非技术用户的十大安全提示

我将于本周晚些时候向我工作所在公司的员工做一个演讲。演示的目的是作为良好实践的更新/补充，可以帮助确保我们的网络安全。观众由程序员和非技术人员组成，因此该演示文稿适合非技术用户使用。

我希望本演示文稿的一部分成为“提示”的顶部列表。该列表必须简短（以鼓励记忆），并且要与用户特定且相关。

到目前为止，我有以下五个项目：

• 切勿打开意想不到的附件
• 仅从可信任的来源下载软件，例如download.com
• 通过电话或电子邮件请求时不要分发密码
• 警惕社会工程学
• 不要在FTP服务器上存储敏感数据

一些说明：

• 这是为了我们的工作网络
• 这些必须是针对最终用户的“最佳实践”技巧，而不是IT策略
• 我们拥有备份，操作系统补丁，防火墙，AV等，所有这些都由集中管理
• 这是一个小型企业（少于25人）

我有两个问题：

1. 您还有其他建议吗？
2. 您是否建议对现有项目进行任何更改？

听起来您可能是IT之外的人，试图教育您的同行。尽管这是一件好事，而且我会鼓励，但您的IT部门应该推动安全标准和策略。

该培训应作为加强和教育已经存在的安全策略背后原因的一种手段。如果没有书面的安全策略文件，应该有。

您列出的许多内容都不应在最终用户控制范围内。例如，技术水平较低的最终用户应该不能在其工作站上安装软件。我怀疑公司内部存在许多支持，配置和恶意软件问题，如果可以的话，可以通过政策轻松解决。

如果IT策略尚未编写和实施基础知识，则在尝试教育用户之前应解决这些问题。一些以最终用户为中心的策略包括：

• 执行工作功能所需的最低特权
• 自动执行软件更新，注意安全风险
• 由策略实施的安全标准（IE。Web浏览器设置）
• 密码有效期（90天）
• 密码强度强制执行（字母数字，大小写混合，9个以上字符等）
• 无法使用最后5个密码
• 便携式设备（笔记本电脑）存储加密
• 数据分类政策
• 指示处理分类策略中定义的受限和机密数据的策略。
• 数据处置政策
• 资料存取政策
• 便携式设备政策

在基础架构组中，有许多其他的政策和程序适用于适当的开发和技术维护。（更改控制，代码审查，系统标准等等。）

在所有基础就绪之后，应向员工提供书面安全策略的副本，并且围绕该策略的培训也将是适当的。这将涵盖最终用户的最佳实践，无论是在技术上还是在技术上都没有实施。其中一些包括：

• 作为业务的一部分来处理受限制的机密信息。
  • 不要通过电子邮件发送或传输未加密的文件，请妥善处理，等等。
• 密码处理。
  • 不要在键盘下写东西，在便笺上分享，分享等等。
• 不要共享帐户或身份验证数据。（再次）
• 不要让工作站处于未锁定状态或公司财产（数据）不安全（笔记本电脑）
• 不要没有考虑就运行软件
  • 例如电子邮件附件。
• 围绕社会工程的风险和情景
• 适用于企业或行业的当前恶意软件趋势。
• 针对企业或行业的政策和风险。
• 关于如何监控他们的一般教育
• IT如何在技术上和管理上实施安全策略。

在PCI DSS的例子就安全政策的许多最佳实践。此外，《系统和网络管理实践》一书涵盖了有关IT安全的基本最佳实践。

我最重要的提示（我正在慢慢地教人）是您＃1的一种变化：

知道如何检查电子邮件的真正来源，并检查所有最不奇怪的消息。

对于Outlook，这意味着知道如何显示Internet标头以及Received-From行的含义。

对于非技术人员来说，下载和安装软件不是（我应该说不应该）的选择，他们不应该具有安装软件的管理员权限。即使对于确实允许管理员访问的程序员，我们也强烈建议他们在下载和安装之前与IT部门联系。

对于密码，我总是重复布鲁斯·施耐尔（Bruce Schneier）的建议：密码应该足够坚固以至于可以做一些事，并且要想起记住这些的困难，可以将它们写下来并保存在钱包中-像对待密码卡一样信用卡，并且知道如何在丢失钱包的情况下取消（更改）它们。

根据您拥有多少台笔记本电脑以及如何备份它们，我将提供有关确保笔记本电脑上数据安全的提示。如果没有适当的系统来将便携式计算机上的数据备份/复制到网络，则应该这样做；如果您有系统，则应确保便携式计算机用户知道其工作方式。丢失或失窃的笔记本电脑中充满了数据，至少是一个痛苦。

定义什么是弱密码和强密码，并为他们提供一些好的方法并记住强密码。

您的第二点似乎表明允许用户在其计算机上安装软件。我会说在大多数情况下这是一个问题。但是，如果允许他们安装软件，那么这是覆盖的好点。

确保您有社会工程的例子。这可以帮助他们知道要寻找的内容，并使他们有些恐惧，以至于更加偏执。我喜欢让人们考虑一下，如果他们在办公室外面的人行道上找到USB拇指驱动器，该怎么办。大多数诚实的人会捡起它并将其插入计算机，以查看驱动器上的某物是否可以识别所有者。大多数不诚实的人都会做同样的事情...但是可能只是在擦除它以使用它之前先看看它是否有任何好处。无论是通过自动运行，恶意pdf还是其他情况，这都是在您选择的公司内部拥有计算机，安装按键记录器等非常简单的方法。

关于什么

• 使您的操作系统和应用程序保持最新状态。这也包括主要版本，至少一次主要版本已经成熟了几个月。运行完全修补的IE6的完全修补XP XP3的安全性仍然比运行IE8的Windows 7（或者更好的是Chrome）安全得多。
• 避免使用流行的操作系统和应用程序-它们更容易被利用。如果您可以避免使用主要的Microsoft（Windows，IE，Outlook，Office，WMP），Apple（iTunes，Quicktime）和Adobe（Flash，PDF阅读器）产品，那么绝大多数产品对您的危害将很小。活跃的漏洞利用。
• 使您的防病毒软件（反恶意软件套件）保持最新状态并定期进行扫描。
• 使您的个人防火墙保持最新状态并运行。
• 使用安全的电子邮件协议（即，确保POP / IMAP / SMTP受SSL保护）。
• 不要启用Windows文件共享（SMB）或sshd（这两个是受攻击最多的端口）。
• 在家庭Wi-Fi网络上启用WPA2加密。
• 甚至不要访问不可信的网站。

您有一个良好的开端，但正如其他人提到的那样，如果用户可以安装软件，那么您将处于劣势。我不建议使用download.com; 相反，用户应该向IT部门索要解决问题的程序，而不是试图自己找到一个程序（除非大多数人是开发人员或相当精明的人）。删除管理员权限可以解决此问题。

补充：

1. 对于大多数站点，请使用不同的密码，并使用某种类型的密码保险箱来跟踪它们（KeePass，PWSafe等）。逐步了解MediaDefender的电子邮件是如何被黑的，并询问用户哪些措施可以阻止入侵。永远不要在其他任何地方使用您的工作域密码，也不要通过不受信任的系统转发公司邮件/流量。
2. 选择体面的复杂密码。使用开膛手John对示例密码哈希进行实时破解（确保在他人反应过度的情况下，首先获得公司书面许可使用破解工具的许可）。向用户显示“ PRISCILLA1”在不到2秒的时间内就被破解了，这令人大开眼界。我们在这里使用Anixis的Password Policy Enforcer来确保不会输入糟糕的密码。
3. 不要插入任何IT未提供给您的东西。通过插入Keylogger USB棒或一个运行木马的助手来说明这一点（应该禁用自动运行，但这是另一回事了）。
4. 假定在两端都跟踪和记录了所有网络上的所有流量，即使已加密以防止MitM攻击也是如此。 WikiScanner是使用IP地址来指责谁进行了“匿名”编辑的一个很好的例子。