當前,隨著社會生活各領域信息化水平的不斷提高,網絡安全已經成為了各政企單位都非常重視的管理問題之一。但是,盡管人們越來越關注自身的網絡安全,仍然有幾種常見的網絡安全領域的迷思普遍存在于很多人的意識中。
如果單位的網絡安全管理人員或各級員工迷信以下任何一點,都可能為單位的信息系統帶來遭受網絡攻擊的風險。包括:
step 1
對于單位的網絡安全管理而言,設置強密碼是一種良好的習慣。但是,強密碼策略只能是網絡安全工作的起點。要保障單位網絡安全,不僅需要要求員工做強密碼設置,還需要了解員工的數據訪問權限。近期的一項研究發現,41%的企業都向其所有員工開放了1,000個以上敏感文件的訪問權限;同時,許多企業也沒有采取技術手段對管理員訪問進行監控。總之,雖然強密碼有助于保證企業網絡安全,但是,一旦員工進入系統,風險就會大大增加。
step 2
近年來,不少與網絡安全相關的新聞對一些備受矚目的黑客行為進行了報道,一些中小型企業因此會誤以為自身不會成為網絡攻擊的目標。實際上,事實恰恰相反。2018年Verizon數據泄漏調查報告表明,58%的數據泄漏的受害者都是小型企業。
這種情況的出現有幾個原因:許多小企業受到攻擊并不是攻擊者有意為之,他們只是“噴霧攻擊”的受害者——黑客采用自動系統隨機地選擇企業實施滲透。由于此類攻擊的隨機性,任何業務都有可能遭受攻擊,無論其是大是小。
在攻擊行為中,小企業往往會是那個“軟柿子”,因為他們缺乏網絡安全資金的投入、沒有熟練的安全團隊,因此更容易受到攻擊威脅。另外,有針對性攻擊也往往選擇小企業為對象,這也是因為它們缺乏安全保護措施。
step 3
有些企業認為自己規模小,不會受到攻擊,還有一些企業則以為自己所在的行業不會受到攻擊,因為他們認為自己的企業沒有任何“值得”偷的信息。實際情況是,任何敏感數據,不管是信用卡號碼、地址還是其他個人信息,都可能使企業網絡成為攻擊目標。
更重要的是,即使目標數據在暗網上沒有轉售價值,勒索軟件也可能使數據無法使用,導致企業業務系統運行停滯,這可能使攻擊行為對網絡罪犯而言變得有利可圖。
step 4
防病毒軟件無疑是保障企業網絡安全的重要技術手段,但它不能保證系統免受任何侵害。殺毒軟件只是綜合網絡安全體系的一部分,要實現真正的網絡安全保護,需要一套完整的安全體系建設解決方案,內容將涵蓋從員工培訓到內部威脅檢測、應急響應等方面的所有內容。
step 5
雖然來自外部威脅是一個關鍵問題,但內部威脅同樣危險,足以引起同樣的重視。事實上,研究表明,在多個數據泄露案例中,內部威脅占比高達75%以上。內部威脅可能來自企業內部的任何人,從心懷不滿的員工到沒有受到網絡安全培訓的員工。因此,建立一套阻止和監控內部威脅的體系非常重要。
step 6
雖然信息化部門在實施與保障企業網絡安全方面負有重大責任,但是,真正的網絡安全工作與企業每位員工密切相關,而不僅僅是信息化部門。
例如,統計數據表明,49%的惡意軟件是通過電子郵件安裝的。如果企業員工沒有接受過網絡安全方面的培訓,不知道如何發現網絡釣魚詐騙、規避郵件中的不安全鏈接,則他們的電腦就有可能成為企業受到外部攻擊的入口。
step 7
如果企業的員工經常使用Wi-Fi環境開展工作,他們有可能錯誤地認為,只要設置了Wi-Fi密碼,就能夠保證Wi-Fi網絡的安全性。實際上,Wi-Fi密碼的功能只是限制每個網絡的用戶數量,使用相同密碼的其他用戶能夠輕易地查看網內正在傳輸的敏感數據。因此,員工應該采用VPN技術接入網絡以保證Wi-Fi環境下的數據安全。
step 8
如果是十年前,在電腦遭受攻擊或感染病毒時,用戶可能會立刻發現——標志性特征包括出現彈出式廣告、瀏覽器加載速度慢,或極端情況下可能出現的系統崩潰。
但是,今天的惡意軟件行為更為隱蔽、更難以察覺。很多情況下,計算機在感染病毒后,很可能會繼續平穩運行。
step 9
企業員工往往會認為其手機等個人計算設備不需要受企業網絡安全規范的約束。然而,自帶設備(BYOD)往往可能使企業面臨未知的安全風險,因此,使用自帶智能設備開展工作的員工也需要遵循企業的各項網絡安全要求。
另外,這些要求的適用場景不應僅限于手機和筆記本電腦,還應該覆蓋所有互聯網訪問設備,包括可穿戴設備、物聯網設備等。
step 10
網絡安全應該是一項持續不斷的工作,新型病毒、新的攻擊手段等將不斷使企業業務系統與數據面臨新的網絡安全風險。要真正保持自身企業的網絡安全,用戶必須對其業務系統保持持續的安全監控,并周期性地對應急計劃進行評估與驗證。
總而言之,保證企業網絡安全是一項需要持續不斷付出努力的工作,需要每一位企業員工的認真參與。
