日期:[2023年09月22日]
-- 智慧生活报 --
版次:[B21]
网络安全无小事之职场篇
乱点邮件裸传“信”公司信息变“透明”
互联网时代,当网络的红利惠及每一个普通人时,网络安全问题就无法回避了。一个个看似独立的网络安全事件,很容易产生蝴蝶效应,形成巨大的网络安全隐患,甚至将我们变成“透明人”。9月20日,本报15版《网络家庭无小事之家庭篇——随意扫码还蹭网 一觉起来钱没了》一文,从家庭角度科普了网络安全。今天我们从职场的角度继续科普网络安全知识,让处于职场中的你继续提升抵御网络江湖“血雨腥风”的能力。
信息裸传或让公司信息“全裸”
信息裸传,是指在传输公司内部信息、文字和数据等内容时,没有经过加密处理的行为。这种行为会使信息更容易被窃取或篡改,从而造成泄密。
案例
“老大,我去趟总部,把总部服务器上最新的资料拷贝回来!”“领导,这次的会议全程录像我已整理好,正在通过网盘上传。”“领导,现在都是上门保险、上门开户,我们太OUT了,我想跟您详细汇报”……这些都是某企业员工通过微信和领导的汇报工作信息。
领导的回复如下:“大家都这么忙,不是有微信和QQ吗,直接做成文件传给我!”没想到,大家按照领导的方式传了一下,信息就被窃取了。
分析
网络就是战场,“蹲点”“挖坑”“注入病毒”和“窃取信息”的敌人无处不在。想象一下,我们费尽心机收集的重要数据,只是在传输过程中“裸”得彻底了些,就轻而易举地被攻击者窃取或篡改,是不是感觉心在滴血?
防范
重要信息加密刻盘,传输尽量采取“手传”模式;个别信息要加密改名,通过安全邮件等方式传递,尽量避免公开通 道 传 递 ;Web类 应 用 优 先 使 用HTTPS协议改造;总部与分公司有长期重要业务互访或移动办公需求的,部署物理专线或VPN产品,终端安装VPN客户端。
邮件安全防范
网络江湖鱼龙混杂,电子邮件是最易受网络攻击的目标之一。
案例
小华收到一封来自某银行的电子邮件:“本银行推出免费的网银安全防钓鱼工具,您可以下载以保护财产安全。”结尾还附有下载链接,小华下载安装了软件,并在新软件中输入了银行的账户及密码。两天后,他的银行账户被盗刷了5万元。
分析
小华是掉入了邮件攻击的陷阱。不想入坑,就得认清它们的真面目,来看看邮件攻击最常见的方式有哪些:
钓鱼邮件攻击:攻击者通常冒充企业系统管理员发送邮件,以邮箱升级、邮箱停用等理由诱骗企业用户登录钓鱼网站,进而骗取企业员工的账号、密码、姓名和职务等信息。
广告链接攻击:这类邮件中都含有让人心动的虚假广告链接,一旦点击,其中的病毒软件就会植入公司内部局域网,窃取机密内容。
恶意代码攻击:邮箱爆满的时候,随意点击不明来源的邮件,就可能遭受恶意代码攻击。
黑客入侵攻击:在此类攻击中,黑客会直接黑掉员工电子邮件账户,冒充该账户向处在关键位置的员工发出指令,指示其共享敏感数据、往指定账户转账汇款等。防范
安装杀毒软件和防火墙,及时更新病毒库,定时查杀病毒;对于邮件中要求提供任何关于自己隐私的邮件,要谨慎对待;对于含有虚假广告链接的邮件,请直接删除,不要回复,也不要转发给他人;点开邮件前务必确认发件人,不要开启可疑附件,防止恶意攻击类邮件。
网站被攻击后或传播木马
公司网站为何突然变乱码?幕后黑手可能是网络黑客。
案例
小康登录公司网站想找市场分析数据,不料,网站显示无法访问。起初,小康以为是技术部门在维修,之后发现,网页已被篡改,网站主页出现一个海盗骷髅头的图案。小康才意识到,公司的网页可能遭遇黑客入侵被篡改了。
分析
针对网站的攻击远不止这些,有时网站还会成为传播木马的傀儡。
篡改Web系统数据:黑客一般通过Web程序的漏洞获得其系统权限,进行网页挂马、网页篡改和修改数据等行为。黑客可以通过网页挂马,利用被攻击的Web系统作为后续攻击的工具,也可以通过网页篡改、丑化Web系统所有者的声誉甚至造成更大的影响,还可以通过修改Web系统敏感数据,直接达到获取利益的目的。
窃取用户信息:这种攻击方式依然利用应用程序的漏洞,构造特殊网页
或链接引诱Web系统管理员、普通用户点击,以窃取用户数据。
防范
加强对Web开发人员的培训,定期开设相关课程,培养安全意识;定期进行代码审查,加强代码安全性;Web网站上线之前要做全面的安全检查,尽量避免上线之前存在Web漏洞;部署相关Web网站安全监控与防护产品,对Web网站进行安全保障。
公司内部要防家贼
日防夜防,家贼难防。在职场上,家贼并非只
是员工,也包括第三方外包机构、访客和离职转岗
等任何一个对内部系统有过访问权限的人。从技术角
度看,只要有凭证去访问企业信息系统的人,都可被视为内部人员。由于企业内部人员身份信息模糊,信息系统凭证混乱,极易造成敏感信息泄露等安全隐患。
案例
小霍是某网络公司员工,因工作中和领导发生矛盾而辞掉了工作。在办理离职手续后,小霍仍心怀怨恨,于是再次登录员工账号进行报复。在原公司信息系统里,小霍进行了大肆破坏,导致公司系统完全瘫痪,给公司造成了重大损失。
分析
以“赚钱”为目的:家贼为获取高昂经济利益,贩卖企业内部敏感信息。由于个人敏感信息套现容易,内部人员获取难度低,往往成为企业信息安全事故的高发地。
以获取“权力”为目的:家贼往往通过各种手段套用他人身份信息,泄露其中敏感的内容,从而把竞争对手甚至是顶头上司拉下水。
以“泄愤”为目的:“从删库到跑路”,相信大家都听说过这个段子,一些受到委屈心怀怨恨的工程师们,为了报复,在离职后通过幽灵账号,甚至是自己原来的正常账号登录企业信息系统,进行大肆破坏。防范
企业应建立以身份为中心,面向业务、运维和数据的安全体系;建立统一的员工管理体系,对集团内账号集中管理、控制访问;规范员工账号的强身份认证和访问,使每个员工形成自己的强身份认证手段;针对工作中的敏感数据要进行实时脱敏和数字水印,保证数据的安全性。 记者 乔静涛
信息裸传或让公司信息“全裸”
信息裸传,是指在传输公司内部信息、文字和数据等内容时,没有经过加密处理的行为。这种行为会使信息更容易被窃取或篡改,从而造成泄密。
案例
“老大,我去趟总部,把总部服务器上最新的资料拷贝回来!”“领导,这次的会议全程录像我已整理好,正在通过网盘上传。”“领导,现在都是上门保险、上门开户,我们太OUT了,我想跟您详细汇报”……这些都是某企业员工通过微信和领导的汇报工作信息。
领导的回复如下:“大家都这么忙,不是有微信和QQ吗,直接做成文件传给我!”没想到,大家按照领导的方式传了一下,信息就被窃取了。
分析
网络就是战场,“蹲点”“挖坑”“注入病毒”和“窃取信息”的敌人无处不在。想象一下,我们费尽心机收集的重要数据,只是在传输过程中“裸”得彻底了些,就轻而易举地被攻击者窃取或篡改,是不是感觉心在滴血?
防范
重要信息加密刻盘,传输尽量采取“手传”模式;个别信息要加密改名,通过安全邮件等方式传递,尽量避免公开通 道 传 递 ;Web类 应 用 优 先 使 用HTTPS协议改造;总部与分公司有长期重要业务互访或移动办公需求的,部署物理专线或VPN产品,终端安装VPN客户端。
邮件安全防范
网络江湖鱼龙混杂,电子邮件是最易受网络攻击的目标之一。
案例
小华收到一封来自某银行的电子邮件:“本银行推出免费的网银安全防钓鱼工具,您可以下载以保护财产安全。”结尾还附有下载链接,小华下载安装了软件,并在新软件中输入了银行的账户及密码。两天后,他的银行账户被盗刷了5万元。
分析
小华是掉入了邮件攻击的陷阱。不想入坑,就得认清它们的真面目,来看看邮件攻击最常见的方式有哪些:
钓鱼邮件攻击:攻击者通常冒充企业系统管理员发送邮件,以邮箱升级、邮箱停用等理由诱骗企业用户登录钓鱼网站,进而骗取企业员工的账号、密码、姓名和职务等信息。
广告链接攻击:这类邮件中都含有让人心动的虚假广告链接,一旦点击,其中的病毒软件就会植入公司内部局域网,窃取机密内容。
恶意代码攻击:邮箱爆满的时候,随意点击不明来源的邮件,就可能遭受恶意代码攻击。
黑客入侵攻击:在此类攻击中,黑客会直接黑掉员工电子邮件账户,冒充该账户向处在关键位置的员工发出指令,指示其共享敏感数据、往指定账户转账汇款等。防范
安装杀毒软件和防火墙,及时更新病毒库,定时查杀病毒;对于邮件中要求提供任何关于自己隐私的邮件,要谨慎对待;对于含有虚假广告链接的邮件,请直接删除,不要回复,也不要转发给他人;点开邮件前务必确认发件人,不要开启可疑附件,防止恶意攻击类邮件。
网站被攻击后或传播木马
公司网站为何突然变乱码?幕后黑手可能是网络黑客。
案例
小康登录公司网站想找市场分析数据,不料,网站显示无法访问。起初,小康以为是技术部门在维修,之后发现,网页已被篡改,网站主页出现一个海盗骷髅头的图案。小康才意识到,公司的网页可能遭遇黑客入侵被篡改了。
分析
针对网站的攻击远不止这些,有时网站还会成为传播木马的傀儡。
篡改Web系统数据:黑客一般通过Web程序的漏洞获得其系统权限,进行网页挂马、网页篡改和修改数据等行为。黑客可以通过网页挂马,利用被攻击的Web系统作为后续攻击的工具,也可以通过网页篡改、丑化Web系统所有者的声誉甚至造成更大的影响,还可以通过修改Web系统敏感数据,直接达到获取利益的目的。
窃取用户信息:这种攻击方式依然利用应用程序的漏洞,构造特殊网页
或链接引诱Web系统管理员、普通用户点击,以窃取用户数据。
防范
加强对Web开发人员的培训,定期开设相关课程,培养安全意识;定期进行代码审查,加强代码安全性;Web网站上线之前要做全面的安全检查,尽量避免上线之前存在Web漏洞;部署相关Web网站安全监控与防护产品,对Web网站进行安全保障。
公司内部要防家贼
日防夜防,家贼难防。在职场上,家贼并非只
是员工,也包括第三方外包机构、访客和离职转岗
等任何一个对内部系统有过访问权限的人。从技术角
度看,只要有凭证去访问企业信息系统的人,都可被视为内部人员。由于企业内部人员身份信息模糊,信息系统凭证混乱,极易造成敏感信息泄露等安全隐患。
案例
小霍是某网络公司员工,因工作中和领导发生矛盾而辞掉了工作。在办理离职手续后,小霍仍心怀怨恨,于是再次登录员工账号进行报复。在原公司信息系统里,小霍进行了大肆破坏,导致公司系统完全瘫痪,给公司造成了重大损失。
分析
以“赚钱”为目的:家贼为获取高昂经济利益,贩卖企业内部敏感信息。由于个人敏感信息套现容易,内部人员获取难度低,往往成为企业信息安全事故的高发地。
以获取“权力”为目的:家贼往往通过各种手段套用他人身份信息,泄露其中敏感的内容,从而把竞争对手甚至是顶头上司拉下水。
以“泄愤”为目的:“从删库到跑路”,相信大家都听说过这个段子,一些受到委屈心怀怨恨的工程师们,为了报复,在离职后通过幽灵账号,甚至是自己原来的正常账号登录企业信息系统,进行大肆破坏。防范
企业应建立以身份为中心,面向业务、运维和数据的安全体系;建立统一的员工管理体系,对集团内账号集中管理、控制访问;规范员工账号的强身份认证和访问,使每个员工形成自己的强身份认证手段;针对工作中的敏感数据要进行实时脱敏和数字水印,保证数据的安全性。 记者 乔静涛
