防止數據和隱私泄露的十個最佳做法
像“匿名”和lulzsec(六人組)這樣賣弄的黑客團體,在過去的幾個月里進行數據的泄露似乎已經是不可避免的行為了。如果像hbgary或RSA安全這樣的信息安全廠商都不安全了,那一般中小企業還有什么希望呢?在現實中不存在最有效的防護手段,也不存在滲透不了的安全網絡,但有各種各樣的方式能讓IT管理員更好的防止網絡漏洞和保護隱私數據。
#p#
SafetyWeb.com和myID.com網絡安全和在線身份保護的專家幫助匯總了10個不同的數據和隱私的泄露行為,以及避免它們的建議和最佳做法。
1.數據泄露造成網絡選擇的減少。像思科和Sun基本成為世界各地的大型IT部門使用的企業級網絡技術的代名詞。但是,中小企業普遍缺乏必要的預算去架設這樣的設備。如果一個中小企業有一個完整的網絡基礎設施,它可能是圍繞為消費者使用而設計的網絡硬件。有些人可能放棄使用路由器時,直接接入互聯網。企業主可以通過使用質量好的路由器提高網絡的安全和阻止大多數威脅,像美國網件或水牛品牌路由器,一定要更改默認的路由器密碼。
2.數據泄露也來自于不正確的文件粉碎操作。許多企業扔到垃圾箱的未粉碎文件,都會成為商業信息泄露的途徑。大多數家用粉碎機將足以在緊要關頭為小型企業使用,但如果每天都要打印和粉碎私人信息,商業粉碎機才是明智的選擇。以確保敏感信息或個人身份數據文件能夠在丟棄前進行徹底粉碎。
3.納稅時盜竊稅務檔案。在有類似的說明時,企業需要特別注意有關稅收的傳入和傳出信息。企業必須確保納稅申報表被郵局丟棄之前,及時從郵箱中收回。另外身份信息偷盜者也經常從發件箱或收件箱中竊取納稅申報。
4.從公共數據庫中進行身份信息盜竊。個人,特別是企業所有者,經常會發布大量有關他們自己的信息到公共數據庫中。這是一種擺脫不了的事實,因為小企業主希望能最大限度的曝光自己,同時仍然需要保護個人隱私。企業通過地區內的辦公人員進行注冊登記,電話號碼被印刷在電話薄中,通過Facebook的查看詳細資料功能,許多人都能看到他們的地址和出生日期。許多身份信息盜竊者能夠使用公開的信息檢索獲得一個人的完整身份信息。中小企業需要仔細考慮如何以及在何處為業務獲得曝光, 并考慮公開共享敏感信息的后果。
5.使用個人的名義替代數據庫管理員申請導致身份信息盜竊。在同一行,獨資經營者不會另花時間去申請項目,作為已被公開發布的應用,用其個人的名義比企業名義更會增加身份信息竊取的風險。#p#
6.基于防護或監控缺口的銀行詐騙。企業主都知道,為確保在每月的檢查中不被當成盜用公款的人,保持他們賬戶的賬務持平很重要,但是很多企業很少,甚至根本不檢查在企業名下都開設了何種信貸賬戶。像myID.com的監控服務可以提醒企業所有者何時有欺詐性的信貸帳戶被開設了。
7.可憐的電子郵件傳送標準。許多企業使用電子郵件溝通敏感或機密資料,好像它是一個安全的方式。然而,實際情況恰恰相反。電子郵件在傳輸過程中有很大的幾率,可以被收件人以外的人截獲郵件信息。它更適合用來發送明信片,而不是機密信息。
8.未能設置一個安全的密碼。請使用安全的密碼。事實上,許多安全專家建議使用密碼短語,而不是一個簡單的密碼。密碼短語是由幾個長單詞,至少有三個,它的安全性遠超普通的密碼。比如像“周五藍色牛仔褲”這樣的短語密碼,輸入速度遠遠快于一個復雜的密碼,而且還不用為了記住密碼而把它寫在廢紙,貼在顯示器上。
9.不防護新的電腦或硬盤。沒有專門的IT部門或信息安全管理員的企業應該認真考慮使用外聘顧問,以確保電腦和硬件的安全。如果在一個像Windows7這樣的操作系統中啟用和正確配置該安全控件,那么可以阻止大多數的數據泄露。
10.社交工程。社交工程師們打電話來,聲稱他們是來自其他組織的個人。像Facebook和LinkedIn等社交網絡也有風險,攻擊者試圖利用社交網絡架構獲取敏感信息。攻擊者甚至可以算得上是一個具有企業主與業務的公司。如果你不認識的某人通過電話,或通過電子郵件,社交網絡聯系你,請確保他是你之前透露過密碼或機密資料的人。更妙的是,有一種規則可以設定誰可以顯示這些信息,和在什么情況下可以這樣做。
如果您看到在您的企業中有這十種情況,并按照提供的指導去做了,那么就可以避免絕大多數的數據和隱私的泄露事件。
