网站建设

网络安全中10个可被简单解决的安全疏漏及防范

发布时间:2019-09-07 来源:上海网站建设

 

  不论我们做多大的努力,终端用户甚至是公司的IT部门,仍然会忽视那些本来很容易被纠正的安全疏漏。本文将与大家讨论10个可以被避免的安全疏漏,并告诉大家该怎么纠正这种疏忽。

  1: 使用脆弱的密码

  曾经有段时间,有些人自作聪明的用“password”作为密码,用来愚弄那些千方百计猜测密码的黑客和其它恶意分子。毕竟很多人都不会用这么明显的词语作为密码。如今,很多人意识到了用这种密码所能实现的安全性实在是脆弱,但仍然有很多人乐意使用这种简单易猜的密码,尤其是在如今高度社交化的网络中。比如,有人会用自己的名字缩写加上生日作为密码,而这方面的信息数据很容易通过Facebook或其它渠道获取,有心的黑客只要将少量的信息组合一下就能破解这种密码了。而就算是在一些拥有强力密码策略的公司中,只要有人存在,就会有这种脆弱的密码存在。

  解决方法: 不要用明显的模式来设置密码。将各种因素混杂起来,比如用感叹号代替数字1,&标记代替数字8。密码设置的越复杂,被破解的几率就越小。如果你在为公司设置密码策略,需要要求密码中使用多个字符集。

  2: 从来不改密码

  这种情况我见得次数太多了。很多人多年来一直不曾更改密码,而且这个密码还被用于多个网站。这是一个很大的安全漏洞。在公司里,就算有密码修改的策略,但是很多员工还是能找到方案绕过这种强制策略。比如,我的企业里曾经有一个拥有域管理员权限的员工,他将自己的账户排除在了密码策略之外。发现后我严厉的批评了他,并让他将自己的账户至于密码策略规范之内(后来我觉得真的需要开除这个人,因为他滥用了自己的权利)。当然,我说的情况可能比较特殊,但是我们可以想想,有多少人在使用相同或近似的密码来访问不同的网站呢?而到了必须修改密码的时候,是不是有很多人只改掉一个字符来应付密码策略的强制要求呢?

  解决方法: 对员工或用户进行培训,让他们知道一个强壮的密码有多么重要,以及为什么要定期更换密码。作为密码策略的一部分,你也可以考虑采用第三方软件来禁止用户使用类似的密码应付密码策略的强制要求。

网络安全中10个可被简单解决的安全疏漏及防范

  3: 不安装杀毒软件

  这个疏忽是完全可以避免的。如果你的工作环境中没有安装反病毒软件,那么你真的是大错特错了。就算有Z好的防火墙,仍然要记住安全屏障的层次概念。一旦防火墙没有成功拦截恶意代码,反病毒软件将成为终端系统上Z后的屏障。

  解决方法: 马上安装杀毒软件。

  4: 不使用防火墙或设置不严谨

  不论是在家还是在公司IT环境中,都需要使用防火墙设备。虽然Windows和其它操作系统现在都自带有内置的防火墙,我仍然建议大家购置一部硬件防火墙设备,或类似的设备,硬件防火墙与软件防火墙相配合,是Z好的安全方法。另外,如果使用防火墙,就要对其进行严谨的设置。

  解决方法: 有条件就在家或在公司环境都配备上防火墙硬件设备。确保防火墙不会允许不必要的数据从外部流入内网环境。

  5: 从不给系统打补丁

  操作系统开发商和应用程序开发商定期推出补丁程序是有其原因的。虽然很多升级或更新都是为了增加新功能,但仍然有不少更新是纯粹为了弥补系统和软件的安全漏洞的。我见过很多家用PC系统中,用户都将系统自动更新选项关闭了。而在公司环境,很多时候人们觉得网络边缘有了防火墙,就不需要再为系统安装升级补丁了。这并不正确,因为很多攻击代码会通过防火墙的防护进入公司内网。

  解决方法: 为系统打补丁!打开系统和软件的自动更新功能,并立即为公司建立补丁管理策略并实施。

  6: 不安全的数据存储

  你将多少敏感数据(比如个人信息,企业业务数据等)存放在了U盘里?你是不是曾经带着这种存有敏感信息的U盘外出过?我见过很多人将U盘作为钥匙链,带在身上到处走动。有的时候,U盘就和钥匙一起放在了食堂的饭桌上忘记拿走。

  现在,还有多少人会将公司数据备份在磁带上?这些磁带是否会被搬离备份场所,这个过程是否处于你的控制之中?

  不受保护的数据是安全的一大问题。一次简单的丢失U盘、笔记本、iPad或备份磁带的事件,就会让公司面临财务、司法以及公共关系上的巨大挑战。