加强系统安全拒绝非法入侵测试

作者: 段轩 分类: 信息安全 发布时间: 2010-01-22 12:33

网络不是绝对安全的,也不是安全的。网络黑客们流行着一句话“世界上没有敲不开的门”,意思就是说您现在的网络环境可能遭受着你未发现的安全因素。虽然不可能做到绝对的安全,但我们应该加强保护自己的策略。其中包挂物理安全、软件策略安全。而往往很多软件策略很高的系统,却常常经受不住“物理安全”的摧残!事实上,技术的较量最终是人与人的较量。所以为了避免一场不必要的风波,我相信以下的建议还是很值得大家考虑的。

向员工提供了口令破解的风险信息及口令破解的难易程度,这样雇员就有机会认识到口令的重要性。实现口令设置建议及更换口令的过程有助于击退破解者的攻击,甚至击败社会工程的攻击。

社会工程攻击难以防御,特别是用户没有得到系统的风险教育时更是如此。不管公司的大小,都应该教育员工使用唯一口令、不把口令写下来、不向任何人披露口令及用户名。(如果要求加强用户的口令策略,有很多员工都很不愿意去记住那么多繁琐的密码,很多时候很多雇员都会把一些密码记录了放在键盘地下或者抽屉、书、桌子上……)

在正常办公环境中,绝大多数员工在日常工作中都不关心安全问题,当然系统管理员例外。应该教育网络用户关注安全问题,并使每一个元素都保持安全状态。办公室都应该实现安全警示制度。保护口令安全、减少口令破解机会的措施包括下面内容。

解释原因:

一、负责安全的领导十分关注口令安全。

二、屏幕保护口令很重要。

三、应该使用比较长的口令。

四、使用BIOS口令。

五、应该告诉用户避免发生下述事件:

六、所有地方都使用相同的口令。(这就像一把万能钥匙)

七、使用任何形式的增量口令,如第一次使用了口令abcd123,下一次使用abcd124等。

八、把口令写到纸上。(公司要求严格而又必须遵循的禁令,又不愿意去记住就只能把口令写在纸上了。貌似这个做法对入侵者很不错!)

九、在家里的计算机上和办公室的计算机上使用相同的口令。

十、安装非授权软件。

十一、向其他任何人披露口令。

十二、对电话询问用户账户和口令问题作出回答。(这里应该请一些渗透公司进行帮助)

员工安全教育有助于减少可能的社会工程攻击,帮助用户理解为什么要制定这样的规则。当用户理解了这些规则的内涵后,他们就更可能会遵守这些规则。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!