网络安全意识 | 有内鬼 停止交易

随着经济的快速发展，各类写字楼的数量也在迅猛增长，增长的背后是各种大小型企业的办公需求，新型行业的兴起，越来越多的公司规模扩大以及满腔热血的创业者。各类公司的发展壮大，伴随的安全问题也随之增多。

企业面临的安全问题来自四面八方，但主要还是来自外部和内部两方面。外部问题主要来源于web对网站，app，小程序等的黑客攻击，内部主要是办公室安全，是工作人员的安全意识，以及公司的相关制度管理问题。目前很多大企业的安全问题，除了对外部网站或者APP的黑客攻击之外，还有内部的信息泄露或者其他有害行为，对企业造成无法弥补的损害。

一、办公室WiFi安全

无线网络现在已经是绝大多数公司办公的重要设施，它的普及让公司办公更加方便和快捷，但是近些年的WiFi安全事件也逐渐增多。好多WiFi的不安全设置及随意给他人连接，会导致WiFi出现各种安全问题。

今年五月份去一家公司代取文件，去早了就在大厅等人，闲余时询问了一下该公司WiFi密码，旁边的兄弟很大方的告诉了我。连上WiFi后便顺手扫了一下该网段相关资产信息。共23个IP，开放77个端口，这里显示漏洞数7个，但实际上在我看来远不止这些。

粗略分析后发现该网段有三台服务器，其他基本都是电脑连接，随手登录了一个服务器IP的8000端口，就是后台admin/admin口令直接进入，存在大量敏感信息，并且后台可能存在其他诸如文件上传和注入漏洞。

由于没有授权，故只分析到这里，临走时也给该公司反映了一下。这里也总结以下几点建议，让公司WiFi更安全。

1.公司WiFi应做好办公和访客分离，不应把办公WiFi密码随意告知来访人员。

2.对连接办公WiFi的设备做好记录管理，绑定对应设备的MAC地址。

3.禁止员工自行启用WiFi热点。

4.对办公网络设置SSID。

二、办公室外来人

对办公室外来人的身份确认不容忽视，好多大公司，对于他们的产品WEB网站及一些APP等其他业务，安全防御都基本到位。出问题时往往是企业内部的信息泄露，直接危害公司利益。

世界头号黑客米特尼克在他的自传《线上幽灵》中描述过这样一个情节:他曾以向一名公司雇员投递信件为由，看到了该公司职员的胸卡，“照片在胸卡左上角，照片下面是他们的名字，姓氏在前，字体加粗。公司的名字在胸卡底部，采用红色加粗字体”。之后在网站下载了该公司的logo图片，花了20分钟时间，ps了一张看起来一模一样的胸卡。

之后在该公司停车场中，偷偷观察着一群群出来解馋的烟鬼们，所制造的弥漫烟雾，大约五六个人的一群烟鬼开始动身返回大楼时，凯文也选定了这个时机。当队伍逐一穿门而入时，最后进去的人发现后面还有人，瞄了一眼他的胸卡，就给他留了门。成功进入了目标组织大楼后，凯文盗取一名工程师的电脑账号，可以控制工程师电脑上的任何操作，随后又拿到了域控服务器以及多台SQL Server服务器，里面存储着加密信用卡号码的密钥，数以百万计的信用卡信息均可使用。

类似的案例还有很多，对于公司来讲，一次严重的信息泄露，就有可能对公司造成巨大的不利影响和直接经济损失。所以对于公司的外来人员，应该进行询问或者前台登记；进入公司时，注意随手关门。

这里提几点小建议：

1.进入大门注意是否有尾随人员。

2.进入公司应随手关门。

3.公司外来人员应在前台登记，并说明来由。

4.离开电脑时应及时锁屏。

5.电脑口令密码避免写在纸上。

三、办公VPN连接安全

随着移动互联网的发展，企业不断寻求安全的保护内部网络信息方式，VPN连接为企业的安全做了极大保护。可是正如《荀子·哀公》中说“水能载舟，亦能覆舟”一样，每个事物都有它的利弊性，关于VPN泄露及弱口令的安全事件层出不穷。

2016年，某省VPN密码泄露导致内网漫游事件，由于员工通道泄露，攻击者从该网址找到VPN及测试账号，测试登录成功，成功进入内网，查看了大量敏感信息。

类似事件常有出现，之前也有某公司爆出VPN弱密码可进入内网事件，admin/admin口令就可直接登录成功。

VPN安全建议如下：

1.尽量使用目前市面上已经完善的VPN设备，可开启两步验证，使用强密码。

2.如果使用自己搭建的VPN，建议密码设置为强密码。

3.VPN口令不能告知公司以外人员。

4.保证VPN信息的安全存储，建议不要存储在网站页面。

5.不使用不受信任的VPN。

四、办公室电子设备安全

现在的办公环境中，离不开手机电脑等一些电子设备。在这些设备提供便利的同时，也存在着危险隐患。大多数公司可能会忽视关于电子设备的安全，但一旦出现问题，可就是当头棒喝。

之前爆出的一则消息，由于公司员工的安全意识不强，随手点击了别人发给自己的恶意链接，导致自己的电脑被黑客入侵。进而又致使其入侵公司内网，导致公司大量敏感信息泄露，该员工自己也被辞退。

员工安全意识不足，电脑没有装杀毒软件和及时的安装补丁，很容易遭到勒索病毒的攻击，一个企业对于如果对安全意识制度建立不完善，导致的损失不仅仅是辞退一个员工就能解决的问题了。

对于此类事件，给大家几点使用的安全建议：

1.及时更新系统和打补丁。

2.安装杀毒软件。

3.陌生人的邮件应在确认身份后，再进行点击查看。

4.不随意打开网络上接收的不明文件。

5.不轻易点击网络上的链接。

对于企业来讲，公司的安全制度应做相应加强，对员工的安全意识也要做相应培训。建好防线，离不开良好的人员操作机制和安全意识提升计划。通过制定周密的安全意识提升项目，员工能够主动担负起责任，才能更好地保护企业资产和知识产权。

以下为企业增强员工安全意识的几点建议：

1.对员工进行安全意识的培训。

2.请安全专家对公司企业进行培训。

3.进行增强安全意识的小活动。

4.对员工安全意识进行相应的小考核。

5.督促员工安全杀毒软件和安全系统补丁。

6.对安全意识突出者做出相应奖励。

五、个人办公安全意识建议：

1.避免将口令写在纸上，存放于办公桌面，应将口令纸条放在保险箱里，或使用一些存储密码的在线工具。

2.离开电脑时谨记锁屏（windows下可使用win+L，MAC记得随手合盖）。

3.及时更新电脑系统和安装补丁。

4.电脑安装杀毒软件。

5.在公共场合交谈，差旅，应注意不泄露公司的敏感信息。

6.陌生人的邮件应在确认身份后，再进行点击查看。

7.在办公区域拍照应注意避免拍到关于公司的敏感信息。

8.打印文件应注意文件打印后及时删除。

9.会后应整理会场，擦黑板不遗留文件，敏感文件存柜。

10.进入公司应随手关门，防止公司无关人员尾随。

11.技术人员应保存好代码，保证安全的情况下可上传至在线网站。

12.公司WiFi应做好办公和访客分离，不应把办公WiFi密码随意告知来访人员。

13.办公IM应做好消息加密，必要时公司可开发自己的专用通讯软件。

14.VPN尽量不使用自己搭建的简易VPN，目前市面上已经有完善的VPN设备，可开启两步验证，保证VPN的登录安全，如果使用自己搭建的VPN，建议密码设置为强密码。

15.保证VPN信息的安全存储，建议不要存储在网站页面。

—-

编译者/作者：深圳零时科技

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。