一鍵收藏！企業(yè)網(wǎng)絡(luò)安全管理日常守則

錢書慧（整理）

網(wǎng)絡(luò)風(fēng)險(xiǎn)無(wú)處不在

●據(jù)美國(guó)科技媒體ZDNet報(bào)道，有研究人員發(fā)現(xiàn)，中國(guó)企業(yè)出現(xiàn)了數(shù)起簡(jiǎn)歷信息泄漏事故，涉及5.9億份簡(jiǎn)歷。大多數(shù)簡(jiǎn)歷之所以泄露，主要是因?yàn)镸ongoDB和ElasticSearch服務(wù)器安全措施不到位，不需要密碼就能在網(wǎng)上看到信息，或者是因?yàn)榉阑饓Τ霈F(xiàn)錯(cuò)誤導(dǎo)致。

●WinRAR在享譽(yù)全球成為必備裝機(jī)軟件的同時(shí)，過(guò)去的19年來(lái)，它也深受各種嚴(yán)重安全漏洞的負(fù)面影響。根據(jù)安全公司Check Point研究人員披露的細(xì)節(jié)，在WinRAR的UNACEV2.dll代碼庫(kù)中發(fā)現(xiàn)嚴(yán)重安全漏洞，該漏洞允許人們繞過(guò)權(quán)限提升就能運(yùn)行WinRAR，而且可以直接將惡意文件放進(jìn)Windows系統(tǒng)的啟動(dòng)文件夾中。這就意味著當(dāng)用戶下次重新開(kāi)機(jī)的時(shí)候，這些惡意文件就能自動(dòng)運(yùn)行，讓人“完全控制”受害者的計(jì)算機(jī)。全球有超過(guò)5億用戶受到WinRAR漏洞的影響。

●網(wǎng)絡(luò)安全機(jī)構(gòu)GDI Foundation安全研究人員維克多·葛弗斯發(fā)現(xiàn)，3.64億條中國(guó)用戶的私密聊天記錄被泄露到了互聯(lián)網(wǎng)上，其中涉及微信支付記錄。葛弗斯表示，他發(fā)現(xiàn)一個(gè)包含有3.64億條記錄的數(shù)據(jù)庫(kù)，其中包含與姓名和身份證號(hào)相關(guān)聯(lián)的社交媒體數(shù)據(jù)、聊天記錄。數(shù)據(jù)庫(kù)中的記錄有提及微信、QQ、微信支付記錄和QQ賬號(hào)的標(biāo)簽。許多聊天記錄是中國(guó)用戶之間的日常對(duì)話，涉及金錢、愛(ài)情等。

●在新加坡卡巴斯基安全分析師峰會(huì)上，卡巴斯基安全研究人員稱發(fā)現(xiàn)了一個(gè)新的網(wǎng)絡(luò)犯罪市場(chǎng)“Genesis”，主要產(chǎn)品是用戶的完整數(shù)字配置文件，上面銷售著60,000多名用戶的全數(shù)字指紋。該服務(wù)于2018年秋季推出，創(chuàng)建者開(kāi)始在幾個(gè)出售被盜支付卡詳情的論壇上宣傳其“二級(jí)/相關(guān)服務(wù)”。

●感染過(guò)惡意軟件或安裝過(guò)惡意瀏覽器擴(kuò)展程序的用戶在不知不覺(jué)中被記錄了賬號(hào)密碼和完整的瀏覽器詳細(xì)信息，包括在線支付門戶、電子銀行服務(wù)、文件共享或社交網(wǎng)絡(luò)服務(wù)賬戶登錄憑據(jù)、與這些賬戶關(guān)聯(lián)的cookie、瀏覽器用戶代理詳細(xì)信息、WebGL簽名、HTML5畫布指紋及其他瀏覽器和PC細(xì)節(jié)等用戶配置文件一并發(fā)送給了Genesis運(yùn)營(yíng)商，而運(yùn)營(yíng)商再將這些信息在其市場(chǎng)上出售給其他網(wǎng)絡(luò)犯罪集團(tuán)，以此賺取利潤(rùn)。

網(wǎng)絡(luò)系統(tǒng)

1.接入與訪問(wèn)

禁止通過(guò)USB、光驅(qū)等外部設(shè)備進(jìn)行數(shù)據(jù)交換，關(guān)閉不必要的服務(wù)和端口；

及時(shí)刪除多余、過(guò)期賬戶，避免存在共享賬戶；

用戶口令應(yīng)滿足密碼復(fù)雜度要求(有數(shù)字、大小寫字母、特殊符號(hào))，至少6個(gè)月更換一次；

禁止在互聯(lián)網(wǎng)暴露管理頁(yè)面和管理端口；

限制或檢查內(nèi)部用戶非授權(quán)連到外部網(wǎng)絡(luò)、非授權(quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)、內(nèi)部用戶傳送重要文件或數(shù)據(jù)到外網(wǎng)。

2.最小化安裝

僅安裝業(yè)務(wù)所需的組件和應(yīng)用程序，服務(wù)器專機(jī)專用；

在業(yè)務(wù)服務(wù)器上關(guān)閉不必要的端口。

設(shè)備

1.網(wǎng)絡(luò)設(shè)備防護(hù)

內(nèi)部用戶身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換，用戶名和口令禁止相同；

明確業(yè)務(wù)必需的端口，關(guān)閉不必要的服務(wù)和端口；

應(yīng)定期檢查并鎖定或撤銷網(wǎng)絡(luò)設(shè)備中多余的內(nèi)部用戶賬號(hào)及調(diào)試賬號(hào)。

2.移動(dòng)終端安全

移動(dòng)終端接入網(wǎng)絡(luò)及訪問(wèn)應(yīng)用時(shí)，應(yīng)對(duì)用戶與設(shè)備進(jìn)行認(rèn)證及授權(quán)；

對(duì)進(jìn)行信息采集的移動(dòng)終端設(shè)備進(jìn)行安全性檢測(cè)；

移動(dòng)終端安裝、運(yùn)行的客戶端來(lái)自可靠分發(fā)渠道或使用可靠證書簽名；

移動(dòng)終端在安全的網(wǎng)絡(luò)環(huán)境下接入；

外部終端接入網(wǎng)絡(luò)訪問(wèn)，應(yīng)進(jìn)行訪問(wèn)權(quán)限管理；

定期檢查、處理非法接入和非法外聯(lián)行為。

3.介質(zhì)管理

確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并定期盤點(diǎn)；

對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制。

4.設(shè)備管理

確保信息處理設(shè)備經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)；

對(duì)機(jī)房安全管理作出規(guī)定，包括機(jī)房物理訪問(wèn)、物品帶進(jìn)帶出和機(jī)房環(huán)境安全等；

避免在重要區(qū)域接待來(lái)訪人員，包含敏感信息的紙檔文件和移動(dòng)介質(zhì)等應(yīng)妥善保管。

數(shù)據(jù)

1.安全數(shù)據(jù)交換

信息系統(tǒng)與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換時(shí)，應(yīng)通過(guò)數(shù)據(jù)交換區(qū)或?qū)Ｓ脭?shù)據(jù)交換設(shè)備等完成內(nèi)外網(wǎng)數(shù)據(jù)的安全交換。

2.數(shù)據(jù)共享

對(duì)數(shù)據(jù)共享目錄進(jìn)行嚴(yán)格的權(quán)限設(shè)置，分配訪問(wèn)賬號(hào)及賬號(hào)權(quán)限；

取消共享目錄內(nèi)所有文件的執(zhí)行權(quán)限。

3.個(gè)人信息保護(hù)

個(gè)人可公開(kāi)信息、個(gè)人敏感信息（電話號(hào)碼、郵箱、血型、宗教信仰、銀行賬號(hào)等）應(yīng)進(jìn)行區(qū)別存儲(chǔ)；

對(duì)個(gè)人敏感信息進(jìn)行加密存儲(chǔ)，并使用數(shù)據(jù)脫敏技術(shù)，對(duì)敏感信息進(jìn)行模糊化處理；

對(duì)個(gè)人敏感數(shù)據(jù)文件內(nèi)容進(jìn)行加密存儲(chǔ)。