像“匿名”和lulzsec(六人组)这样卖弄的黑客团体,在过去的几个月里进行数据的泄露似乎已经是不可避免的行为了。如果像hbgary或RSA安全这样的信息安全厂商都不安全了,那一般中小企业还有什么希望呢?在现实中不存在最有效的防护手段,也不存在渗透不了的安全网络,但有各种各样的方式能让IT管理员更好的防止网络漏洞和保护隐私数据。
#p#
SafetyWeb.com和myID.com网络安全和在线身份保护的专家帮助汇总了10个不同的数据和隐私的泄露行为,以及避免它们的建议和最佳做法。
1.数据泄露造成网络选择的减少。像思科和Sun基本成为世界各地的大型IT部门使用的企业级网络技术的代名词。但是,中小企业普遍缺乏必要的预算去架设这样的设备。如果一个中小企业有一个完整的网络基础设施,它可能是围绕为消费者使用而设计的网络硬件。有些人可能放弃使用路由器时,直接接入互联网。企业主可以通过使用质量好的路由器提高网络的安全和阻止大多数威胁,像美国网件或水牛品牌路由器,一定要更改默认的路由器密码。
2.数据泄露也来自于不正确的文件粉碎操作。许多企业扔到垃圾箱的未粉碎文件,都会成为商业信息泄露的途径。大多数家用粉碎机将足以在紧要关头为小型企业使用,但如果每天都要打印和粉碎私人信息,商业粉碎机才是明智的选择。以确保敏感信息或个人身份数据文件能够在丢弃前进行彻底粉碎。
3.纳税时盗窃税务档案。在有类似的说明时,企业需要特别注意有关税收的传入和传出信息。企业必须确保纳税申报表被邮局丢弃之前,及时从邮箱中收回。另外身份信息偷盗者也经常从发件箱或收件箱中窃取纳税申报。
4.从公共数据库中进行身份信息盗窃。个人,特别是企业所有者,经常会发布大量有关他们自己的信息到公共数据库中。这是一种摆脱不了的事实,因为小企业主希望能最大限度的曝光自己,同时仍然需要保护个人隐私。企业通过地区内的办公人员进行注册登记,电话号码被印刷在电话薄中,通过Facebook的查看详细资料功能,许多人都能看到他们的地址和出生日期。许多身份信息盗窃者能够使用公开的信息检索获得一个人的完整身份信息。中小企业需要仔细考虑如何以及在何处为业务获得曝光, 并考虑公开共享敏感信息的后果。
5.使用个人的名义替代数据库管理员申请导致身份信息盗窃。在同一行,独资经营者不会另花时间去申请项目,作为已被公开发布的应用,用其个人的名义比企业名义更会增加身份信息窃取的风险。#p#
6.基于防护或监控缺口的银行诈骗。企业主都知道,为确保在每月的检查中不被当成盗用公款的人,保持他们账户的账务持平很重要,但是很多企业很少,甚至根本不检查在企业名下都开设了何种信贷账户。像myID.com的监控服务可以提醒企业所有者何时有欺诈性的信贷帐户被开设了。
7.可怜的电子邮件传送标准。许多企业使用电子邮件沟通敏感或机密资料,好像它是一个安全的方式。然而,实际情况恰恰相反。电子邮件在传输过程中有很大的几率,可以被收件人以外的人截获邮件信息。它更适合用来发送明信片,而不是机密信息。
8.未能设置一个安全的密码。请使用安全的密码。事实上,许多安全专家建议使用密码短语,而不是一个简单的密码。密码短语是由几个长单词,至少有三个,它的安全性远超普通的密码。比如像“周五蓝色牛仔裤”这样的短语密码,输入速度远远快于一个复杂的密码,而且还不用为了记住密码而把它写在废纸,贴在显示器上。
9.不防护新的电脑或硬盘。没有专门的IT部门或信息安全管理员的企业应该认真考虑使用外聘顾问,以确保电脑和硬件的安全。如果在一个像Windows7这样的操作系统中启用和正确配置该安全控件,那么可以阻止大多数的数据泄露。
10.社交工程。社交工程师们打电话来,声称他们是来自其他组织的个人。像Facebook和LinkedIn等社交网络也有风险,攻击者试图利用社交网络架构获取敏感信息。攻击者甚至可以算得上是一个具有企业主与业务的公司。如果你不认识的某人通过电话,或通过电子邮件,社交网络联系你,请确保他是你之前透露过密码或机密资料的人。更妙的是,有一种规则可以设定谁可以显示这些信息,和在什么情况下可以这样做。
如果您看到在您的企业中有这十种情况,并按照提供的指导去做了,那么就可以避免绝大多数的数据和隐私的泄露事件。