。

網(wǎng)絡(luò)和個人計算機安全

在沒有得到正式批準之前，不要直接或者間接的將個人擁有的設(shè)備接入到公司網(wǎng)絡(luò)中，比如說，將個人的筆記本電腦直接接入公司的局域網(wǎng)，或者將你的PDA與公司的個人計算機進行同步等。IT部門應(yīng)該會告訴你，應(yīng)該遵守公司的哪些安全策略，比如說安裝公司認可的防病毒軟件或者防火墻軟件等，并且要定期對這些軟件進行更新。 
 
如果你的個人機器上已經(jīng)安裝了個人防火墻軟件，那么對因特網(wǎng)的訪問要求你的第一反應(yīng)應(yīng)該是"不允許"。
臭名昭著的SQL Slammer蠕蟲病毒和Blaster 蠕蟲都需要服務(wù)器的權(quán)限進行操作，除非你能夠明確識別該程序，并且知道它訪問網(wǎng)絡(luò)的要求是合法的，否則的話最好方法還是阻塞它。如果你有什么疑問，咨詢你們的IT技術(shù)支持以獲得更好的建議。

不要安裝非正式的無線訪問接入點。對無線接入點的不正確配置將可能導(dǎo)致外部人員進入你的網(wǎng)絡(luò)，潛在的可能導(dǎo)致秘密信息的泄漏，并且可能因此允許入侵者使用公司的資源。因此，在使用那些位于家中或者咖啡館中的無線接入點時，應(yīng)該確保已經(jīng)激活了WPA安全策略。

從一個遠程個人計算機（比如說在家中）上訪問公司的資源而不是公開網(wǎng)站時，你應(yīng)該安裝一個信譽良好的防病毒提供商和防火墻提供商提供的防病毒和防火墻軟件。學(xué)會在你的機器上使用自動更新功能，并且要保證操作系統(tǒng)和一些應(yīng)用程序如Office可以使用同樣的方式進行更新，而且還要安裝一個VPN軟件。

無論在什么時候，公司的個人計算機都應(yīng)該使用IT部門配置的自動更新設(shè)置來實現(xiàn)自動更新。IT部門配置的設(shè)置應(yīng)該能夠為你提供最好的保護，并且這種設(shè)置能夠盡可能的減少組織對因特網(wǎng)訪問連接的負載。

不要安裝未授權(quán)的軟件。如果你使用的是得到批準的非標準軟件，在不再需要的時候卸載這些軟件。這將可以釋放一定的磁盤空間，提高計算機的性能，并且可以消除那些"網(wǎng)絡(luò)流氓"可能隱藏的"陰暗的角落"。

在即時消息軟件中阻止文件的傳輸。他們和電子郵件附件一樣，可能被用來傳播惡意軟件。

不接觸那些名聲不好的網(wǎng)站（你知道我的意思），因為他們可能會在你的機器上種植惡意代碼。

通過哄騙的方式暴露密碼的情況可能很少，但是通過前面所講述的方法--通過社會工程學(xué)技術(shù)來獲得密碼的嘗試還是很多的。所以，如果有表面上看起來是"來自IT部門"的電話找你，并且開始詢問你的軟件或者硬件配置，或者想要改變某些設(shè)置或者其他的東西的話，告訴他，你會把電話反撥回去。但是在將電話撥回去之前，先與你的技術(shù)支持人員確認一下這個人是不是真的是IT部門的人。

電子郵件

公司的安全并不是難以滲透的，因此，在提供商為組織的防垃圾郵件和防病毒過濾器提供最新的簽名更新之前，那些惡意的電子郵件有可能會滲透到公司的網(wǎng)絡(luò)中。與此同時，你的警惕性將變得非常重要--你必須知道如何識別這些電子郵件，處理這些電子郵件需要非常謹慎。另一個問題是新出現(xiàn)的"小商店惡意軟件"，這些軟件傳播的并不是很廣泛，并且可能不會得到防病毒提供商的注意。 
 
對于那些有疑問或者不知道來源的郵件，第一步是不要查看或者回復(fù)消息，更不要打開可疑的附件。如果消息來自某個非常熟悉的電子郵件地址，但是發(fā)送者的名字和地址并不相符、主題明顯包含一些隨機單詞或者字母、或者書寫格式和相應(yīng)的人并不相符的話，那么可以認為這封郵件非常值得懷疑，并且刪除這封郵件。對于其他任何聲稱有關(guān)愛情、笑話、慶典視頻以及其他非業(yè)務(wù)性內(nèi)容的電子郵件都使用同樣的處理方法。有很多蠕蟲都是使用這種欺騙方法來實現(xiàn)欺騙的。

假設(shè)出現(xiàn)最壞的情況：如果看起來處理的不是很合適的話，要么立即刪除信息，要么打電話給這個發(fā)送者來確認其真實性。不要點擊電子郵件中的連接--而是直接在瀏覽器中輸入URL。由于人們已經(jīng)習(xí)慣于直接點擊相應(yīng)的連接，因此，這成了一個很大的問題，而且通常情況下，URL都很長，而且一般看起來好像是一個隨機的字符序列。

如果你真的不愿意重新輸入這個長長的序列的話，一個折中的辦法是從電子郵件中復(fù)制這個地址并將其粘貼到瀏覽器中。在進行這個操作的時候，你一定要注意不要直接點擊了這個連接。雖然在古老的欺騙方式中，文本中顯示給你的是一個"好的"URL，實際上點擊的是"惡意的"URL，它無法提供IDN所給予的保護，因為這種攻擊主要是利用類似英文字母的國際字符創(chuàng)建一個域名，讓你看起來非常熟悉，但實際上是一個攻擊者偽造的網(wǎng)站。

網(wǎng)絡(luò)釣魚，這種通過看起來是真實的電子郵件來誘騙人們訪問虛假的網(wǎng)上銀行（或者相似的）網(wǎng)站的攻擊行為，現(xiàn)在變得越來越普遍。
最近的發(fā)展趨勢是"spearphishing"攻擊，使用專門為某些人設(shè)計的電子郵件來欺騙某個組織內(nèi)的特定人群，通過安裝鍵盤記錄軟件或者其他惡意軟件，以便能夠得到訪問秘密信息的權(quán)限。所以，即便某些電子郵件來自于組織內(nèi)部，你也必須要小心處理。

最后，電子郵件真的是不安全。如果你不得不使用電子郵件來發(fā)送秘密信息，那么使用得到批準的加密工具來保護要傳輸?shù)臄?shù)據(jù)。

打印機和其他媒介

沒有必要總是把文檔打印出來。如果打印的信息是機密信息，并且它是以電子版本的形式存在的話，那么可能需要更好的保護。如果有必要打印的話，不要使用"公用的"打印機--使用專門為你配發(fā)的個人打印機，或者使用其他類似的位于受限或者被監(jiān)控的領(lǐng)域的（比如說只為財務(wù)人員所使用的）打印機，或者使用那些除非用戶在前面板上輸入了Pin，否則打印機將信息一直保存在內(nèi)存不能打印的打印機來打印機密文檔。
一旦完成了機密文檔的打印，需要你總是快速干凈的收拾打印機中打印出來的文檔，不要將他們?nèi)釉诖蛴C的柜子中，將不需要的文件粉碎了，或者按照其他安全處理程序操作。

在沒有首先咨詢IT部門的員工應(yīng)該采取什么樣的必要措施（比如，加密）來保護數(shù)據(jù)以及如何才能夠安全刪除數(shù)據(jù)（比如說，粉碎用過的CD）的情況下，不要通過可移動的存儲器如USB盤，CD或者其他可移動磁盤來傳遞機密文檔。

物理安全

如果沒有物理安全的話，絕大多數(shù)的技術(shù)手段將會失去其本身的價值。如果有人能夠偷到硬盤的話，那他沒有必要知道密碼，就可以很任意實現(xiàn)對硬盤的訪問。 
 
一定要注意的是，不要將存儲有敏感信息的筆記本電腦或者PDA放在出租車的后備箱中或者放在其他公共場所。即使是找回了這些設(shè)備，在幾周之后，這些曾經(jīng)失去的敏感信息有可能被拍賣。

將筆記本電腦或者PDA放在一個無人照看的汽車內(nèi)，是明擺著要讓小偷偷走。

不要讓任何人"緊隨你身后"進入安全門，也不要讓任何人有這樣的接口--他說他丟失了他的通行證、或者他說要進去運送東西以及其他任何可能的接口--進入安全門。

如果你看到有人正在損害或者拆卸工作場所內(nèi)的硬件設(shè)備的話，很客氣的向他們提出你的質(zhì)疑。如果你認為自己不適合做這樣的事情的話，你可以聯(lián)系物業(yè)管理方面的保安人員。下列人員對本文給出了很好的建議：Stephen Bell，是Lexmark澳大利亞和新西蘭的企業(yè)、公司和政府機構(gòu)方面的產(chǎn)品經(jīng)理；Edwin Butler和Chewy Chong，是澳大利亞Avanade的技術(shù)基礎(chǔ)設(shè)施的實施主管和高級系統(tǒng)工程師。Ben English，澳大利亞微軟公司的安全部門的領(lǐng)導(dǎo)人；Fred Felman；Check Point的Zone 實驗室部門的市場部副總經(jīng)理；Paul Macrae，MessageLabs的業(yè)務(wù)拓展部經(jīng)理；Sebastian Moore，RSA安全公司的副總經(jīng)理。Oscar Moren,，Pointsec 移動技術(shù)公司的管理主管。Paul Sproule，Dimension Data的NSW安全實踐經(jīng)理。