漫谈几项关键的网络安全策略

网络安全对于所有连接到互联网上的企业或组织都非常重要。互联网是一个绝佳的地方,人们可以用其进行沟通并做自己喜欢的事情。许多人以互联网为生,不过,互联网的极度流行也导致网络犯罪分子猖狂活动。

因此,我们必须在上网时保护好自己,掌握好必备的网络安全知识和技能,是保护自己和我们的业务的不二法宝。对此,昆明亭长朗然科技有限公司网络安全顾问董志军表示:网络安全是保护我们和我们的数据免受网络罪犯侵害的手段。为了最大程度地发挥和利用互联网的正向价值,我们将为您提供基本的网络安全使用常识,以帮助您武装好自己,应对各种各样的网络犯罪。

一、恶意软件的防范

每天都会有新的病毒和恶意软件被网络不法分子创建出来。有些采取特洛伊木马的形式,它们可能会对您的计算机造成破坏,保护业务免受恶意软件破坏的最佳方法是部署可靠而强大的防病毒解决方案。强大而可靠的防病毒解决方案可以在保护计算设备免受恶意软件侵害方面发挥积极作用,但前提是需要保持防病毒软件的启用和处于更新状态,过时的防病毒软件是无法对付新型的恶意软件的。

近几年,勒索软件兴起,给恶意软件防范带来了新的挑战,勒索软件不断变种,让传统的防病毒软件无法及时侦测出来,这时,人员的良好安全意识就显得越发重要,不访问不良网站、不接收未知人员发来的文件、不下载可疑文件、不开启陌生邮件附件……这些都成了防范恶意软件的基本安全卫生知识。

二、重要数据的备份

勒索软件泛滥是促使人们重视数据备份的一个重要原因,数据对于公司而言极为宝贵。数据是大多数网络罪犯在攻击公司、企业或组织时所追求的东西。数据可能是勒索软件攻击者的利用目标,也可能由于硬件故障或人为失误而丢失。无论如何,最好保持重要数据的定期备份。备份策略将使您可以将系统还原到最近保存的一个版本。从长远来看,这通常可以成为灾难时的救命稻草,并且是可以带来回报的一项网络安全策略。

这是一个大数据的时代,数据大集中于云端是最为高效的方式,这很利于数据的备份和使用。

三、访问密码的安全

使用云计算备份数据并非不利于信息保密,关键在对数据是否进行了必要的访问控制,密码是最常用的鉴别使用者身份的措施。脆弱的密码形同虚设,包括网络上曝光过的简单密码,字典中的字词,以及个人信息等。无疑,我们需要使用复杂的密码来应对蛮力攻击和密码猜解。

由于不少网站已经泄露了海量的用户名和密码的组合,加之不少人的常规密码已经被破解,个人信息也已经可被公开查询,他们都被不法分子用来在其它网站和应用上进行“撞库”攻击或重置密码,我们不得不建议为每个账户设立复杂而唯一的密码,可以使用密码管理器,或写在加密本上陌生携带。如果怀疑密码被泄露,应立即更改。

四、多重身份验证措施

对于重要的应用来讲,密码并不能成为唯一的用来进行身份验证的措施,相对来讲,较新的保护概念是二次身份验证,通常也称为双因素身份验证。这种措施是给您的帐户建立的新的安全保护层,当其他人尝试登录您的系统或帐户之时,它将为您提供多一重的保护。您应该不会陌生,它经常用于在线银行应用、电商APP、社交媒体帐户等等。双因子身份验证的工作方式是:每次当您尝试通过输入用户名和密码登录帐户时,必须从“验证”应用、短信验证码或语音来电中输入四位或六位数的代码。

多重身份验证措施可以大大减少了您被黑客入侵或访问您的私人信息的机率。

五、安全“人脑”的更新

如果您把账号、密码和验证码告诉了电话或即时消息中自称的“警察”、“领导”或“客服人员”,那什么样的网络安全技术措施都没用。这是因为,各类信息系统与人的“互动”越来越多,狡猾的网络犯罪分子不断研究各种系统应用的安全漏洞,以及使用者的弱点,成功的利用使犯罪分子盗取他人虚拟网络身份,进而是重要信息以及金钱资产。特别是社会工程学和网络钓鱼的流行,让人们认识到在应对不法分子方面,仅仅依靠安全防范技术是不足够的,给人员的“头脑”进行更新,防范利用人性弱点的攻击就显得很紧迫。

网络钓鱼攻击者会煽动情绪,营造紧迫感,或与目标人员建立起友好关系,从而诱骗人们点击链接、下载附件或提供敏感信息。时刻切记,您所在工作单位之外的任何人都不得在未经授权的情况下访问机密信息。应对社交工程攻击,切记,永远不要使用随处见到的存储器或光盘。永远不要点击来自未知发件人的链接。永远不要回复来自未知发件人的讯息。如果您收到了一封可疑邮件或消息,或发现您周围存在异常活动,请尽快按照相应的流程进行报告。

后面的话

总之,要保障网络安全,需要多项措施并重。人员、流程和技术是网络安全管理的三要素,上述列出来的一些战略方法并不全面和深入。如果您有更为深入的需要探讨的话题,请与我们联系一起聊一聊。

多年来,昆明亭长朗然科技有限公司致力于全民的网络安全与保密意识提升,我们帮助众多知名企业对员工进行安全意识教育,以让人们的“安全大脑”获得更新进而应对各类网络安全威胁,我们有在线的信息安全学习系统,以及大量的课程资源可供选购用于内部培训。如果您有兴趣了解更多,欢迎联系我们。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

困难时期的网络安全战略选择

近年来,国家安全、政治安全等上升到新时代的新高度,网络安全、数据安全也随之成为热门行当。然而,全球疫情反复、局部战火不断,很多企业手中没钱,又要办事,至少得守法合规。举例讲:《网络安全法》、《数据安全法》、《个人信息保护法》等等必须得遵循,否则,前期的资本投入,后期的辛苦收入,都可能被黑客远程勒索、被处以巨额罚单,瞬间即可让整个事业化为乌有。

尽管网络有国界,但是网络不法分子却实实在在地分布于全球范围内。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示,如同所有人都是电信诈骗的潜在对象一样,所有公司都是专门针对性攻击的潜在对象,这就是说,您所在的公司随时都有被远在地球另一端的黑客入侵的可能性。换句话说,即使是一个拥有中等资源的黑客,甚至一个脚本小孩,也可以试图甚至决心攻击您所在的公司,而且这种攻击有可能会成功。为什么呢?因为谁都有弱点,所有公司都有漏洞。您尚未遭受到电信诈骗,只是暂时没有适合您的剧本,或者您的公司还没有受到黑客袭击,只是针对贵公司漏洞的攻击手法还在研究中。

那么我们该怎么办?乖乖投降,将我们的辛勤努力换来的劳动成果拱手交给网络不法分子?除非贵司真的要倒闭了,否则,我们不能小气到一点钱都不花,多少需要投入一定的网络安全费用,以打击网络不法分子的气焰。然而,要实现网络安全,并不是花足够的钱就能阻止的,我并不是说有些行业骗子会拿一个垃圾东西包装成高大上的防御系统实施行骗,我的意思是在网络安全领域,没有完美的防守,也就是人们常说的,没有100%的安全。

那么,我们该怎么在网络世界的丛林法则中生存呢?让自己更加强大,让自己比同业在网络安全方面强大,让自己更难成为攻击者的目标,或者成为攻击者最困难的目标。您可能会问,那不是让我们成为黑客级别的公司吗?不必要,世界级的网络公司及安全公司已经帮我们做了很多事情,我们需要做的就是利用好这些世界级的优势,来让自己成为黑客难以拿下的目标。

网络安全的传统防御包括防火墙、防病毒软件之类的东西,以及复杂密码策略等等。正确实施这些措施,可以让外部黑客的日子变得艰难,然而他们会变换手法,让您点击一个网络链接,或者开启某个电子邮件附件,当然那个链接指向的是窃取信息的钓鱼网站,或者与邮件附件一样,包含可以控制计算设备的恶意代码。

当然,在正常的情况下,我们的用户会受到安全意识教育,不应该去点击那些可疑链接或者打开那些附件。不过,事情可能不会那么快就结束,黑客可能会冒充某机构给公司员工免费邮寄U盘,有的员工可能出于好奇,就将其插入到电脑中,这样,就给黑客打开了一道后门,让黑客通过U盘感染电脑,潜伏下来并以该电脑为跳板,逐渐向更高级别的信息系统进行渗透。通常来讲,黑客的潜伏期会长达半年至数年,他们并不容易被异常检测系统发现出来,因为他们窃取了某些员工们的数字身份,也就是说他们有员工们的账户和密码。

在工作时间进行异常检测真的很难。不要轻信那些被冠以大数据分析、行为建模、机器学习、人工智能之类的高科技产品,并不是说那些防御措施不起作用,而是要让它们起作用,使用者需要很强的能力。那我们能做的是什么?强化员工们的安全意识,将员工们武装起来,形成一道人员防火墙,部署实施如零信任等认证框架,切断黑客利用脆弱员工做跳板的入侵渠道。

我们可以做的第二件事,对于领导们来讲,非常重要。那就是打造企业信息安全文化,在平衡收入和支出时,我们必须承认网络安全的重要性,网络安全、数据安全的终极责任已经上升到高管层面,那么,首席执行官、首席财务官、首席运营官等等,是否在常规例会上与首席信息官、首席安全官讨论网络安全这个话题?如果答案是否定的,那么无疑,这是一个网络安全文化方面巨大的工作失误,需要补起来。

其次,关于企业安全文化,还需要看一看,首席执行官、首席财务官是否是信息安全方面的模范用户?黑客知道,高管们往往掌握着更多的内部敏感信息,也有更高的系统访问特权,因此,也是更有价值的攻击目标。而高管们往往并不是IT方面的高手,又接触的人多,一不小心很容易落入网络钓鱼的圈套。因此,这些高管们,也可以说是非常重要的人物们,必须掌握合乎其职位和角色的安全意识,这可能与普通员工们的不同,但是却是必不可少的。另一方面,高管们在信息安全方面的模范示范作用非常重要,高管们的以身作则,会引起员工们重视和效仿,高管们对信息安全的承诺,会变成政策和制度,会变成员工们的行为操守和日常习惯,进而演变成企业安全文化。

最后,再让我们回到数据安全合规这个核心主题,使用等级保护、分级保护思想,找到关键数据,分析其面临的威胁,如果被窃取、破坏或泄露给公众,会对公司产生战略影响吗?当然,也可能是客户信息数据库,即包含公民的个人身份信息,这就可能同时属于《网络安全法》、《数据安全法》和《个人信息保护法》的管辖范畴。弄清楚哪些流程、哪些人员可以访问哪些种类的数据,设置严格的数据访问控制策略,强化审计监管,可以大大降低数据泄露的风险。

数据安全保护政策必须得到全体员工甚至所有用户的理解和支持。这意味着公司必须做好准备,加强员工数据安全方面的培训,因为员工们是数据的处理者,包括创建者、收集者、使用者、展示者、分享者,任何一个环节的不当操作,都可能造成数据泄露、触犯相关法规。此外,还要考虑数据万一泄露的这种可能性。这不仅仅是技术问题,是紧急事件报告与响应流程,是管理问题。我们需要让所有员工都明白这一点,如何迅速报告可疑情况或泄露事件,如何快速恢复数据?如何进行取证?如何弄清楚根本原因,以免再次发生?

对于高级领导团队来说,最重要的还是沟通。当网络攻击发生,当万一成为真实之时,为公司能够生存下来,对客户说什么?对员工说什么?对监管者说什么?对执法该怎么做?对媒体说什么?需要准备好剧本和模板,需要事先做好演练。总之,未雨绸缪,为企业生存的最坏情况做好准备,保持成长和继续前进的重要部分。

最后,我们要说,不管您在一家非常小的公司,还是在一家跨国大公司工作,您的工作流程都离不开互联网,您的关键数据都运行在重要的信息系统之上,这些数据面临着各种各样的安全威胁,包括来自内部人员的威胁,当然这其中大部分是无意的大意或失误,少部分是恶意的盗窃。您需要弄清楚这一点,就是要加强数据安全方面的管控,因为能够在这方面投入资源的大公司正在让自己成为一个黑客更难拿下的目标。您所在的公司可能规模较小,也可能规模大但是此前未引起重视,因此,贵司可能很快成为黑客攻击的坚定目标。不要说,现在是困难时期,这是借口,当下黑客也很困难,正拼命寻找目标下手呢!现在是时候通过强化员工们的安全意识,让贵司变得强大起来,让黑客望而生畏、知难而退了。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。在困难时期,我们愿与朋友们一道,在网络安全方面,做出最精明的战略选择,以最少的开支,获得最大的收益。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com