小型企业网络安全指南之四:使用密码保护数据

admin 2022年2月12日18:05:45评论107 views字数 1204阅读4分0秒阅读模式
笔记本电脑、计算机、平板电脑和智能手机将包含许多自己的关键业务数据,客户的个人信息以及访问的在线帐户的详细信息。这些数据要做到对自己有用,但对未经授权的用户不可用,这一点至关重要。

正确实施后密码是一种防止未经授权的用户访问设备的免费、简便且有效的方式。

小型企业网络安全指南之四:使用密码保护数据


1:开启密码保护功能


设置屏幕锁密码、PIN或其他身份验证方法(如指纹或面部解锁)。如果主要使用指纹或面部解锁,则输入密码的频率会降低,因此请考虑设置复杂度高的长密码,保证密码的安全强度。
确保办公设备都使用带有PIN 的安全模块或加密产品(例如Windows的BitLocker、macOS的FileVault),以便启动。大多数现代设备都内置有加密功能,但可能需要打开和配置加密功能,请检查是否已做了相关配置。

2:关键账户考虑双因素认证


如果能实现对任何账户使用双因素身份认证(也称为2FA),那是最好不过的,但鉴于经济成本很多地方还没有能够实现双因素。而在等级保护2.0中双因素认证业已成为一个硬性要求,所以双因素这块是用户在未来网络安全建设过程中,不得不考虑的一个重点。双因素可以大大增加账户的安全性,这点是经过多年发展为国内外安全专家公认的。2FA需要两种不同类型的方式方法证明你是你,一是你知道的信息,这个通常指我们知道的账户和密码组合;二是你拥有的设备,如咱们常说的U盾、加密卡之类;三是你自身具备的特征,如咱们常说的虹膜、指纹等生物认证。

小型企业网络安全指南之四:使用密码保护数据


3:设置高强度密码


密码设置原则应该自己容易记住,但其他人很难猜到。英国英国国家网络安全中心认为,一个好的规则是“确保了解你的人在20次尝试中不会猜出你的密码”。还应避免使用最常见的密码,我们把常见的密码称之为“弱口令”,容易遭到黑客的暴力破解。

确保每个用户都有访问正确系统的个人权限,并且授予的访问权限级别始终是完成其工作所需的最低权限,同时最大程度地减少对不需要访问的系统的的访问。

4:定期更换密码


多种措施来提高安全性很最重要,员工除了工作环境中的密码,还会有许多与工作无关的密码。使用密码来访问服务,很多人只有在登录凭据受到威胁时才需要更改密码,因此请确保员工可以轻松重置自己的密码是必要的,另外在等级保护中,我们在强调密码强度的同时,也建议系统运营者定期更换密码。由此,你可以看出来其实我们的网络安全指南很多东西是与我们等级保护要求是一致的。
另外,可以考虑使用密码管理器,该工具可以为您创建和存储通过“主”密码访问的密码。由于主密码是用来保护所有其他密码,因此请确保主密码是一个强密码,如可以参考使用三个随机单词。

5:更改所有默认密码


最常见的错误之一是没有更改制造商(智能手机、笔记本电脑和其他类型设备)的默认密码。在将设备分发给员工之前,应更改所有默认密码。还应该定期检查设备(和软件),专门检测是否已更改默认密码。


原文始发于微信公众号(河南等级保护测评):小型企业网络安全指南之四:使用密码保护数据

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月12日18:05:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   小型企业网络安全指南之四:使用密码保护数据http://cn-sec.com/archives/775270.html

发表评论

匿名网友 填写信息