针对非技术用户的十大安全提示

tag-icon tag-icon networking security desktop-management
针对非技术用户的十大安全提示

本周晚些时候,我将向我所在公司的员工进行一次演讲。演讲的目的是让大家重温/提醒我们有助于确保网络安全的良好做法。观众包括程序员和非技术人员,因此该演讲适合非技术用户。

我希望此演示的一部分是“提示”的顶级列表。列表需要简短(以鼓励记忆)并且具体且与用户相关。

我目前有以下五件物品:

  • 永远不要打开意想不到的附件
  • 仅从可信赖的来源下载软件,例如 download.com
  • 当通过电话或电子邮件请求密码时,不要泄露密码
  • 警惕社会工程学
  • 不要在 FTP 服务器上存储敏感数据

一些澄清:

  • 这是我们的工作网络
  • 这些需要成为最终用户的“最佳实践”提示,而不是 IT 政策
  • 我们有备份、操作系统补丁、防火墙、AV 等,全部集中管理
  • 这适用于小型企业(少于 25 人)

我有两个问题:

  1. 您建议添加任何其他物品吗?
  2. 您对现有项目有什么修改建议吗?

答案1

听起来你可能是一位 IT 部门以外的人,正在尝试教育你的同事。虽然这是一件好事,我会鼓励这样做,但你的 IT 部门应该推动安全标准和政策。

这种培训应成为一种手段,以强化和教育人们了解已实施的安全政策背后的原因。如果没有书面的安全政策文件,则应该有。

您列出的许多事情不应该在最终用户的控制范围内。例如,一般技术水平较低的最终用户不应该能够在其工作站上安装软件。我怀疑公司内部存在许多支持、配置和恶意软件问题,如果可以的话,这些问题可以通过政策轻松预防。

如果 IT 政策尚未制定和执行这些基本原则,则在尝试教育用户之前应先解决这些问题。一些以最终用户为中心的政策包括:

  • 履行工作职责所需的最小权限
  • 自动执行的软件更新会注意安全风险
  • 由政策强制执行的安全标准(例如 Web 浏览器设置)
  • 密码有效期(90 天)
  • 密码强度强制执行(字母数字、大小写混合、9 个以上字符等)
  • 无法使用最后 5 个密码
  • 便携式设备(笔记本电脑)存储加密
  • 数据分类政策
  • 按照分类政策的定义,规定处理受限数据和机密数据的政策。
  • 数据处置政策
  • 数据访问策略
  • 便携设备政策

有大量其他政策和程序适用于基础设施组中的正确开发和技术维护。(变更控制、代码审查、系统标准等等。)

在所有基础都到位后,应向员工提供书面安全政策的副本,并围绕该政策进行培训也是适当的。这将涵盖技术上和非技术上强制执行的最终用户最佳实践。其中包括:

  • 作为业务的一部分,处理限制和机密信息。
    • 不要发送或传输未加密的电子邮件,请妥善处理等等。
  • 密码处理。
    • 不要在键盘下、便利贴上、分享等等留下任何书写内容。
  • 不要共享账户或身份验证数据。(再次强调)
  • 不要让工作站处于未锁定状态或公司财产(数据)处于不安全状态(笔记本电脑)
  • 不要不加考虑地运行软件
    • 例如电子邮件附件。
  • 社会工程学的风险和情景
  • 适用于企业或行业的当前恶意软件趋势。
  • 特定于企业或行业的政策和风险。
  • 关于如何(是否)监控的一般教育
  • IT 如何在技术和管理上执行安全政策。

支付卡行业数据安全标准列举了许多有关安全策略的最佳实践。此外,本书系统与网络管理实践涵盖有关 IT 安全的基本最佳实践。

答案2

我最重要的建议(我正在慢慢地向人们传授)是你的第一个建议的变体:

知道如何检查电子邮件的真实来源,并检查任何稍微奇怪的消息。

对于 Outlook,这意味着知道如何显示 Internet 标头以及“Received-From”行的含义。

对于非技术人员来说,下载和安装软件并不是一件容易的事(我想说不应该作为一种选择,他们不应该拥有安装软件的管理员权限。即使对于我们授予管理员权限的程序员,我们也强烈敦促他们在下载和安装之前先咨询 IT 部门。

对于密码,我总是重复 Bruce Schneier 的建议:密码应该足够强大才能发挥一些作用,为了解决记住密码的困难,您可以将它们写在一张纸上并将其放在钱包中 - 将您的密码卡视为信用卡,并知道如果丢失钱包如何取消(更改)它们。

根据您拥有的笔记本电脑数量以及备份方式,我将提供一条关于如何保护笔记本电脑数据的小贴士。如果您没有系统来将笔记本电脑上的数据备份/复制到您的网络,您应该这样做,如果您有系统,您应该确保笔记本电脑用户知道它是如何工作的。一台装满数据的笔记本电脑丢失或被盗至少是一件令人头疼的事。

答案3

定义什么是弱密码和强密码,并为学生提供一些设置和记住强密码的好方法。

您的第二点似乎表明允许用户在自己的计算机上安装软件。我想说在大多数情况下这都是一个问题。但如果他们被允许安装软件,那么这是一个值得讨论的问题。

确保你有社会工程学的例子。这可以帮助他们知道要寻找什么,并让他们有点害怕,变得更加偏执。我喜欢让人们想想如果他们在办公室外面的人行道上发现一个 USB 拇指驱动器,他们会怎么做。大多数诚实的人会捡起它并插入他们的计算机,看看驱动器上是否有东西可以识别谁是主人。大多数不诚实的人会做同样的事情……但可能只是为了看看它上面是否有任何好东西,然后再将其删除以使用它。无论是通过自动运行、恶意 PDF 等,这都是一种非常容易的方法,可以在您选择的公司内拥有一台计算机,安装击键记录器等。

答案4

您有一个好的开始,但正如其他人提到的那样,如果用户可以安装软件,那么您的开端就处于不利地位。我不建议使用 download.com;相反,用户应该向 IT 部门寻求解决其问题的程序,而不是自己尝试寻找(除非大多数人都是开发人员或相当精明)。删除管理员权限可以解决此问题。

补充:

  1. 对大多数网站使用不同的密码,并使用某种密码保险箱来跟踪它们(KeePass、PWSafe 等)。演示如何MediaDefender 的电子邮件遭到黑客攻击并询问用户采取什么措施可以防止入侵。切勿在其他地方使用您的工作域密码,也不要通过不受信任的系统转发公司邮件/流量。
  2. 选择相当复杂的密码。使用 John the Ripper 对示例密码哈希进行实时破解(确保首先以书面形式获得公司使用破解工具的许可,以防人们反应过度)。向用户展示“PRISCILLA1”在不到 2 秒的时间内被破解,这让人大开眼界。我们在这里使用 Anixis 的密码策略实施器来确保糟糕的密码不会进入。
  3. 不要插入任何不是 IT 部门提供的东西。插入键盘记录器 USB 棒或自动运行木马的 USB 棒(应禁用自动运行,但那是另一回事)就是很好的例子。
  4. 假设所有网络上的所有流量都在两端被跟踪和记录,即使加密以防止 MitM 攻击。 维基扫描器是使用 IP 地址来查找谁做了“匿名”编辑的一个很好的例子。

相关内容