听白帽子给你讲安全信息安全教育

我们的个人隐私被当作买卖?!信息安全 之 防患于未然

2016-09-24  本文已影响115人  一定要成长

“除玉玉”事件,2016年的中国突显的一个社会问题,其实是个人隐私泄露的老生常谈,只不过步入信息化时代后“进化”了而已。
一个年轻生命的逝去,一个家庭的支离破碎,演变成千家万户、网络、媒体对此次事件的同仇敌忾,几个具有普遍代表性作案的惯犯“不幸”当了炮灰。
在公安机关的全力侦破下,包括主犯在内案犯陆续落网,大家为之高兴,拍手叫好,让逝者得以安息...然而,在这险象环生的背后给了人们什么警示呢?
http://m.news.cctv.com/2016/09/22/ARTIBW0NkUgpjQrNNrU6geN2160922.shtml

无独有偶,近期(尤其是临近中小学开学),以手机短信或微信等传播平台为主,遭遇冒充“老师”“学校”诈骗信息的家长应该不在少数。
http://mt.sohu.com/20160920/n468751035.shtml

公然在线上(网络)线下(地摊)叫卖,好像也趁着O2O的春风,着实“火”了一把,不过却是过街老鼠人人喊打,为何如此猖狂,明目张胆?!
说是相关职能部门执法不力也能找到一定原因,但根本原因还得从“信息安全”这个比较专业的词汇说起。

从我经历的几家大公司在信息安全方面的推进、实施、贯彻与坚守,希望可以引起有识者的共鸣及大众的警惕。


科技(以及与科技沾边的)手段

使用USB存储设备

原则上禁止使用USB,甚至公司电脑的USB接口都是通过技术手段处理过,插上去都没反应,无法识别;
但如果是可用的情况下,只要一接上USB,便会被自动监控并记录在案,及时或者几日后被管理部门追查到问话。

个人的USB存储设备在任何场合是禁止的,在必要的情况下,公司可以提供经过加密后的专用USB存储设备。
基本上仅限于公司内部(尤其指某些特定小组内)使用,且要事前通过严格的书面或邮件提出申请,经批准后方可有限地(期限及范围等)使用。

收发邮件

收<<
确保发件人的来源是否自己已经认知的之后,才能继续查阅,如果是未认识的发件人,这时如果含有附件的话绝对不能打开附件。
即使是自己认知的,如果看了内容后感觉收件人不应该是自己,则需要向发件人电话或邮件询问,很有可能是对方搞错了,互相提醒,信息安全人人有责。

发>>
收件人栏要反复核对,不仅防止发送给外部不相关的人或组织机构,对方的部门和特定的人也要核实,通常还需要把相关人员或组织写在抄送人栏。
密送栏里,一般可以写上自己的地址,等邮件发送完毕后自己可以收到一封完全相同的邮件,双重核实,进一步防止误送信。

如果要发送附件给对方,则先要把附件加密再发送(一般是制作成压缩文件,加上密码),并且密码需要另写一封邮件告知对方,或者手机短信等告知也可以。
(仅附件加密并且还要密码另外告知这一点,就已经让很多人“崩溃”了---天哪,如果我每天要发送那么多有附件的邮件的话,加密都要花不少时间---但这是必要的重要的,国外正规的大公司都是如此执行的)

上网以及下载软件

为了防止病毒波及内网,很多公司干脆切断了外部网络,尤其是在当前BYOD的时代,也限定性地允许员工自带智能手机,方便个人上网查阅资料。

在可以上互联网的职场,你的一举一动都在“监视”下,这种“监视”并不是平时想像中管理员整天盯着监控室的电脑看着满屏幕的数据(比如电影黑客帝国...),
而是企业花大价钱购买了第三方软件安全系统,其中的与上网相关的功能,或者是自主研发的安全系统导入整个公司。

所以,安装软件同样会被记录在案,甚至访问某些网站都会显示“您正在访问被限定的网站,请确认是否业务需要再继续”,提示你不要做与工作无关的事。
一般情况下,公司都会在电脑中预装一些常用和专业性软件,或者把公司平时整理出来的软件存放在文件服务器上,大家可按需拷贝到自己电脑上安装。
如果需要使用到公司未指定未提供的软件,则需要提出书面或邮件申请,经批准后方可下载安装。

电脑感染病毒后

突然遇到病毒感染,你下意识会采取怎样的行动?打开杀毒软件查杀,还是关闭使用中的程序?正规做法:立刻拔掉网线(而非电源插座)。
这个做法的根本性优点,在于防止自己成为新的感染源,不仅把很有可能波及到公司内网其它电脑主机的风险降到最低,自己的数据也无法被外界盗取。
(如果突然关闭电源,那正在运行的各种程序、文档,皆有可能出现问题,再次打开电脑后工作内容无法复原的情况也不少)

在拔掉网线后,立即向领导汇报,再经由领导传递给相关管理部门,这之后就可以离线查杀病毒了(前提是保证病毒库每天都能自动更新)。
无法清理病毒的话,要把电脑交由管理部门作深度处理。

离开座位时锁屏

其实很多大公司也并没有严格按照这个习惯来要求员工,不过,我待过的一家大公司真的做到了极致!
不管离座位多远距离,就算是起身,如果时间要停留半分钟以上(比如说开早会时起身),也要把电脑锁屏。
除非是左右前后的邻座,就算是和离自己几步之遥的小组成员交谈也要锁屏,就更不用说去复印机拿打印出来的资料,以及上洗手间等情况了。
这样做的目的,就是为了最大程度防止被非同一小组成员窥视,养成了习惯,就不用担心某天来了外来人员,瞬间被偷窥、偷拍(间谍影片里常有的)。

还有一点非人为安全的问题,如果不锁屏,可能会被自己或他人误碰键盘或鼠标,引起错误操作正在运行的程序或文档,导致资料丢失或电脑操作混乱。

电脑的定时锁屏功能,那肯定也是必须预先设置好的:电脑不使用超过10分钟(或按公司要求),就要自动锁屏。所谓双重锁屏机制。

清理电脑“桌面”

万一忘记锁屏的“补救”措施,就算有人想要窥视,只要电脑“桌面”上没有放任何与工作相关的图标(快捷方式或是有名称的文件等),没有着眼点徒劳无功。

电脑回收

电脑可以是反复使用的。有这种公司,专门出租电脑给各大公司,因为电脑的性能变化较快,一年前的配置第二年可能就不适用了。
所以,各大公司在综合考虑时,很多都有这方面的租赁需求。某个项目结束或者是员工岗位调整后,都要重新换电脑。
这时同一家公司,电脑被上一个人使用了,要交给下一人个使用,以及不同公司,可能使用的电脑是从另外一家公司“淘汰”下来的。
出现这类情况,那这种租赁公司要把电脑的数据完全清理掉,不留任何痕迹内容不可逆向复原,交给下一个人或公司使用时才能完全放心。

这种租赁公司,必须是有高度的市场信赖度,通过了各种必要的第三方机构安全认证,也不可能是一般中小公司就能经营的。

打印复印

(原本想把这个归纳到下面的物理手段部分,但最近遇到的一家公司却不仅仅是物理)
不管办公室大小,打印后必须在第一时间取得自己的打印物,也是为了防止上述提到的非同一小组或外来人员顺手牵羊。
员工IC卡,通常是大公司员工的随身物品,但一般只是刷卡进出。遇到的一家公司,员工的IC卡是特制的,数据签名的高级应用场景。
按下电脑的打印按钮后,必须要亲自走到打印机旁边,刷卡认证后才能选择自己的打印文件,复印也要刷卡。也就自动记录了员工的操作,防止泄密。


物理手段

打卡进出

大门打卡,或者是进出办公室,尤其是比较重要的房间打卡,估计在有点规模的公司都是司空见惯的。
但如果不同员工的IC卡只能进出自己的所在的部门,甚至是楼层都有限制,那会是怎样的场景呢?

即便是同一公司的职员,各自的职能和岗位也不尽相同,所接触到的业务范围各种各样,而且人员素质构成参差不齐。
A部门的用户数据只能相关人员查阅,B部门的系统状态只能特定人员维护...内鬼并不是电影里才有的,人制可以让大家“和睦”,但制度化了才能有责可追。

一旦发现IC卡遗失后,首先做的事不是沿途找,更不是隐瞒不吱声。第一件事,要报告给直属领导,在得到直属领导指示后(应该很快),再沿途寻找。
这期间,直属领导再汇报给相关部门,向上一层层反映情况,上级领导层就会根据该人员所在职位和从事的工作,判断对公司而言后续会有多大的影响。
比如,如果只是进出一般性办公室,那可能上级会指示报废这张卡,不能进入房间即可;但如果是正式办公环境,领导可能会根据遗失后经过的时间来判断,可能捡到的人已经潜入公司内部,发出防止机密泄露等指示。

拍摄公司内部

办公桌上,电脑屏幕,各种设备设施上可能都存放着资料,一不小心被拍摄到再被上传到网上对外公开,有企图的人就可能抓住蛛丝马迹得知相关信息。
另外,公司同事,认识的不认识的,如果被拍到脸,很有可能涉及到对方的职位隐私,被有企图的人利用。所以一般媒体来采访时,都要钝化周边人与物品。

不用物品的废弃

打印复印纸制资料不用说,光盘、IC卡等可以记录数据的媒介物,都要经过正规渠道报废。
纸制资料可以用碎纸机,光盘、IC卡甚至USB存储设备等,要经过指定部门或者专业处理公司报废,不然,处理不得体,总会有泄露的风险。

水杯的使用

虽然没有强制,但公司会建议使用带盖的水杯水瓶。水杯被打翻的场景估计不少人都遇到过,水渗入键盘鼠标甚至主机后,必定要拿去检修的。
而如果是外部检修的情况,根据公司不同,人员的素质参差不齐,很难预测数据会不会被泄露。当年某男星的艳照门事件,不就是因为修理电脑而出的问题么。

结束工作时清理桌椅

遇到一个职场,安全意识非常强烈!工作结束关闭电脑,必须让第三者(身边的同事)检查以下情况,才能离开回家:

  1. 电脑显示器的电源按钮是否按下
  2. 桌上是否有除了键盘鼠标以外的物品,有的话,放进抽屉
  3. 抽屉是否被上锁(每人抽屉都有锁)。
电脑旁贴便签

桌上电脑旁帖便签,当然很方便,随时眼睛一瞅就可以知道了。但如果是电脑密码,简易的软件操作步骤,被不相干的人看到,很容易就泄露了。

尤其是电脑密码,一般只有员工自己才能知道,不过为了应对某些紧急情况,可能会把密码告知相关责任人,都会有具体指示说明。

在外使用电脑或谈论业务

小公司的情况说不准,大公司的话,一旦(不管是竞争对手还是其它相关)“嗅到”是某公司的某职位的职员,可能就要留意防止打你主意了。
比如,使用电脑时不降低声调说出电脑的密码,被旁人有意或无意听到,或者是被很容易地看到敲了哪些键。
谈论业务的话,比如某公司正在进行什么市场计划,在销售上有什么调整等等,都可能有意或无意地被外人探听到,泄露商业信息。

外出就餐时携带职位卡片

和在外谈论业务类似,都可能有意或无意地被外人看到这是某公司的某职位的职员,要留意防止打你主意了。
有些公司会把IC门卡和职位卡片分开,比如职位卡片用别针扣在胸前,IC门卡用绳挂在脖子上,外出就餐时需要把职位卡片摘下放进兜里。

乘坐交通工具时随手放公文包

记性不好或是临时忘记,总会有的时候,不能掉以轻心。不仅工作,私人物品也应如此。

不轻易口头问答,通过正规手续

电信诈骗的惯用手段不就是打电话么。同样,如果公司内部有什么需要申请呀批准的情况,最好通过既定的手续办理,一方面也是为了之后查证方便。
而且很有可能有人利用电话进行不真实的问询,英文叫做“Social Hacking”,其实也是普遍存在的现象,不管是内部还是外部。

签订保密协议

新职员进入公司,或者是参与其它公司项目时,都要签订保密协议,如有泄露,将会追究法律责任。一般分为两种,机密信息和个人隐私保护。
机密信息,包括本人在就职过程中所使用的软硬件资源、工作研究成果等,除非特殊情况下,都只能归属公司所有。
个人隐私,主要是限制公司行为,公司保证只会将本人的个人信息用在发薪水等内部使用,不会提供给第三方(房产呀婚介等)。

定期进行安全意识教育

每一两月一次,根据公司制度,对所有涉及到的职员进行安全意识教育。比如播放DVD,信息泄露的案例与补救措施,或者是看资料后填写问卷等方式。
形成制度化,形成企业文化,就会让员工习惯成自然,不能等到上级或相关部门来检查时临时抱佛脚,等到真出现问题后,就很难挽回损失了。


上述,皆是信息泄露的源头,真的是防不胜防,你遇到的公司(不管是自己的职场还是客户的公司)做到了哪些呢?
这里,顺便提到一个专业术语ISMS(安全信息管理系统),国外的很多大公司都有这个制度,有兴趣的朋友可以去查阅。

中小企业暂且不说那么大的话,当前国内的软硬件环境不成熟也不规范,要求太多了反而自身经济利益很难得到保障,不过呢能做到多少尽量做吧;
但毕业电信业是有实力的大公司背景,国家扶持力度也大,在信息安全方面的投入绝不能轻视。

以后有时间还会写信息安全相关的经历与心得,与君共进。


吾业专,精于勤,技术者是也~尽可能以通俗易懂的用词来阐述观点

上一篇下一篇

猜你喜欢

热点阅读