信息化觀察網(wǎng)

近年來，隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，數(shù)據(jù)泄露和黑客攻擊事件頻繁發(fā)生，網(wǎng)絡(luò)空間的個(gè)人信息安全受到前所未有的嚴(yán)峻挑戰(zhàn)，因此加強(qiáng)網(wǎng)絡(luò)個(gè)人信息保護(hù)已成為社會(huì)發(fā)展的共識。

英國政府的計(jì)算機(jī)安全機(jī)構(gòu)國家網(wǎng)絡(luò)安全中心(NCSC)日前列出了五個(gè)有關(guān)計(jì)算機(jī)安全的問題清單，旨在啟動(dòng)組織高管與計(jì)算機(jī)安全團(tuán)隊(duì)之間的“建設(shè)性”討論。

NCSC表示，組織中三分之二的董事會(huì)成員沒有接受任何培訓(xùn)以應(yīng)對網(wǎng)絡(luò)事件，10%的董事會(huì)成員沒有制定應(yīng)對措施的計(jì)劃。這些對話的啟動(dòng)者旨在彌合不了解安全問題的高管與難以發(fā)表意見的IT部門之間的差距。董事會(huì)成員需要以理解財(cái)務(wù)風(fēng)險(xiǎn)或健康與安全風(fēng)險(xiǎn)的方式理解網(wǎng)絡(luò)風(fēng)險(xiǎn)。

NCSC首席執(zhí)行官Ciaran Martin說：“在網(wǎng)絡(luò)安全方面沒有愚蠢的問題。而在沒有了解問題的情況下放棄或逃避是一種愚蠢的行為，因?yàn)檫@意味著不知道如何處理這一核心業(yè)務(wù)風(fēng)險(xiǎn)。”

NCSC對董事會(huì)成員應(yīng)該從計(jì)算機(jī)安全團(tuán)隊(duì)期望的回復(fù)提出了一些建議，并列出了以下五個(gè)問題：

(1)如何保護(hù)我們的組織免受網(wǎng)絡(luò)釣魚攻擊?

網(wǎng)絡(luò)釣魚向組織的員工發(fā)送虛假消息，這仍然是黑客試圖訪問組織的計(jì)算機(jī)系統(tǒng)最常見方式之一。網(wǎng)絡(luò)攻擊者可能希望員工點(diǎn)擊電子郵件中的鏈接，在他們的計(jì)算機(jī)上安裝惡意軟件，或者點(diǎn)擊鏈接將他們引導(dǎo)到提供敏感信息的虛假網(wǎng)站(例如銀行帳號等詳細(xì)信息)。一個(gè)常見的騙局是‘CEO-Fraud'，犯罪分子發(fā)送網(wǎng)絡(luò)釣魚電子郵件，聲稱是組織內(nèi)部高級管理人員，要求員工轉(zhuǎn)移資金，然后欺詐者將其據(jù)為已有。

雖然此類消息可以通過短信、社交媒體或電話等手段進(jìn)行傳播，但最可能的攻擊途徑是通過電子郵件。

NCSC表示，更好的答案包括過濾或阻止接收網(wǎng)絡(luò)釣魚電子郵件，確保外部電子郵件被標(biāo)記，阻止攻擊者發(fā)送欺騙性電子郵件，并讓員工接受相關(guān)安全培訓(xùn)。

組織還可以通過使用代理服務(wù)器來限制網(wǎng)絡(luò)釣魚的攻擊，該代理服務(wù)器可以阻止訪問已知的不良網(wǎng)站，確保員工不會(huì)瀏覽網(wǎng)頁或?yàn)g覽具有管理員權(quán)限的帳戶的電子郵件，并在重要帳戶或服務(wù)方面使用雙因素身份驗(yàn)證(2FA)措施。

(2)我們的組織如何控制特權(quán)IT帳戶的使用?

NCSC警告說，組織應(yīng)該嚴(yán)格控制和管理授予提升的系統(tǒng)權(quán)限。如果需要具有更高權(quán)限的帳戶開展業(yè)務(wù)，則員工應(yīng)使用標(biāo)準(zhǔn)用戶帳戶進(jìn)行日常工作，例如電子郵件和Web瀏覽。NCSC表示，在設(shè)置員工賬戶時(shí)使用“最低權(quán)限”的政策是一個(gè)很好的答案，可以最大限度地減少特權(quán)賬戶的使用，并保持人力資源流程與IT之間的緊密聯(lián)系，以便員工離開時(shí)賬戶不會(huì)保持活躍狀態(tài)。

(3)我們?nèi)绾未_保軟件和硬件的更新與升級?

修補(bǔ)軟件和硬件升級是一個(gè)耗時(shí)且繁瑣的過程，但跳過補(bǔ)丁程序可能會(huì)給組織帶來災(zāi)難性后果。如果組織的軟件補(bǔ)丁時(shí)常更新為最新版本，那么大部分WannaCry勒索軟件攻擊都可以避免。

NCSC表示，對這個(gè)問題的良好答案包括制定流程以識別、分類和修復(fù)任何漏洞，并通過定期審計(jì)來確保遵循補(bǔ)丁政策，就像組織對關(guān)鍵財(cái)務(wù)政策的要求一樣。組織應(yīng)該對不再受支持的設(shè)備和軟件制定壽命終止計(jì)劃，并確保其網(wǎng)絡(luò)架構(gòu)最大限度地減少攻擊可能造成的危害，例如“零日”攻擊利用漏洞能夠避開防御措施。NCSC還建議組織使用基于云計(jì)算的應(yīng)用程序，云計(jì)算供應(yīng)商通常能夠?qū)嵤┌踩拢?ldquo;允許云計(jì)算提供商提供計(jì)算服務(wù)，可以讓組織將稀缺的安全資源集中在保護(hù)其定制應(yīng)用程序和用戶設(shè)備上，而這些只有組織自己才能做到。”NCSC指出。

(4)如何確保合作伙伴和供應(yīng)商保護(hù)我們與他們共享的信息?

與供應(yīng)商或客戶的任何連接都可能為組織的系統(tǒng)提供攻擊路徑，而且這是一個(gè)經(jīng)常被忽視的薄弱點(diǎn)。NCSC表示，組織將應(yīng)該安全納入所有協(xié)議，所有控制措施都需要檢查和審核。組織還應(yīng)確保盡量減少所暴露的服務(wù)數(shù)量和交換的信息量。

(5)使用哪些身份驗(yàn)證方法來控制對系統(tǒng)和數(shù)據(jù)的訪問?

采用密碼是一種良好的訪問控制措施，但不是唯一的，它們需要由其他控件進(jìn)行補(bǔ)充以保護(hù)組織的業(yè)務(wù)安全。NCSC表示，組織應(yīng)該鼓勵(lì)使用合理的密碼，并確保更改所有默認(rèn)密碼。為了避免對用戶提出不切實(shí)際的要求，組織應(yīng)該只在真正需要的地方強(qiáng)制執(zhí)行密碼訪問，NCSC表示，只有在有懷疑存在泄露或攻擊的風(fēng)險(xiǎn)時(shí)才會(huì)強(qiáng)制執(zhí)行常規(guī)的密碼更改。

“組織還應(yīng)該提供安全的存儲(chǔ)空間，這樣工作人員就可以記下密碼，并保證密碼安全(但不能保證設(shè)備安全)。工作人員有時(shí)會(huì)忘記密碼，因此需要確保他們可以輕松重置自己的密碼。”NCSA建議。組織還應(yīng)考慮在可能的情況下實(shí)施雙因素身份驗(yàn)證(2FA)。“設(shè)置2FA保護(hù)重要帳戶是最有效的措施，并且應(yīng)盡可能推廣到員工和客戶帳戶中。”NCSA指出。

（原標(biāo)題：網(wǎng)絡(luò)安全很重要，五大問題須知道?。?/p>