网络安全意识:有内鬼,停止交易

发布时间:2020-01-06浏览次数:6

来源:https://zhuanlan.zhihu.com/p/100657336


随着经济的快速发展,各类写字楼的数量也在迅猛增长,增长的背后是各种大小型企业的办公需求,新型行业的兴起,越来越多的公司规模扩大以及满腔热血的创业者。各类公司的发展壮大,伴随的安全问题也随之增多。

企业面临的安全问题来自四面八方,但主要还是来自外部和内部两方面。外部问题主要来源于web对网站,app,小程序等的黑客攻击,内部主要是办公室安全,是工作人员的安全意识,以及公司的相关制度管理问题。目前很多大企业的安全问题,除了对外部网站或者APP的黑客攻击之外,还有内部的信息泄露或者其他有害行为,对企业造成无法弥补的损害。

一、办公室WiFi安全

无线网络现在已经是绝大多数公司办公的重要设施,它的普及让公司办公更加方便和快捷,但是近些年的WiFi安全事件也逐渐增多。好多WiFi的不安全设置及随意给他人连接,会导致WiFi出现各种安全问题。

今年五月份去一家公司代取文件,去早了就在大厅等人,闲余时询问了一下该公司WiFi密码,旁边的兄弟很大方的告诉了我。连上WiFi后便顺手扫了一下该网段相关资产信息。共23个IP,开放77个端口,这里显示漏洞数7个,但实际上在我看来远不止这些。

粗略分析后发现该网段有三台服务器,其他基本都是电脑连接,随手登录了一个服务器IP的8000端口,就是后台admin/admin口令直接进入,存在大量敏感信息,并且后台可能存在其他诸如文件上传和注入漏洞。

由于没有授权,故只分析到这里,临走时也给该公司反映了一下。这里也总结以下几点建议,让公司WiFi更安全。

1.公司WiFi应做好办公和访客分离,不应把办公WiFi密码随意告知来访人员。

2.对连接办公WiFi的设备做好记录管理,绑定对应设备的MAC地址。

3.禁止员工自行启用WiFi热点。

4.对办公网络设置SSID。

二、办公室外来人

对办公室外来人的身份确认不容忽视,好多大公司,对于他们的产品WEB网站及一些APP等其他业务,安全防御都基本到位。出问题时往往是企业内部的信息泄露,直接危害公司利益。

世界头号黑客米特尼克在他的自传《线上幽灵》中描述过这样一个情节:他曾以向一名公司雇员投递信件为由,看到了该公司职员的胸卡,“照片在胸卡左上角,照片下面是他们的名字,姓氏在前,字体加粗。公司的名字在胸卡底部,采用红色加粗字体”。之后在网站下载了该公司的logo图片,花了20分钟时间,ps了一张看起来一模一样的胸卡。

之后在该公司停车场中,偷偷观察着一群群出来解馋的烟鬼们,所制造的弥漫烟雾,大约五六个人的一群烟鬼开始动身返回大楼时,凯文也选定了这个时机。当队伍逐一穿门而入时,最后进去的人发现后面还有人,瞄了一眼他的胸卡,就给他留了门。成功进入了目标组织大楼后,凯文盗取一名工程师的电脑账号,可以控制工程师电脑上的任何操作,随后又拿到了域控服务器以及多台SQL Server服务器,里面存储着加密信用卡号码的密钥,数以百万计的信用卡信息均可使用。

类似的案例还有很多,对于公司来讲,一次严重的信息泄露,就有可能对公司造成巨大的不利影响和直接经济损失。所以对于公司的外来人员,应该进行询问或者前台登记;进入公司时,注意随手关门。

这里提几点小建议:

1.进入大门注意是否有尾随人员。

2.进入公司应随手关门。

3.公司外来人员应在前台登记,并说明来由。

4.离开电脑时应及时锁屏。

5.电脑口令密码避免写在纸上。

三、办公VPN连接安全

随着移动互联网的发展,企业不断寻求安全的保护内部网络信息方式,VPN连接为企业的安全做了极大保护。可是正如《荀子·哀公》中说“水能载舟,亦能覆舟”一样,每个事物都有它的利弊性,关于VPN泄露及弱口令的安全事件层出不穷。

2016年,某省VPN密码泄露导致内网漫游事件,由于员工通道泄露,攻击者从该网址找到VPN及测试账号,测试登录成功,成功进入内网,查看了大量敏感信息。

类似事件常有出现,之前也有某公司爆出VPN弱密码可进入内网事件,admin/admin口令就可直接登录成功。


VPN安全建议如下:

1.尽量使用目前市面上已经完善的VPN设备,可开启两步验证,使用强密码。

2.如果使用自己搭建的VPN,建议密码设置为强密码。

3.VPN口令不能告知公司以外人员。

4.保证VPN信息的安全存储,建议不要存储在网站页面。

5.不使用不受信任的VPN。

四、办公室电子设备安全

现在的办公环境中,离不开手机电脑等一些电子设备。在这些设备提供便利的同时,也存在着危险隐患。大多数公司可能会忽视关于电子设备的安全,但一旦出现问题,可就是当头棒喝。

之前爆出的一则消息,由于公司员工的安全意识不强,随手点击了别人发给自己的恶意链接,导致自己的电脑被黑客入侵。进而又致使其入侵公司内网,导致公司大量敏感信息泄露,该员工自己也被辞退。

员工安全意识不足,电脑没有装杀毒软件和及时的安装补丁,很容易遭到勒索病毒的攻击,一个企业对于如果对安全意识制度建立不完善,导致的损失不仅仅是辞退一个员工就能解决的问题了。

对于此类事件,给大家几点使用的安全建议:

1.及时更新系统和打补丁。

2.安装杀毒软件。

3.陌生人的邮件应在确认身份后,再进行点击查看。

4.不随意打开网络上接收的不明文件。

5.不轻易点击网络上的链接。


对于企业来讲,公司的安全制度应做相应加强,对员工的安全意识也要做相应培训。建好防线,离不开良好的人员操作机制和安全意识提升计划。通过制定周密的安全意识提升项目,员工能够主动担负起责任,才能更好地保护企业资产和知识产权。

以下为企业增强员工安全意识的几点建议:

1.对员工进行安全意识的培训。

2.请安全专家对公司企业进行培训。

3.进行增强安全意识的小活动。

4.对员工安全意识进行相应的小考核。

5.督促员工安全杀毒软件和安全系统补丁。

6.对安全意识突出者做出相应奖励。

五、个人办公安全意识建议:

1.避免将口令写在纸上,存放于办公桌面,应将口令纸条放在保险箱里,或使用一些存储密码的在线工具。

2.离开电脑时谨记锁屏(windows下可使用win+L,MAC记得随手合盖)。

3.及时更新电脑系统和安装补丁。

4.电脑安装杀毒软件。

5.在公共场合交谈,差旅,应注意不泄露公司的敏感信息。

6.陌生人的邮件应在确认身份后,再进行点击查看。

7.在办公区域拍照应注意避免拍到关于公司的敏感信息。

8.打印文件应注意文件打印后及时删除。

9.会后应整理会场,擦黑板不遗留文件,敏感文件存柜。

10.进入公司应随手关门,防止公司无关人员尾随。

11.技术人员应保存好代码,保证安全的情况下可上传至在线网站。

12.公司WiFi应做好办公和访客分离,不应把办公WiFi密码随意告知来访人员。

13.办公IM应做好消息加密,必要时公司可开发自己的专用通讯软件。

14.VPN尽量不使用自己搭建的简易VPN,目前市面上已经有完善的VPN设备,可开启两步验证,保证VPN的登录安全,如果使用自己搭建的VPN,建议密码设置为强密码。

15.保证VPN信息的安全存储,建议不要存储在网站页面。