什么是网络安全?
不同的组织及标准给出的定义不同。
【网络安全等级保护制度基本要求】给出的定义是通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
【ISO2700系列标准】给出信息安全定义只包括了信息的三个特性,即保密性(confidentiality),可用性(availability)和完整性(integrity)也就是我们最常说的CIA三性。信息安全包括适当的考虑广泛威胁的安全措施的应用和管理,以确保业务成功和持续的目标,并最大限度的减少信息安全事件的影响。
【百度百科】给出的最为全面。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境以及基础设施)受到保护,不受偶然的或者恶意的原因而遭受破坏、更改、泄露、系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全主要包括以下5方面的内容:需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
简而言之,网络安全的通俗的说法是
让黑客面对我们的信息系统或者网络的时候做到以下几点:进不来;对于数据拿不走;即便拿走了数据,对于拿走的数据也是解不了密、看不懂;对于进来的黑客要修改数据的时候也是修改不了数据,即使黑客做了坏事,内部的系统根据审计及溯源的一些手段找到黑客。
最后是可用性的要求,在面对大量用户访问或者敌对势力打击的时候能够扛得住压力,让我们的系统能够正常运行。当然通常情况下,我们也要考虑成本以及利益的平衡,并不是一味的追求绝对安全状态,绝对安全的系统是不存在,网络安全建设是找准利益与成本的平衡点,将企业或者组织达到一个最佳状态。
我们在做网络安全建设的时候,关注点往往放在技术体系以及管理体系的完善上,而经常忽略了一个非常重要的环节或者手段——就是网络安全意识提升,这里面的安全意识不仅仅是IT人员,还会涉及企业的非IT人员,是全员的一个网络安全意识提升。
网络安全意识顾名思义就是能够了解工作以及生活中可能存在的安全问题,对身边发生的网络安全异常事件保持足够的警惕并且在安全事件发生时能够第一时间采取正确的补救措施。
通常情况下,安全意识的提升将直接影响到企业以及组织的安全防护能力。网络安全意识的提升包括多个方面,针对不同场景、不同人群都有不同的侧重。对于日常办公场景中我们最容易接触到一些安全威胁,像密码的不安全使用、恶意邮件、恶意网页等等,针对这些威胁我们只要充分做到了解威胁、识别威胁、防御危险就能极大提升我们日常上网办公的安全性。
1
密码安全
密码为什么重要?
首先,密码是抵御攻击的第一大防线,防止未授权的访问及冒名顶替,也是抵御安全攻击的最后一道防线。
通常情况下密码是最薄弱的安全环节。密码被破解后带来的后果是非常严重的,将直接导致信息泄露、行为被监控、机器被控制。
但是我们从一个调查中发现!
如果你用一条巧克力来作为交换,将有70%的人乐意告诉你他的密码,34%的人甚至不需要贿赂就可奉献自己的密码。
另外据调查有79%的人在被提问时,会无意间泄露足以用来窃取其密码的信息。姓名、宠物名、生日、球队名最常被用做密码,平均每要记住4个密码,大多数人都习惯使用相同的密码。33%的人选择将密码写下来,然后放到抽屉或夹到文件里。
通过暴力破解的方式可以轻松获得密码。
密码的复杂程度也将直接影响到破解的时间长短,随着计算机硬件性能的不断提升,计算性能已经不再是瓶颈。比如一台最普通的双核CPU的PC破解密码在纯数字情况下,6位以下密码瞬间搞定,8位以上只要300多分钟,数字加大小写字母加特殊字符也是可以在一定时间内轻松破解的,所以对于我们日常工作或者生活中,密码不要使用6位纯数字。
【暴力破解密码时间表】
那什么样的密码是相对比较安全?
密码至少有13个以上字符组成,应该包含大小写字母、数字以及特殊符号,同时密码的格式要避免出现姓名、生日以及个别单词,在键盘上不能有任何规律以及顺序。
企业或者组织应该避免使用职称、职位、单位简称、单位地址简称、门牌号等其他名字命名用户名及密码。
当然,用户名加密码只是一种初级认证,安全的认证方式应该是多种形式的组合。如:你所知道的密码+你所拥有的+你是谁?多种因素构成的认证方式是相对安全的。
2
邮件安全
据统计有87%的病毒是通过邮件进入企业内部网络当中去的。邮件是一种信息传递的重要载体。内部的泄密、外部到内部的入侵等都可以通过邮件来实现。
比如钓鱼邮件,通常情况下黑客会利用邮件向内网用户发送一个以极具诱惑力的名字命名的邮件,如工资条、表白的书信、中奖信息等,很多安全意识比较薄弱的员工会选择打开,当员工点开了邮件后会直接中招。
还有一些邮件正文携带链接,诱导收件人打开欺诈网站,这个网站表面看上去是合法的,但这个时候一旦我们输入用户名密码后,将导致账户信息直接被泄露。
在所有的泄密事件中,邮件泄密也是占到了很大的比例。
那么我们要如何做好邮件的安全使用并且防范钓鱼邮件?答案是:
尽可能不要在其他人的电脑上登陆自己的邮箱,实在迫不得已,用别人的电脑使用邮箱后一定要清除历史和缓存。
不要轻易打开陌生人发来的邮件及其附件,不管是bat、exe、vbc还是其他格式后缀的文件。
邮件接收到的文件一定是要经过病毒查杀或者扫描后才能打开。
在发送邮件时,尽量不要使用附件,能在正文中描述的直接在正文中描述。
最后,如果是重要的文件通过邮件传输,必须设置打开密码或者借助加密软件加密。
3
网络钓鱼
网络钓鱼是“Fishing” 和 “Phone”的综合体。由于黑客始祖起初是以电话作案,所以Ph来取代f创造了F,创造了Phishing。
早期的案例主要在美国发生,但随着亚洲地区的因特网服务日渐普遍,有关攻击也开始在亚洲各地出现。
网络钓鱼是黑客常用的网络攻击手段。利用电子邮件和伪造的Web站点来进行诈骗活动。受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。
网络钓鱼相应的防范措施:
不要登录可疑的网站以及填写自己的用户名和密码信息。
不要打开或滥发邮件中不明的URL链接,以免被看似合法的恶意链接所诱骗。
不要通过搜索引擎的搜索结果跳转到银行或其他金融机构的网址。
打开邮件的附件时要提高警惕,不要打开扩展名为“pif”、“exe”、“bat”、“vbs”的附件。
4
网络聊天安全
即时通讯工具(Instant Message 简称IM)真正在全球范围内拉近了人与人之间的距离,正在成为人们方便又时尚的交流和工作工具;甚至已经成为一种必不可少的生活方式,几乎每个人每天都要使用它4~6小时以上。
聊天不仅能够实现文字聊天而且能够传输音频、视频等。很多人为了方便沟通,日常工作也使用微信、QQ等即时通讯传输工作文件,这也是不符合安全要求的行为。在公网上传输与工作有关的文件很容易被第三方窃取。
即时通讯工具安全相关建议
使用专用通信工具进行通讯,不要接收陌生人发生的软件以及链接。
不要使用公共设备登录自己的微信、QQ、旺旺等通讯工具。
5
移动存储介质安全
移动介质的安全是日常工作当中非常重要的一个防范点。通常移动介质是病毒传播的常用途径。
Windows操作系统默认会自动运行移动介质上的特定脚本程序,一些病毒和木马(如熊猫烧病毒)就是利用这个机制进行传播的。
另外,移动介质还是盗取数据的便捷工具。
日常使用要注意以下几点:
禁止移动介质的自动播放功能,在防止病毒和恶意程序通过移动介质传播方面能起到很大作用。
同时,使用移动介质前,需要使用杀毒软件进行病毒扫描,并对移动介质内的重要敏感信息进行加密处理。
使用后的移动介质应及时清除里面的内容。
6
社会工程学
社会工程学(Social Engineering)是一种通过对受害者本能反应,好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法。
近年来,已经呈现迅速上升甚至滥用的趋势。它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕、最小心的人,一样会受到高明的社会工程学手段的损害。
社会工程攻击是最难实施的信息安全攻击,也是最难防范的信息安全攻击。
社会工程学攻击基本上可以分为两个层次:物理的和心理的。
与以往的入侵行为相类似,社会工程学在实施之前,要完成很多相关的前期工作。这些工作甚至要比后续的入侵行为本身更为繁重和更具技巧,或者说更为艺术。
这些工作包括社会工程学的实施者(一般称为社会工程师)必须掌握心理学、人际关系学、行为学等知识与技能,以便收集和掌握实施入侵行为所需的相关资料和信息,通常为了达到预期目的,都要将心理的攻击和行为的攻击二者结合运用。
通常的攻击手法包括垃圾搜寻、背后偷窥、网络钓鱼、伪装、冒充等。
对于社会工程学攻击的防范方法
不要轻易泄露任何信息给别人
不要违背公司的安全策略
有力提升辨别能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等
只有提高了信息安全意识,才能有效抵御社会工程学攻击。
网络安全温馨提醒!
我们在日常工作生活中,只要做到以下几点就能起到非常好的防护效果。
一、锁屏。
在离开电脑时一定要锁屏,哪怕离开一分钟也要锁屏。
二、防病毒软件的安装。
不管移动设备,还是办公PC,都要安装杀毒软件,同时定期更新病毒库。
三、重要文件加密。
Windows10以上操作系统可利用自身加密软件加密,另外一些重要文件建议使用专业加密软件进行加密。
四、定期更新补丁。
只要有安全的补丁更新或者功能性补丁更新就一定要及时更新。
五、定期备份系统及文件。
重要的文件不仅要加密,有条件的话要进行备份,但尽可能使用移动存储介质,避免使用网盘等互联网备份。
原标题:《科普 | 网络安全知多少》
阅读原文