信息安全意识

位置定位服务与隐私保护

admin

移动化成了我们工作和生活的一部分,基于位置的服务LBS可增强移动化的体验,所以为越来越多的移动应用程序所请求,不过它也带来一些安全及隐私的顾虑,您了解启用它的安全风险么?

使用位置定位服务的安全需知

  • 保护个人隐私,关闭不必要的位置定位服务,在使用移动应用程序时,小心分享自己的位置信息。
  • 启用带有定位服务的应用程序会严重缩短电池的使用寿命和时间,也会向不怀好意的人暴露您的行踪,您的地理位置信息可能让服务商向您推送定向广告,也可能被犯罪份子恶意利用。仅在需要时再打开定位服务功能。
  • 避免在社交网络上披露可能被他人拼凑并进行恶意利用的敏感碎片信息。

更多位置定位服务的安全性思考

现代移动技术市场的快速扩张和发展为使用基于位置的技术和应用创造了机会。因为这是一个快速扩展的市场和新技术,所以我们需要意识到这种扩展技术可能对信息安全产生的影响。

这真是一个移动化的消费时代,除非足不出户,否则禁止了位置定位服务的使用简直就使人“寸步难行”。昆明亭长朗然科技有限公司移动安全研究员董志军说:通常来讲,要想正常使用生活类的APP如导航出行、自助点餐等等,那就得给APP访问位置信息的权限。

既然不能彻底禁用,那是否就可以全部开放,让所有APP都可以访问您的位置信息呢?如果答案是肯定的,那就上了不法分子的当了。别以为他人知道您的一些位置信息没什么大不了,太平盛世,谁还敢抢夺了不成?别高兴得太早!军事专家们经常讲,向对手暴露的越多,就越被动。

单纯靠位置信息,最多知道一个人的手机在哪里,推测出他/她在干什么。对大多数生活在都市的人来讲,仿佛掌握这些信息的利用价值也不大。但是如果是在偏僻的地方,单纯的地理位置信息暴露可能会导致不法分子对您的人身和财产攻击。

进一步利用位置信息,特别是结合其它移动设备的信息,则可以造成更大的伤害。借助大数据,利用手机的硬件信息,如IMEI、Mac地址等,大数所厂商可以匹配到手机用户的更多身份信息,比如手机号码。再根据恶意APP上传的短信、通讯录、照片等,幸运的话,可以清晰的看到使用者的身份。不要以为这会是麻烦的操作,此前知名媒体曝光过的借助运营商漏洞轻松获取使用者手机号码的案例相信行业人士并不陌生,就是如“探针盒子”之类的东西即使公开销售被禁止,私下里使用同样原理和大数据服务的产品和技术也不会少。

丢失过手机的人对使用位置追踪有特别的理解,建议可以开启智能移动计算设备的位置跟踪服务,这样在设备丢失时,能帮助定位,甚至远程锁定和擦除敏感数据。同时,人们也有留意相关的手机定位“黑客服务”,其实原理上,他们利用的也是地理位置信息加上大数据查询服务。

经常有媒体报道不准确的位置服务将人们导航到危险地带,为了避免这种情况,我只能说不要太迷信导航,通常大中型城市的市区由于使用者多,导航信息还算精准。但是小城镇和乡村就不见得了,特别是人迹罕至的偏远地带,手机信号都不足的地方,导航的误差就可能好几米甚至几十米,这时就不要太迷信导航APP。

说来说去,要选择性地使用地理位置信息,一方面只让可信的APP访问您的地理位置信息,另一方面,只在必要的时候允许必要的访问,这其实也就是在灵活使用信息安全里的一个访问控制的“最小特权”原则。

希望我们的一些建议和倡议能帮助您。昆明亭长朗然科技有限公司通过提供大量的安全、保密与合规性培训教程资源,来持续不断地帮助客户修复人员认知方面的安全漏洞,降低由于人为错误而带来的安全风险。我们创作了大量的安全政策、标准、制度和流程相关的宣传物,包括电子图片、动画短片、卡通漫画等等。欢迎有兴趣有需求的安全界人士联系我们,洽谈商业合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

USB存储盘的安全使用

admin

U盘等移动存储设备容量大,方便携带,是数据存储和交换的好帮手。但是它们也很容易丢失或感染恶意代码,如果其中存储有敏感或涉密数据的话,那可能造成的损失将会更加严重。

有的组织机构或单位部门会禁止使用USB接口,以保护计算机信息安全。由于这种作法同时会影响工作的便利性,所以也有不少公司将USB接口保留了下来,这就需要我们保护好移动存储设备特别是其中存储的数据的安全。

使用加密软件或者专用特制的加密闪盘是保护移动设备中数据的两种选择。专用特制的加密闪盘含有硬件加密芯片,除非攻破硬件算法和密钥,否则它很难被破解,但是它们的价格往往比较昂贵。

使用加密软件是一种比较经济实惠的方案,主要的U盘厂商都会附带免费的存储加密软件,不过它们往往都需要安装,在某些情况下这可能有些困难,并且耗费时间。使用类似TrueCrypt之类的加密软件,可以免安装而直接使用。

除了数据加密之外,我们还向您分享如何安全使用U盘的小提示:

  • U盘使用前先杀毒;
  • U盘打开时不采用“自动播放”;
  • U盘中的重要资料使用后及时删除;
  • 定期查杀电脑病毒,避免U盘感染;

更多关于便携式移动存储的安全考量

随着个人和组织将越来越多的数据进行数字化,能造成重大影响的数据泄露也变得越来越容易。当然,不能怪罪于方便、便宜的USB闪存棒和其他便携式存储设备,不过人们总可能使用它们来传输数据库和其他机密信息。除了滥用数据的危险之外,重大数据的泄露也会造成破坏性的负面效应。

这些设备构成至少如下两种威胁:

  • 用户可能有意或无意地绕过企业防火墙和防病毒等外围防御,并引入恶意软件,如特洛伊木马或病毒,如果不及时发现,可能会造成严重损害。
  • 公司面临失去知识产权和其他重要企业数据的风险。便携式存储设备非常适合打算窃取敏感和有价值数据的人员。如果员工无意中误用了这些设备,他们也可能会对丢失数据负责。

切记:数据丢失的影响往往会超出数据本身的商业价值。如下两点不容忽视:

  • 不同国家/地区有不同的隐私权法律。这意味着如果个人信息(属于公司客户或员工)最终落入未经授权的第三方手中,则可能导致更大的法律诉讼风险。
  • 由于信息泄露,公司的声誉可能会受到损害。对于必须保留客户隐私的区域(例如金融市场)的人来说尤其如此。

企业机构很容易获得便携式存储设备,以下是人们在使用便携式移动存储设备时可以采取的保护数据的关键措施。

政策

公司应禁止员工在工作电脑上使用不受控制的私有设备。该禁令应扩展到可直接访问公司网络的合作伙伴及外部承包商。

便携式存储设备无疑可为公司及其员工提供非常好的实际利益。但是,在许多情况下,完全禁止使用它们是不切实际的,可能还会适得其反。

一种更安全的选择是采取积极的控管政策,这会涉及在整个组织(政策)和特定工具(技术)方面采取某些安全措施。比如只允许使用官方授权的USB设备,而且在技术层面实现拒绝陌生U盘,基使其不能用于信息数据的拷贝。

加密、加密、加密

在讨论保护便携式存储设备的常用方法之前,值得强调的是在便携式存储设备上加密数据的益处经常被低估。昆明亭长朗然科技有限公司数据安全顾问董志军表示:具体而言,正确加密的数据提供了一个安全层,可防止从丢弃或出售的存储设备中挖出潜在的尴尬或具有破坏性的数据。

许多企业没有意识到可以使用现成的恢复软件从硬盘驱动器或USB驱动器等机械存储设备中轻松恢复已删除的文件。另外,如果想解开或重新构建先前加密的数据将耗费巨大,因为它需要原始的解密密钥。

与所有受密码保护的技术一样,设备加密往往会不可避免地带来用户忘记密码的糟糕风险。在某些情况下,正确的恢复密钥管理或密码管理工具可以缓解这种情况。因此,确保加密数据永远不是信息的唯一副本,并且在其他地方可以获得安全备份。

总结与启迪

当然,对于大型机构来讲,统一的标准化要求必不可少,应该考虑使用移动数据保护产品来加密企业级敏感数据。此外,相关安全标准与要求的宣贯,也得同步进行,以便如员工、外包商等能够理解和认同相应的安全要求,并在日常的移动存储设备使用行动中严格遵守。

希望我们的一些建议和倡议能帮助您。昆明亭长朗然科技有限公司是信息安全相关标准和准则宣传领域的领航者,我们的标准化课程内容涵盖各类主流安全法规与行标,定制化的内容设计服务可以满足各类型客户的个性化需求。如果您有任何相关的安全问题,或者有意见或建议,都欢迎您随时联系我们。如果您需要评估或采购安全、保密与合规相关宣教培训内容,也欢迎不要犹豫地给我们一个电话或消息。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898