非技术用户的十大安全提示

Question

本周晚些时候，我将向我工作所在公司的员工做演讲。演示文稿的目标是作为有助于保持我们网络安全的良好做法的复习/提醒。观众由程序员和非技术人员组成，因此演示文稿面向非技术用户。

我希望此演示文稿的一部分成为“提示”的顶级列表。该列表需要简短（以鼓励记忆）并且具体且与用户相关。

到目前为止，我有以下五个项目：

• 永远不要打开你没想到的附件
• 仅从可信来源下载软件，例如 download.com
• 不要在通过电话或电子邮件请求时分发密码
• 警惕社会工程学
• 不要在 FTP 服务器上存储敏感数据

一些澄清：

• 这是我们的工作网络
• 这些需要是最终用户的“最佳实践”技巧，而不是 IT 政策
• 我们有备份、操作系统补丁、防火墙、AV 等，全部集中管理
• 这是针对小型企业（少于 25 人）

我有两个问题：

1. 你有什么额外的建议吗？
2. 您是否建议对现有项目进行任何更改？

Answer 1

听起来您可能是 IT 之外的人，试图教育您的同龄人。虽然这是一件好事并且我会鼓励这样做，但您的 IT 部门应该推动安全标准和策略。

这种培训应该作为一种手段来加强和教育已经实施的安全策略背后的原因。如果没有书面的安全政策文件，应该有。

您列出的许多内容不应该在最终用户的控制范围内。例如，一般技术含量较低的最终用户不应该能够在他们的工作站上安装软件。我怀疑公司内部存在许多支持、配置和恶意软件问题，如果可以的话，可以通过政策轻松地防止这些问题。

如果 IT 策略尚未编写和执行基本原理，则在尝试教育用户之前应解决这些问题。一些以最终用户为中心的政策包括：

• 执行工作职能所需的最低权限
• 自动执行软件更新，注意安全风险
• 策略强制执行的安全标准（IE。Web 浏览器设置）
• 密码过期（90 天）
• 密码强度强制执行（字母数字、大小写混合、9 个以上字符等）
• 无法使用最后 5 个密码
• 便携式设备（笔记本电脑）存储加密
• 数据分类政策
• 规定处理分类策略中定义的受限和机密数据的策略。
• 数据处理政策
• 数据访问政策
• 便携设备政策

有无数额外的政策和程序适用于基础设施组内的正确开发和技术维护。（变更控制、代码审查、系统标准等等。）

在所有基础到位后，应向员工提供书面安全政策的副本，并且围绕该政策的培训也将是适当的。这将涵盖技术上和非技术上强制执行的最终用户最佳实践。其中一些包括：

• 作为业务的一部分处理受限和机密信息。
  • 不要通过电子邮件或未加密的方式传输、妥善处理等。
• 密码的处理。
  • 不要留下写在键盘下、贴上便笺、分享等等。
• 不要共享帐户或身份验证数据。（再次）
• 不要让工作站解锁或公司财产（数据）不安全（笔记本电脑）
• 不要不加考虑地运行软件
  • 如电子邮件附件。
• 围绕社会工程的风险和场景
• 适用于企业或行业的当前恶意软件趋势。
• 特定于业务或行业的政策和风险。
• 关于如何（如果）监控他们的通识教育
• IT 如何在技术和管理上实施安全策略。

在PCI DSS的例子就安全政策的许多最佳实践。此外，《系统和网络管理实践》一书涵盖了有关 IT 安全的基本最佳实践。

Answer 2

我的首要建议（我正在慢慢设法教人们）是你的第一条的变体：

知道如何检查电子邮件的真正来源，并检查任何最奇怪的消息。

对于 Outlook，这意味着了解如何显示 Internet 标题以及“接收方”行的含义。

对于非技术人员来说，下载和安装软件不是（而且我认为不应该是）一种选择，他们不应该具有安装软件的管理员权限。即使对于我们授予管理员访问权限的程序员，我们也强烈建议他们在下载和安装之前与 IT 部门核实。

对于密码，我总是重复 Bruce Schneier 的建议：密码应该足够强大，可以做一些好事，并且为了解决记住密码的困难，您可以将它们写在一张纸上并将其放在钱包中 - 像对待您的密码卡一样一张信用卡，并知道如果您丢失钱包如何取消（更改）它们。

根据您拥有的笔记本电脑数量以及备份方式，我将提供有关确保笔记本电脑上数据安全的提示。如果您没有将笔记本电脑上的数据备份/复制到网络的系统，您应该这样做，如果您有系统，您应该确保笔记本电脑用户知道它是如何工作的。丢失或被盗的充满数据的笔记本电脑至少是一件令人痛苦的事情。