网络安全意识|职场安全那些事

原标题：网络安全意识|职场安全那些事

来源:中国医科大学

职 场 安 全 那 些 事

一、弱口令防范

什么是弱口令？

    只要是很容易被人猜测或者是破解工具很轻易就破解的口令（密码），都是弱口令。

典型的弱口令有哪些？

    123456、1qaz@WSX、admin和root123等等。

“弱口令”如何做好安全防范？

    1. 尽量将办公使用密码和私人密码分别设置。

    2.建议密码长度不少于8位，且密码中至少包含字母、数字和符号。

    3.可以采取记忆诀窍，用一句自己能够记忆的句子，使用每个词的首字母加上标点符号来创建密码。

    4.避免使用姓名、手机号和生日等信息做密码，远离社工危害。

二、邮件安全防范

    网络江湖鱼龙混杂，电子邮件是最容易受到网络攻击的目标之一。

    来看看邮件攻击最常见的方式有哪些：

    （1）钓鱼邮件攻击：攻击者通常冒充企业系统管理员发送邮件，以邮箱升级、邮箱停用等理由诱骗企业用户登录钓鱼网站，进而骗取企业员工的账号、密码、姓名和职务等信息。

    （2）广告链接攻击：这类邮件中都含有让人心动的虚假广告链接，一旦点击，其中的病毒软件就会植入公司内:部局域网，窃取机密内容。

    （3）恶意代码攻击：邮箱爆满的时候，别着急点开，先确认发件人身份，避免:受到恶意代码攻击。

    （4）黑客入侵攻击：在此类攻击中，黑客会直接黑掉员工电子邮件账户，冒充该账户向处在关键位置的员工发出指令，指示其共享敏感数据、往指定账户转账汇款等等。

邮件攻击如何做好安全防范？

    1. 安装杀毒软件和防火墙，及时更新病毒库，定时查杀病毒。

    2. 对于邮件中要求提供任何关于自己隐私的邮件，要谨慎对待。

    3. 对于含有虚假广告的链接，请直接删除邮件，不要回复，也不要转发给他人。

    4. 点开邮件前务必确认发件人，不要开启可疑附件，防止恶意攻击类邮件。

三、网站安全防范

    公司网站为何突然变乱码？幕后黑手可能是网络黑客。

    针对网站的攻击远不止这些，有时网站还会成为传播木马的傀儡。常见网站攻击手段有：

    （1）Web系统数据被篡改：黑客一般通过Web程序的漏洞获得其系统权限，进行网页挂马、网页篡改和修改数据等行为。黑客可以通过网页挂马，利用被攻击的Web系统作为后续攻击的工具，也可以通过网页篡改，丑化Web系统所有者的声誉甚至造成更大的影响，还可以通过修改Web系统敏感数据，直接达到获取利益的目的。

    （2）窃取用户信息：这种攻击方式依然利用应用程序的漏洞，构造特殊网页或链接引诱Web系统管理员、普通用户点击，以达到窃取用户数据的目的。

网站攻击如何做好安全防范？

    1.加强对Web开发人员培训，定期开设相关课程，培养安全意识。

    2.定期进行代码审查，加强代码安全性。

    3.Web网站上线之前要做全面的安全检查，尽量避免上线之前存在Web漏洞。

    4.部署相关Web网站安全监控与防护产品对Web网站进行安全保障。

四、办公环境泄密防范

    办公室就像是信息的杂货铺，一片不起眼的便利贴，一张写废的A4文件纸，一通普通的办公电话，都有可能成为信息泄密的源头。

    办公室信息泄露的可能性无处不在，以下途径都可能成为信息泄露的罪魁祸首：

    （1）泄密渠道之涉密载体：我们把文字、数据、符号、图形、图像和声音等记载秘密信息的介质称为涉密载体。这些涉密载体在制作、收发、传递、使用、复制、保存和销毁等环节必须要注意严格的保密，否则，他们将为黑客盗取数据提供最直接的便利。

    （2）泄密渠道之办公电话：虽然手机已经实现了随时随地的互联互通，但办公电话仍然是许多企业内部重要的通联方式。很多公司现在还保留着定期电话会议的习惯，参会人员会在固定的时间通过办公电话输入密码参会。但如果密码长期不变更，离职或转岗人员不被及时移除出会议名单，就很容易造成电话会议的内容被泄露。

办公环境泄密如何做好安全防范？

    1.不要让他人尾随进入办公区域，在办公区域内全程陪伴访客。

    2.离开位置前锁住电脑屏幕，不将敏感文件随意放置，会议之后注意敏感内容保护。

    3.及时取走打印出来的文档，丢弃文档前先彻底粉碎，保持桌面和办公区域清洁。

    4. 传输和存储敏感数据时注意加密。

五、办公电脑安全防范

    办公电脑属于企业内网终端，对于这类终端的管理，最古老的手段是在交换机做IP/MAC地址绑定，没有绑定的终端就无法接入网络。翻译成大白话就是：我的地盘我做主，让你进才能进！

办公电脑（终端）如何做好安全防范？

    1.对全网PC、服务器和笔记本等终端设备，实行准入控制管理，接入终端必须通过管理人员授权才能接入网络。

    2.采取实名制的入网管理，接入终端前进行身份认证，合规后再进入。

    3.公司要明确终端入网的安全规范，通过技术手段，强制终端必须按照规范要求进行合规检查。

    4.对终端安全状态实施掌控，使管理人员时刻了解终端设备的动态。

六、信息裸传安全防范

    信息裸传，是指在传输涉及公司内部信息、文字和数据等内容时，没有经过加密处理的行为。这种行为会使信息更容易被窃取或篡改，从而造成泄密。

    网络就是战场，“蹲点”、“挖坑”、“注入病毒”和“窃取信息”的敌人无处不在。想象一下，我们费尽心机收集的重要数据，只是在传输过程中“裸”得彻底了些，就轻而易举地被攻击者窃取或篡改，是不是感觉心在滴血？

信息裸传如何做好安全防范？

    1.重要信息加密刻盘，传输尽量采取“手传”模式。

    2.个别信息要加密改名，通过安全邮件等方式传递，尽量避免公开通道传递。

    3.WEB类应用优先使用HTTPS协议改造。

    4.总部与分公司有长期重要业务互访或移动办公需求的，部署物理专线或VPN产品，终端安装VPN客户端。

七、身份安全防范

    日防夜防，家贼难防。“家贼（有问题的内部人员）”的范围并非只是员工，也包括了第三方外包、访客和离职转岗等任何一个对内部系统有访问权限的人。从技术角度看，只要有凭证去访问企业信息系统的人，都可被视为内部人员。由于企业内部人员身份信息模糊，信息系统凭证混乱，极易造成敏感信息泄露等安全隐患。

“家贼”套路大揭秘：

    （1）以“赚钱”为目的：家贼为获取高昂经济利益，贩卖企业内部敏感信息。由于个人敏感信息套现容易，内部人员获取难度低，往往成为企业信息安全事故的高发地。

    （2）以获取“权力”为目的：“家贼”往往通过各种手段套用他人身份信息，泄露其中敏感的内容，从而达到把竞争对手甚至是顶头上司拉下水等目的。

    （3）以“泄愤”为目的：“从删库到跑路”相信大家都听说过这个段子，受到委屈心怀怨恨的工程师们，为了报复，往往在离职后，通过幽灵账号，甚至是原来自己的正常账号登录企业信息系统，进行大肆破坏。

企业内部人员如何做好安全管理？

    1.企业应建立以身份为中心，面向业务、面向运维和面向数据的安全体系。

    2.建立统一的员工管理体系，对集团内账号集中管理、控制访问。

    3.规范员工账号的强身份认证和访问，使每个员工形成自己的强身份认证手段。

    4.针对工作中的敏感数据要进行实时脱敏和数字水印，保证数据的安全性。

信息来源：网络中心

编辑：党委宣传部