如何提高員工企業(yè)信息安全意識(shí)

有一些安全慣例是每一個(gè)員工都應(yīng)該知道的。為此，澳大利亞的ZDNet站給出了一個(gè)指南，根據(jù)這個(gè)指南，你可以很容易的對(duì)員工進(jìn)行網(wǎng)絡(luò)安全方面的培訓(xùn)。 
 
Ernst & Young在全球51個(gè)國(guó)家1230個(gè)組織中開(kāi)展了一項(xiàng)信息安全方面的調(diào)查--全球信息安全調(diào)查2004。對(duì)他們來(lái)說(shuō)，之所以目前各個(gè)公司的信息安全狀態(tài)不是很好，一個(gè)主要原因在于公司的用戶缺少相應(yīng)的警惕性，因?yàn)?，只有百分之二十八的回答者?對(duì)員工進(jìn)行信息安全方面的培訓(xùn)，提高員工的安全意識(shí)"作為他們2004年的一項(xiàng)主要任務(wù)。

他們所沒(méi)有意識(shí)到的是，對(duì)員工進(jìn)行信息安全意識(shí)方面的教育是一件非常簡(jiǎn)單的事情?？梢园严旅娴陌踩崾靖嬖V你的員工，從而可以提高他們的安全意識(shí)。

密碼

有一個(gè)好的密碼是一個(gè)良好的開(kāi)端。之所以有這種想法，是因?yàn)槊艽a猜測(cè)和暴力破解等攻擊方法很難攻擊好的密碼，但是同時(shí)帶來(lái)的問(wèn)題是，用戶很難記住這些好的密碼。避免使用字典中單一出現(xiàn)的單詞、名字、生日（尤其是家庭成員或者寵物的名字、生日等）。一個(gè)好方法是使用你能夠很容易記憶的一首歌中的一句話。將這句話中的首字母作為密碼，然后將其中的一些字母變成類似形狀的特殊字符。當(dāng)然，你也可以使用整個(gè)短語(yǔ)，但是，如果你在一個(gè)早上就輸入了10遍的話，那么你的新鮮勁很快就會(huì)消失。

澳大利亞的標(biāo)準(zhǔn)AS17799建議密碼的長(zhǎng)度至少要有八位以上，并且應(yīng)該混合字母和各種特殊字符。因此，"Mary Mary quite contrary, how does your garden grow?"可能就變成了"MMq<,hdygg?"這樣一個(gè)口令。

如果你不退出系統(tǒng)，或者在你離開(kāi)你的計(jì)算機(jī)時(shí)不使用屏幕保護(hù)程序的話，那么強(qiáng)口令的價(jià)值就會(huì)大為降低，這些情況將會(huì)導(dǎo)致一些很大的安全漏洞，導(dǎo)致別人能夠通過(guò)物理手段對(duì)你的系統(tǒng)進(jìn)行物理訪問(wèn)。

一旦有了一個(gè)能夠記住的密碼，不要將其寫(xiě)在一個(gè)可以隨處粘貼的便攜條上，或者將其寫(xiě)在屏幕下方或者鍵盤下面。
要記住的是，在澳大利亞，雖然社會(huì)工程攻擊（比如說(shuō)，這樣的電話"我是IT部門的Jim，我們正在重新設(shè)置所有用戶的密碼，因此請(qǐng)告訴我們你現(xiàn)在使用的密碼"，或者其他虛假的調(diào)查等）還不是那么廣泛，但是它仍然會(huì)造成一定的風(fēng)險(xiǎn)。記住，對(duì)你來(lái)說(shuō)，你可能不知道提問(wèn)者已經(jīng)知道了什么，或者以后將會(huì)找到什么有關(guān)于你的東西。

定期更換密碼。在用戶使用的不方便性以及潛在的可能暴露的威脅之間，六到十二周的間隔是一個(gè)比較好的平衡點(diǎn)。在你的PDA中增加一條備忘錄或者在日程安排中添加一個(gè)日期來(lái)提醒你及時(shí)處理這個(gè)問(wèn)題。要記住的是，其他的密碼（比如語(yǔ)音郵件）也是非常有價(jià)值的，因此，員工也應(yīng)該努力保證他們的安全。

最后，對(duì)于雙重認(rèn)證系統(tǒng)來(lái)說(shuō)，如果你已經(jīng)有了一個(gè)安全令牌，那么一定不要讓其他人來(lái)使用這個(gè)令牌。

網(wǎng)絡(luò)和個(gè)人計(jì)算機(jī)安全

在沒(méi)有得到正式批準(zhǔn)之前，不要直接或者間接的將個(gè)人擁有的設(shè)備接入到公司網(wǎng)絡(luò)中，比如說(shuō)，將個(gè)人的筆記本電腦直接接入公司的局域網(wǎng)，或者將你的PDA與公司的個(gè)人計(jì)算機(jī)進(jìn)行同步等。IT部門應(yīng)該會(huì)告訴你，應(yīng)該遵守公司的哪些安全策略，比如說(shuō)安裝公司認(rèn)可的防病毒軟件或者防火墻軟件等，并且要定期對(duì)這些軟件進(jìn)行更新。 
 
如果你的個(gè)人機(jī)器上已經(jīng)安裝了個(gè)人防火墻軟件，那么對(duì)因特網(wǎng)的訪問(wèn)要求你的第一反應(yīng)應(yīng)該是"不允許"。
臭名昭著的SQL Slammer蠕蟲(chóng)病毒和Blaster 蠕蟲(chóng)都需要服務(wù)器的權(quán)限進(jìn)行操作，除非你能夠明確識(shí)別該程序，并且知道它訪問(wèn)網(wǎng)絡(luò)的要求是合法的，否則的話最好方法還是阻塞它。如果你有什么疑問(wèn)，咨詢你們的IT技術(shù)支持以獲得更好的建議。

不要安裝非正式的無(wú)線訪問(wèn)接入點(diǎn)。對(duì)無(wú)線接入點(diǎn)的不正確配置將可能導(dǎo)致外部人員進(jìn)入你的網(wǎng)絡(luò)，潛在的可能導(dǎo)致秘密信息的泄漏，并且可能因此允許入侵者使用公司的資源。因此，在使用那些位于家中或者咖啡館中的無(wú)線接入點(diǎn)時(shí)，應(yīng)該確保已經(jīng)激活了WPA安全策略。

從一個(gè)遠(yuǎn)程個(gè)人計(jì)算機(jī)（比如說(shuō)在家中）上訪問(wèn)公司的資源而不是公開(kāi)網(wǎng)站時(shí)，你應(yīng)該安裝一個(gè)信譽(yù)良好的防病毒提供商和防火墻提供商提供的防病毒和防火墻軟件。學(xué)會(huì)在你的機(jī)器上使用自動(dòng)更新功能，并且要保證操作系統(tǒng)和一些應(yīng)用程序如Office可以使用同樣的方式進(jìn)行更新，而且還要安裝一個(gè)VPN軟件。

無(wú)論在什么時(shí)候，公司的個(gè)人計(jì)算機(jī)都應(yīng)該使用IT部門配置的自動(dòng)更新設(shè)置來(lái)實(shí)現(xiàn)自動(dòng)更新。IT部門配置的設(shè)置應(yīng)該能夠?yàn)槟闾峁┳詈玫谋Ｗo(hù)，并且這種設(shè)置能夠盡可能的減少組織對(duì)因特網(wǎng)訪問(wèn)連接的負(fù)載。

不要安裝未授權(quán)的軟件。如果你使用的是得到批準(zhǔn)的非標(biāo)準(zhǔn)軟件，在不再需要的時(shí)候卸載這些軟件。這將可以釋放一定的磁盤空間，提高計(jì)算機(jī)的性能，并且可以消除那些"網(wǎng)絡(luò)流氓"可能隱藏的"陰暗的角落"。

在即時(shí)消息軟件中阻止文件的傳輸。他們和電子郵件附件一樣，可能被用來(lái)傳播惡意軟件。

不接觸那些名聲不好的網(wǎng)站（你知道我的意思），因?yàn)樗麄兛赡軙?huì)在你的機(jī)器上種植惡意代碼。

通過(guò)哄騙的方式暴露密碼的情況可能很少，但是通過(guò)前面所講述的方法--通過(guò)社會(huì)工程學(xué)技術(shù)來(lái)獲得密碼的嘗試還是很多的。所以，如果有表面上看起來(lái)是"來(lái)自IT部門"的電話找你，并且開(kāi)始詢問(wèn)你的軟件或者硬件配置，或者想要改變某些設(shè)置或者其他的東西的話，告訴他，你會(huì)把電話反撥回去。但是在將電話撥回去之前，先與你的技術(shù)支持人員確認(rèn)一下這個(gè)人是不是真的是IT部門的人。

電子郵件

公司的安全并不是難以滲透的，因此，在提供商為組織的防垃圾郵件和防病毒過(guò)濾器提供最新的簽名更新之前，那些惡意的電子郵件有可能會(huì)滲透到公司的網(wǎng)絡(luò)中。與此同時(shí)，你的警惕性將變得非常重要--你必須知道如何識(shí)別這些電子郵件，處理這些電子郵件需要非常謹(jǐn)慎。另一個(gè)問(wèn)題是新出現(xiàn)的"小商店惡意軟件"，這些軟件傳播的并不是很廣泛，并且可能不會(huì)得到防病毒提供商的注意。 
 
對(duì)于那些有疑問(wèn)或者不知道來(lái)源的郵件，第一步是不要查看或者回復(fù)消息，更不要打開(kāi)可疑的附件。如果消息來(lái)自某個(gè)非常熟悉的電子郵件地址，但是發(fā)送者的名字和地址并不相符、主題明顯包含一些隨機(jī)單詞或者字母、或者書(shū)寫(xiě)格式和相應(yīng)的人并不相符的話，那么可以認(rèn)為這封郵件非常值得懷疑，并且刪除這封郵件。對(duì)于其他任何聲稱有關(guān)愛(ài)情、笑話、慶典視頻以及其他非業(yè)務(wù)性內(nèi)容的電子郵件都使用同樣的處理方法。有很多蠕蟲(chóng)都是使用這種欺騙方法來(lái)實(shí)現(xiàn)欺騙的。

假設(shè)出現(xiàn)最壞的情況：如果看起來(lái)處理的不是很合適的話，要么立即刪除信息，要么打電話給這個(gè)發(fā)送者來(lái)確認(rèn)其真實(shí)性。不要點(diǎn)擊電子郵件中的連接--而是直接在瀏覽器中輸入U(xiǎn)RL。由于人們已經(jīng)習(xí)慣于直接點(diǎn)擊相應(yīng)的連接，因此，這成了一個(gè)很大的問(wèn)題，而且通常情況下，URL都很長(zhǎng)，而且一般看起來(lái)好像是一個(gè)隨機(jī)的字符序列。

如果你真的不愿意重新輸入這個(gè)長(zhǎng)長(zhǎng)的序列的話，一個(gè)折中的辦法是從電子郵件中復(fù)制這個(gè)地址并將其粘貼到瀏覽器中。在進(jìn)行這個(gè)操作的時(shí)候，你一定要注意不要直接點(diǎn)擊了這個(gè)連接。雖然在古老的欺騙方式中，文本中顯示給你的是一個(gè)"好的"URL，實(shí)際上點(diǎn)擊的是"惡意的"URL，它無(wú)法提供IDN所給予的保護(hù)，因?yàn)檫@種攻擊主要是利用類似英文字母的國(guó)際字符創(chuàng)建一個(gè)域名，讓你看起來(lái)非常熟悉，但實(shí)際上是一個(gè)攻擊者偽造的網(wǎng)站。

網(wǎng)絡(luò)釣魚(yú)，這種通過(guò)看起來(lái)是真實(shí)的電子郵件來(lái)誘騙人們?cè)L問(wèn)虛假的網(wǎng)上銀行（或者相似的）網(wǎng)站的攻擊行為，現(xiàn)在變得越來(lái)越普遍。
最近的發(fā)展趨勢(shì)是"spearphishing"攻擊，使用專門為某些人設(shè)計(jì)的電子郵件來(lái)欺騙某個(gè)組織內(nèi)的特定人群，通過(guò)安裝鍵盤記錄軟件或者其他惡意軟件，以便能夠得到訪問(wèn)秘密信息的權(quán)限。所以，即便某些電子郵件來(lái)自于組織內(nèi)部，你也必須要小心處理。

最后，電子郵件真的是不安全。如果你不得不使用電子郵件來(lái)發(fā)送秘密信息，那么使用得到批準(zhǔn)的加密工具來(lái)保護(hù)要傳輸?shù)臄?shù)據(jù)。

打印機(jī)和其他媒介

沒(méi)有必要總是把文檔打印出來(lái)。如果打印的信息是機(jī)密信息，并且它是以電子版本的形式存在的話，那么可能需要更好的保護(hù)。如果有必要打印的話，不要使用"公用的"打印機(jī)--使用專門為你配發(fā)的個(gè)人打印機(jī)，或者使用其他類似的位于受限或者被監(jiān)控的領(lǐng)域的（比如說(shuō)只為財(cái)務(wù)人員所使用的）打印機(jī)，或者使用那些除非用戶在前面板上輸入了Pin，否則打印機(jī)將信息一直保存在內(nèi)存不能打印的打印機(jī)來(lái)打印機(jī)密文檔。
一旦完成了機(jī)密文檔的打印，需要你總是快速干凈的收拾打印機(jī)中打印出來(lái)的文檔，不要將他們?nèi)釉诖蛴C(jī)的柜子中，將不需要的文件粉碎了，或者按照其他安全處理程序操作。

在沒(méi)有首先咨詢IT部門的員工應(yīng)該采取什么樣的必要措施（比如，加密）來(lái)保護(hù)數(shù)據(jù)以及如何才能夠安全刪除數(shù)據(jù)（比如說(shuō)，粉碎用過(guò)的CD）的情況下，不要通過(guò)可移動(dòng)的存儲(chǔ)器如USB盤，CD或者其他可移動(dòng)磁盤來(lái)傳遞機(jī)密文檔。

物理安全

如果沒(méi)有物理安全的話，絕大多數(shù)的技術(shù)手段將會(huì)失去其本身的價(jià)值。如果有人能夠偷到硬盤的話，那他沒(méi)有必要知道密碼，就可以很任意實(shí)現(xiàn)對(duì)硬盤的訪問(wèn)。 
 
一定要注意的是，不要將存儲(chǔ)有敏感信息的筆記本電腦或者PDA放在出租車的后備箱中或者放在其他公共場(chǎng)所。即使是找回了這些設(shè)備，在幾周之后，這些曾經(jīng)失去的敏感信息有可能被拍賣。

將筆記本電腦或者PDA放在一個(gè)無(wú)人照看的汽車內(nèi)，是明擺著要讓小偷偷走。

不要讓任何人"緊隨你身后"進(jìn)入安全門，也不要讓任何人有這樣的接口--他說(shuō)他丟失了他的通行證、或者他說(shuō)要進(jìn)去運(yùn)送東西以及其他任何可能的接口--進(jìn)入安全門。

如果你看到有人正在損害或者拆卸工作場(chǎng)所內(nèi)的硬件設(shè)備的話，很客氣的向他們提出你的質(zhì)疑。如果你認(rèn)為自己不適合做這樣的事情的話，你可以聯(lián)系物業(yè)管理方面的保安人員。下列人員對(duì)本文給出了很好的建議：Stephen Bell，是Lexmark澳大利亞和新西蘭的企業(yè)、公司和政府機(jī)構(gòu)方面的產(chǎn)品經(jīng)理；Edwin Butler和Chewy Chong，是澳大利亞Avanade的技術(shù)基礎(chǔ)設(shè)施的實(shí)施主管和高級(jí)系統(tǒng)工程師。Ben English，澳大利亞微軟公司的安全部門的領(lǐng)導(dǎo)人；Fred Felman；Check Point的Zone 實(shí)驗(yàn)室部門的市場(chǎng)部副總經(jīng)理；Paul Macrae，MessageLabs的業(yè)務(wù)拓展部經(jīng)理；Sebastian Moore，RSA安全公司的副總經(jīng)理。Oscar Moren,，Pointsec 移動(dòng)技術(shù)公司的管理主管。Paul Sproule，Dimension Data的NSW安全實(shí)踐經(jīng)理。