防止數(shù)據(jù)和隱私泄露的十個(gè)最佳做法
像“匿名”和lulzsec(六人組)這樣賣弄的黑客團(tuán)體,在過去的幾個(gè)月里進(jìn)行數(shù)據(jù)的泄露似乎已經(jīng)是不可避免的行為了。如果像hbgary或RSA安全這樣的信息安全廠商都不安全了,那一般中小企業(yè)還有什么希望呢?在現(xiàn)實(shí)中不存在最有效的防護(hù)手段,也不存在滲透不了的安全網(wǎng)絡(luò),但有各種各樣的方式能讓IT管理員更好的防止網(wǎng)絡(luò)漏洞和保護(hù)隱私數(shù)據(jù)。
#p#
SafetyWeb.com和myID.com網(wǎng)絡(luò)安全和在線身份保護(hù)的專家?guī)椭鷧R總了10個(gè)不同的數(shù)據(jù)和隱私的泄露行為,以及避免它們的建議和最佳做法。
1.數(shù)據(jù)泄露造成網(wǎng)絡(luò)選擇的減少。像思科和Sun基本成為世界各地的大型IT部門使用的企業(yè)級(jí)網(wǎng)絡(luò)技術(shù)的代名詞。但是,中小企業(yè)普遍缺乏必要的預(yù)算去架設(shè)這樣的設(shè)備。如果一個(gè)中小企業(yè)有一個(gè)完整的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,它可能是圍繞為消費(fèi)者使用而設(shè)計(jì)的網(wǎng)絡(luò)硬件。有些人可能放棄使用路由器時(shí),直接接入互聯(lián)網(wǎng)。企業(yè)主可以通過使用質(zhì)量好的路由器提高網(wǎng)絡(luò)的安全和阻止大多數(shù)威脅,像美國網(wǎng)件或水牛品牌路由器,一定要更改默認(rèn)的路由器密碼。
2.數(shù)據(jù)泄露也來自于不正確的文件粉碎操作。許多企業(yè)扔到垃圾箱的未粉碎文件,都會(huì)成為商業(yè)信息泄露的途徑。大多數(shù)家用粉碎機(jī)將足以在緊要關(guān)頭為小型企業(yè)使用,但如果每天都要打印和粉碎私人信息,商業(yè)粉碎機(jī)才是明智的選擇。以確保敏感信息或個(gè)人身份數(shù)據(jù)文件能夠在丟棄前進(jìn)行徹底粉碎。
3.納稅時(shí)盜竊稅務(wù)檔案。在有類似的說明時(shí),企業(yè)需要特別注意有關(guān)稅收的傳入和傳出信息。企業(yè)必須確保納稅申報(bào)表被郵局丟棄之前,及時(shí)從郵箱中收回。另外身份信息偷盜者也經(jīng)常從發(fā)件箱或收件箱中竊取納稅申報(bào)。
4.從公共數(shù)據(jù)庫中進(jìn)行身份信息盜竊。個(gè)人,特別是企業(yè)所有者,經(jīng)常會(huì)發(fā)布大量有關(guān)他們自己的信息到公共數(shù)據(jù)庫中。這是一種擺脫不了的事實(shí),因?yàn)樾∑髽I(yè)主希望能最大限度的曝光自己,同時(shí)仍然需要保護(hù)個(gè)人隱私。企業(yè)通過地區(qū)內(nèi)的辦公人員進(jìn)行注冊登記,電話號(hào)碼被印刷在電話薄中,通過Facebook的查看詳細(xì)資料功能,許多人都能看到他們的地址和出生日期。許多身份信息盜竊者能夠使用公開的信息檢索獲得一個(gè)人的完整身份信息。中小企業(yè)需要仔細(xì)考慮如何以及在何處為業(yè)務(wù)獲得曝光, 并考慮公開共享敏感信息的后果。
5.使用個(gè)人的名義替代數(shù)據(jù)庫管理員申請導(dǎo)致身份信息盜竊。在同一行,獨(dú)資經(jīng)營者不會(huì)另花時(shí)間去申請項(xiàng)目,作為已被公開發(fā)布的應(yīng)用,用其個(gè)人的名義比企業(yè)名義更會(huì)增加身份信息竊取的風(fēng)險(xiǎn)。#p#
6.基于防護(hù)或監(jiān)控缺口的銀行詐騙。企業(yè)主都知道,為確保在每月的檢查中不被當(dāng)成盜用公款的人,保持他們賬戶的賬務(wù)持平很重要,但是很多企業(yè)很少,甚至根本不檢查在企業(yè)名下都開設(shè)了何種信貸賬戶。像myID.com的監(jiān)控服務(wù)可以提醒企業(yè)所有者何時(shí)有欺詐性的信貸帳戶被開設(shè)了。
7.可憐的電子郵件傳送標(biāo)準(zhǔn)。許多企業(yè)使用電子郵件溝通敏感或機(jī)密資料,好像它是一個(gè)安全的方式。然而,實(shí)際情況恰恰相反。電子郵件在傳輸過程中有很大的幾率,可以被收件人以外的人截獲郵件信息。它更適合用來發(fā)送明信片,而不是機(jī)密信息。
8.未能設(shè)置一個(gè)安全的密碼。請使用安全的密碼。事實(shí)上,許多安全專家建議使用密碼短語,而不是一個(gè)簡單的密碼。密碼短語是由幾個(gè)長單詞,至少有三個(gè),它的安全性遠(yuǎn)超普通的密碼。比如像“周五藍(lán)色牛仔褲”這樣的短語密碼,輸入速度遠(yuǎn)遠(yuǎn)快于一個(gè)復(fù)雜的密碼,而且還不用為了記住密碼而把它寫在廢紙,貼在顯示器上。
9.不防護(hù)新的電腦或硬盤。沒有專門的IT部門或信息安全管理員的企業(yè)應(yīng)該認(rèn)真考慮使用外聘顧問,以確保電腦和硬件的安全。如果在一個(gè)像Windows7這樣的操作系統(tǒng)中啟用和正確配置該安全控件,那么可以阻止大多數(shù)的數(shù)據(jù)泄露。
10.社交工程。社交工程師們打電話來,聲稱他們是來自其他組織的個(gè)人。像Facebook和LinkedIn等社交網(wǎng)絡(luò)也有風(fēng)險(xiǎn),攻擊者試圖利用社交網(wǎng)絡(luò)架構(gòu)獲取敏感信息。攻擊者甚至可以算得上是一個(gè)具有企業(yè)主與業(yè)務(wù)的公司。如果你不認(rèn)識(shí)的某人通過電話,或通過電子郵件,社交網(wǎng)絡(luò)聯(lián)系你,請確保他是你之前透露過密碼或機(jī)密資料的人。更妙的是,有一種規(guī)則可以設(shè)定誰可以顯示這些信息,和在什么情況下可以這樣做。
如果您看到在您的企業(yè)中有這十種情況,并按照提供的指導(dǎo)去做了,那么就可以避免絕大多數(shù)的數(shù)據(jù)和隱私的泄露事件。
