附:网络信息安全十六不准解读
十六不准要求 | 解读 | |
账号口令类 | 1. 不准设置弱口令,且不能在互联网上的外部网站或应用(如论坛、微博、即时通信软件等)使用与公司设备、系统上相同的账号或口令。 apez天赋 | 应用系统、个人终端电脑、服务器、网络设备、安全设备、邮箱等密码设置需满足密码复杂度要求并定期更换:密码长度不低于8位,且包含大写字母、小写字母、数字、符号至少三种组合,不能应用与本人相关的姓名、生日、电话、门牌号等信息作为密码,不能选取常见的英文单词、汉语拼音作为密码,至少每3个月更换1次密码。同时,对于互联网上的外部网站或应用(如论坛、微博、即时通信软件等),不能使用与公司设备、系统上相同的账号或口令。 | 泊船瓜洲 王安石
2. 不准将账号与口令明文保存于个人终端电脑、服务器上,不能在个人终端电脑、办公桌上粘贴含有账号与口令的便签,且本人使用的账号与口令不能告知他人。 | ① 攻击者在通过渗透远程控制个人终端电脑或服务器后,会在受控终端上收集敏感信息,若是账号与口令明文保存在终端上,会被攻击者恶意获得,登录相关的系统或数据库,从而窃取更多的信息。 ② 若攻击者通过伪装身份成功进入办公区,其会进行敏感信息收集,个人终端电脑、办公桌上贴有账号与口令的话,会被攻击者收集利用。 ③ 本人使用的账号与口令不能告知他人,也不能与他人共用同一账号。 | |
邮件安全类 | 3. 不准使用非工作邮箱代收、发工作邮件,且不能使用工作邮箱注册公共网站的服务并使用工作邮箱发送私人邮件。 | ① 使用非工作邮箱代收、发工作邮件,在攻击者暴力破解非工作邮箱后,容易泄露公司敏感信息。 ② 若使用工作邮箱注册公共网站的服务并使用工作邮箱发送私人邮件,会使得工作邮箱域名泄露(工作邮箱组成:用户名@域名),攻击者会根据邮箱用户名设置格式(如名字拼音,名字拼音简写等),形成邮箱字典,从而向工作邮箱发送钓鱼邮件,达到攻击目的。 |
4. 不准点击来路不明邮件中的链接或打开附件,且不要点击来路不明的短信链接、不要扫描无法确定其安全性的二维码。 | ① 攻击者会仿冒成熟人、领导、同事发送钓鱼邮件,利用钓鱼邮件收集个人信息及公司敏感信息。钓鱼邮件中通常会附带恶意链接、包含恶意代码的office文档附件,并诱导用户点击恶意链接、执行office文档中的宏,通过恶意链接提示用户填写、提交敏感信息,通过执行office文档中的宏,运行宏病毒,向受害用户电脑植入木马程序,实现远程控制和信息窃取。 ② 攻击者会通过诱导用户点击短信链接、扫描二维码等实施攻击,获得敏感信息。 | |
信息保护类 | 5. 不准将系统设计文档、网络拓扑等敏感信息存放于服务器上。 | 攻击者在通过渗透远程控制服务器后,会在受控服务器上收集信息,若系统设计文档、网络拓扑等敏感信息存储在服务器上,被攻击者获取,攻击者会利用这些敏感信息进行内网横向、纵向渗透,进而达到攻击目标系统的目的。 |
6. 不准将网站或系统源代码上传至互联网上 | 网络或系统源代码上传至互联网,会使得攻击者在获得源代码后挖掘到系统安全漏洞,如文件上传、sql注入、xss等危害非常大的漏洞,且可能还会获得数据库、用户名、密码等敏感信息,从而实施进一步的攻击。 | |
7. 不准使用来路不明的U盘,日常使用U盘中文件使用完毕后须及时删除。 | ① 攻击者往往会在U盘中植入病毒或木马程序,若U盘未经确认来源就使用,会增大终端感染病毒、木马程序的风险。 snh48直播背景音② 对于日常使用的U盘,应加强已使用文件删除措施,在U盘上文件使用完毕后,须及时进行删除,避免在攻击者得到U盘后,通过U盘获得敏感信息。 | |
8. 不准未进行电脑锁屏就离开工位 | 若攻击者通过伪装进行公司办公区,其会进行公司敏感信息收集,若是有员工离开了工位,办公电脑却未锁屏,会使攻击者轻松访问到这台电脑,获取到这台电脑上的敏感信息,从而利用这些信息实施进一步的攻击。 | |
9. 不准将敏感文件随便放置于办公桌面上 | 若攻击者通过伪装进入公司办公区,其会进行公司敏感信息收集,若是有员工桌面上放置了敏感文件,会使攻击者无需获得授权便访问到公司敏感信息,从而造成进一步的危害。 | |
办公安全类 | 10. 不准将终端同时跨接内外网,且不能私自在办公网络及其他内网中搭建无线热点。 | ① 若将终端同时跨界内外网,且在使用外网过程中终端感染恶意程序,如病毒、木马等,会使内网环境得到威胁,攻击者可使用病毒、木马等实施内网攻击,达到其目的。 ② 在办公网络及其他内网中搭建无线热点,会使攻击者通过无线热点顺藤摸瓜攻击办公网络或内网。 |
11. 不准使用公共场所的网络设备处理工作事宜、登录工作邮箱,慎用公共场合wifi以及无密码的wifi。 | ① 若使用公共场所的网络设备处理工作事宜、登录工作邮箱,会在公共场所网络设备留下痕迹,被攻击者取得敏感信息,从而被实施进一步的攻击。 少年不识愁滋味为赋新词强说愁② 攻击者通常会通过wifi实施wifi钓鱼,获得敏感信息,因此,慎用公共场合wifi以及无密码的wifi。 | |
12. 不准在连接办公wifi时,使用wifi。 | wifi具有共享用户所登录WiFi网络密码等信息的功能,若手机或电脑在连接办公wifi时,安装有wifi,则办公wifi账号、密码会被泄露,会使攻击者有机可乘进入公司办公网络,实施进一步的渗透攻击。 | |
13. 不准未经申请、审批、登记的外部人员进入办公楼宇、营业厅的工作专用区域等非开放的办公区域及机房等重要场所。 | 攻击者往往伪装成警察、维修人员、保洁人员、领导、同事、新员工、求职面试人员、技术顾问等混入工作区域,窃取公司敏感信息,因此需加强重要场所外部人员进入管控工作,未经申请、审批、登记的外部人员一律不得进入办公楼宇、营业厅的工作专用区域等非开放的办公区域及机房等。 | |
科普读物 系统安全类 | 14. 不准允许来路不明的人员远程控制公司内各类设备或执行其告知的各项指令 | 攻击者往往会伪装成技术专家、工程师,诱导企业员工信任并授权其远程控制公司内各类设备或是相信其远程指导并执行其告知的各项指令,从而达到其攻击的目的。因此,在授权他人远程控制公司内各类设备或是听取他人指导执行其告知的各项指令时,需再三确认其身份,确保其身份可信! |
15. 不准设置公司内业务系统为自动登录,且不能设置浏览器保存密码功能。 | 在攻击者控制个人终端电脑后,若公司内业务系统可自动登录或是浏览器保存了系统密码,会使用的攻击者登录公司内业务系统,实施进一步的攻击,且若浏览器保存了系统密码,攻击者会使用工具获取到此密码,并根据此密码猜测登录其他设备或系统,使得攻击面进一步扩大。 | |
16. 不准未经审批开通内部系统的互联网出口 | 攻击者往往通过互联网渗透攻击企业,若未经审批开通内部系统的互联网出口会加大内部系统被攻击的风险。 | |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论