设备企业信息安全管理.技术层面的管理更容易实现和操作,而与人相关的管理更难操作,这就导致了技术层面的管理“欺骗的艺术”-社会工程攻击往往成为攻击企业的最佳途径,企业可以通过以下手段防范社会工程攻击。
1.企业账户公私分明
不通过企业邮箱办理任何个人业务,不需要企业邮箱注册社交网络.游戏.购物等网站,不需要企业邮箱作为密码找回邮箱。个人私人账户与企业业务账户实现密码隔离,不使用相同的密码。
2.加强培训
定期培训工进行培训,普及社会工程防范知识,让员工知道哪些行为容易受到攻击.哪些迹象表明企业受到了攻击。通过员工日常自发检查个人账号.密码.行为.环境中的弱点。从用户的角度来看,发现问题比企业信息安全人员的检查要高效得多。
3.文档不记录帐号密码密码
社会工程攻击依赖于信息的连续性和连接性,通过企业最外层的低风险弱点。大多数时候,攻击者会从一个破解的企业邮箱中找到企业系统管理文档,并依靠这些信息登录到更深层次的企业系统中。不是企业的传统文档.网页注释.系统使用手册中注明具体登录账号密码,可以在很大程度上防止社会工程攻击。
4.绑定额外验证措施
许多公司的互联网边界.VPN登录入口.内部系统登录入口没有额外的验证措施,攻击者很容易通过暴力破解获得登录密码。例如,在每个系统登录界面中添加验证码.证书.短信等额外验证手段,基本上可以防止这种类型的入侵。
5.防止弱口令
许多企业管理者简单地将弱密码理解为123456.8888型密码。但事实上,任何有规律的密码,如账户本身.账号名字+后缀.单词可以称为弱密码。在更深层次上,只要大数据社会工作者库中总结的常用密码可以称为弱密码,企业核心系统管理密码就应避免这些密码。
6.安装文件加密系统
在企业内部安装文件加密系统.在企业备案计算机中安装加解密终端,做好分级保护,严格控制文件解密过程。即使企业因各种原因流出,也能在一定程度上保证文件不能被浏览。
