很多人喜欢看《天道》,《天道》里有关丁元英制造神话的故事,我们发现其实并没有神话,而只是丁元英一步步设计让每一个参与的人,务实性的去承担自己的责任。网络安全其实也一样,只要真实的去把已有的内容认真落实,持之以恒的去做,其自然也能成为“神话”,当然我们不相信“神话”,我们可以创造神话。而且,我们身边很多安全厂商也在不断创造概念,玩噱头,其实就是一种“造神”运动,而我们要清晰认识我们的神话是做出来的,不是吹出来的。
日常中有许多不同的人能够接触到我们的电子设备:比如家庭成员、室友、同事、附近的人和其他人等,不一而足,但这个是我们在一定程度上可控的。
但是远程访问设备的人识别就不那么简单了。话又说回来了,只要设备联网,就有可能存在设备被访问的可能!
如何通过培养良好安全习惯来降低安全风险,使远程访问设备的变得更加困难呢?
![网络安全的世界里如何培养良好的安全习惯]( "网络安全的世界里如何培养良好的安全习惯")
· 提高密码安全性
这里的密码自然是我们常说的口令,口令风险最严重的莫过于空口令、弱口令了。
· 高强度的密码。每个设备或账户具有唯一的高强度密码。理论上密码长度越长、复杂度越复杂则越安全。这点在我国国家标准《信息安全技术 网络安全等级保护基本要求》也有所体现。
一般通过四个或更多随机单词组合在一起并用作密码。为了创建强密码,我们可以参考美国国家标准与技术研究院(NIST)的建议,使用简单且长期令人难忘的密码或密码短语。
一个原则是:别人不易猜测,自己容易记住。
· 使用密码管理器。密码管理器可以为不同应用程序管理的账户和密码,包括识别弱口令或重复的口令功能,防止弱口令或重复口令的出现。当然,工具的使用是需要正确使用,只要正确使用其中一个密码管理器,可以有助于提高整体密码安全性。
· 双因素身份验证。多因素认证技术已经相当成熟,一般情况下我们提的是双因素认证。
认证一般分三种类型,双因素则选取其中的两种:你知道的东西(例如,密码或PIN),你拥有的东西(例如,令牌或ID卡),你自身所拥有的某些特征(例如,生物识别指纹)。由于两个必需凭据中的一个属于物理范畴的,因此这种方法使威胁行为者更难以入侵控制你的设备。同样,在《信息安全技术 网络安全等级保护基本要求》第三级系统进行了要求。
· 安全问题。对于要求为账户设置一个或多个密码重置问题,根据自己知道的隐秘性私人信息来设置。不可以在社交媒体上找到的答案或容易猜到密码的问题。
· 账户唯一性。每个用户根据所需的访问权限设置唯一个人账户。当你需要授予日常使用账户管理权限时,请仅临时执行此操作。此预防措施可以减少权限分配不当的影响,在等级保护工作中,同样要求遵循权限最小化原则。
![网络安全的世界里如何培养良好的安全习惯]( "网络安全的世界里如何培养良好的安全习惯")
· 选择安全网络
使用可以信任的互联网连接。工作生活中应该明白公共网络是很不安全的,信息容易为其他人拦截。如果不得已需要选择连接到开放式网络,必须保持防病毒和防火墙软件的状态处于开启状态。
亦可以选择虚拟专用网络服务(VPN)的方法来保护移动数据,VPN服务允许在使用Wi-Fi时保持交换数据的私密性,从而达到连接到互联网的安全。
家庭无线网络使用WPA3加密。所有其他无线加密方法都已过时,更容易受到攻击。由于WPA2出现协议漏洞,在2018年初,Wi-Fi联盟宣布WPA3取代了运行很久的WPA2无线加密标准。
各家制造商在发现产品漏洞后,都会积极开发补丁并发布更新。
可以通过自动更新和手动更新两种模式,同时选择可信的官方更新,第三方网站和应用程序是不可靠的,可能导致设备受感染。购买新设备时,需考虑品牌在提供定期支持更新方面的一致性的能力。即使官方网站,尚且会发生供应链攻击,所以选择第三方网站这种攻击将更严重。
网络钓鱼电子邮件是用户面临的最普遍的风险之一。网络钓鱼电子邮件的目标是获取有关你的信息,从你那里盗窃金钱或在你的设备上安装恶意软件。对所有可疑的电子邮件都要持怀疑态度,保持高度警惕。
参考文献:美国国土安全部网站内容ST04-003
《信息安全技术 网络安全等级保护基本要求》
>>>等级保护<<<
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:什么是等级保护?
网络安全等级保护:信息技术服务过程一般要求
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
网络安全等级保护:浅谈物理位置选择测评项
信息安全服务与信息系统生命周期的对应关系
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
工业控制系统安全:DCS风险与脆弱性检测要求思维导图
数据安全风险评估清单
管理数据安全状况的重要性
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
看国外安全网站谈数据分类的好处
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
浙江公安网安部门适用《数据安全法》对违法单位罚款100万元
江西南昌网信办依据《数据安全法》对一公司处以50万罚款的思考
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估
原文始发于微信公众号(祺印说信安):网络安全的世界里如何培养良好的安全习惯
评论