गैर-तकनीकी उपयोगकर्ताओं के लिए शीर्ष दस सुरक्षा युक्तियाँ

10

मैं इस सप्ताह के अंत में एक प्रेजेंटेशन कंपनी के कर्मचारियों को दे रहा हूं जहां मैं काम करता हूं। प्रस्तुति का लक्ष्य अच्छी प्रथाओं के पुनश्चर्या / अनुस्मारक के रूप में सेवा करना है जो हमारे नेटवर्क को सुरक्षित रखने में मदद कर सकता है। दर्शकों को प्रोग्रामर और गैर-तकनीकी कर्मचारियों दोनों से बनाया गया है, इसलिए प्रस्तुति गैर-तकनीकी उपयोगकर्ताओं के लिए तैयार है।

मैं इस प्रस्तुति का एक हिस्सा "टिप्स" की शीर्ष सूची बनाना चाहता हूं। सूची को छोटा (स्मृति को प्रोत्साहित करने के लिए) होना चाहिए और उपयोगकर्ता के लिए विशिष्ट और प्रासंगिक होना चाहिए।

मेरे पास अब तक निम्नलिखित पांच आइटम हैं:

  • एक ऐसा लगाव कभी न खोलें जिसकी आपको उम्मीद नहीं थी
  • केवल भरोसेमंद स्रोत से सॉफ़्टवेयर डाउनलोड करें, जैसे कि डाउनलोड.कॉम
  • फोन या ईमेल के माध्यम से अनुरोध करने पर पासवर्ड वितरित न करें
  • सोशल इंजीनियरिंग से सावधान रहें
  • एफ़टीपी सर्वर पर संवेदनशील डेटा संग्रहीत न करें

कुछ स्पष्टीकरण:

  • यह हमारे कार्य नेटवर्क के लिए है
  • यह अंत उपयोगकर्ता के लिए "सर्वोत्तम अभ्यास" युक्तियां होनी चाहिए, न कि आईटी नीति
  • हमारे पास बैकअप, ओएस पैच, फ़ायरवॉल, एवी, आदि सभी केंद्र प्रबंधित हैं
  • यह एक छोटे व्यवसाय (25 से कम लोगों) के लिए है

मेरे दो सवाल हैं:

  1. क्या आप कोई अतिरिक्त आइटम सुझाते हैं?
  2. क्या आप मौजूदा वस्तुओं में कोई बदलाव करने का सुझाव देते हैं?
networking  security  desktop-management 
जस्टिन
स्रोत
1
यह सवाल superuser.com पर है - और कम से कम सामुदायिक विकी होना चाहिए
मार्क हेंडरसन
यह मानते हुए कि यह आईटी विभाग की सुरक्षा नीति का हिस्सा है, मैं असहमत हूं। मेरे आईटी विभाग ने कुछ सामग्री लिखी और वार्षिक अंतिम-उपयोगकर्ता सुरक्षा प्रशिक्षण के लिए प्रशिक्षण व्यक्ति को शिक्षित किया।
वार्नर
3
बहुत कम से कम यह "आपका पसंदीदा (एक्स)" का सिर्फ एक और संस्करण है, जो वास्तव में सामुदायिक विकि होना चाहिए
मार्क हेंडरसन
@ फारसेकर: मैं सहमत हूं।
@Farseeker - यह एक superuser.com सवाल नहीं है। यह एक कार्य नेटवर्क के लिए है।
जस्टिन

जवाबों:

7

ऐसा लगता है कि आप अपने साथियों को शिक्षित करने के प्रयास में आईटी से बाहर के व्यक्ति हो सकते हैं। हालांकि यह एक अच्छी बात है और मैं इसे प्रोत्साहित करूंगा, आपका आईटी विभाग सुरक्षा मानकों और नीतियों को चला रहा है।

यह प्रशिक्षण पहले से ही लागू सुरक्षा नीतियों के पीछे के कारणों को फिर से लागू करने और शिक्षित करने के साधन के रूप में काम करना चाहिए। यदि कोई लिखित सुरक्षा नीति दस्तावेज़ नहीं है, तो होना चाहिए।

आपके द्वारा सूचीबद्ध कई चीजें अंतिम-उपयोगकर्ता नियंत्रण के भीतर नहीं होनी चाहिए। उदाहरण के लिए, औसत कम तकनीकी अंत-उपयोगकर्ता को अपने कार्य केंद्र पर सॉफ़्टवेयर स्थापित करने में सक्षम नहीं होना चाहिए। मुझे संदेह है कि कंपनी के भीतर कई समर्थन, कॉन्फ़िगरेशन, और मैलवेयर के मुद्दे हैं जो आसानी से नीति द्वारा रोका जा सकता है अगर वे कर सकते हैं।

यदि बुनियादी बातों को पहले से ही आईटी नीति द्वारा लिखित और लागू नहीं किया जाता है, तो ये ऐसे मुद्दे हैं जिन्हें उपयोगकर्ताओं को शिक्षित करने के प्रयास से पहले संबोधित किया जाना चाहिए। अंतिम-उपयोगकर्ता केंद्रित नीतियों में से कुछ में शामिल हैं:

  • जॉब फंक्शन करने के लिए कम से कम विशेषाधिकार
  • सॉफ़्टवेयर अपडेट स्वचालित रूप से सुरक्षा जोखिम पर ध्यान देने के साथ किए जाते हैं
  • नीति द्वारा लागू सुरक्षा मानक (IE। वेब ब्राउज़र सेटिंग्स)
  • पासवर्ड समाप्ति (90 दिन)
  • पासवर्ड शक्ति प्रवर्तन (वर्णानुक्रम, मिश्रित मामला, 9+ वर्ण, वगैरह)
  • अंतिम 5 पासवर्ड का उपयोग करने में असमर्थ
  • पोर्टेबल डिवाइस (लैपटॉप) भंडारण एन्क्रिप्शन
  • डेटा वर्गीकरण नीति
  • वर्गीकरण नीति के अनुसार परिभाषित प्रतिबंधित और गोपनीय डेटा को संभालने वाली नीति।
  • डेटा निपटान नीति
  • डेटा एक्सेस नीति
  • पोर्टेबल डिवाइस नीति

अतिरिक्त नीतियों और प्रक्रियाओं के असंख्य हैं जो बुनियादी ढांचे के समूहों के भीतर उचित विकास और तकनीकी रखरखाव दोनों पर लागू होते हैं। (परिवर्तन नियंत्रण, कोड की समीक्षा, सिस्टम मानकों, और बहुत कुछ।)

सभी नींव के लागू होने के बाद, कर्मचारियों को लिखित सुरक्षा नीति की प्रतियां प्रदान की जानी चाहिए और उस नीति के आसपास प्रशिक्षण भी उचित होगा। यह अंत-उपयोगकर्ता सर्वोत्तम प्रथाओं को तकनीकी रूप से लागू करता है और नहीं कवर करेगा। इनमें से कुछ में शामिल हैं:

  • व्यापार के हिस्से के रूप में प्रतिबंधित और गोपनीय जानकारी को संभालना।
    • ई-मेल न करें या अनएन्क्रिप्टेड ट्रांसमिट न करें, ठीक से डिस्पोज़ करें, वगैरह-वगैरह।
  • पासवर्ड को संभालना।
    • कीबोर्ड के नीचे लिखा हुआ मत छोड़ो, पोस्ट पर इसे नोट करें, शेयर करें, वगैरह।
  • खाते या प्रमाणीकरण डेटा साझा न करें। (फिर)
  • खुला कार्यस्थल या कंपनी की संपत्ति (डेटा) असुरक्षित (लैपटॉप) मत छोड़ो
  • बिना सोचे समझे सॉफ्टवेयर न चलाएं
    • जैसे कि ई-मेल अटैचमेंट।
  • सामाजिक इंजीनियरिंग के आसपास के जोखिम और परिदृश्य
  • वर्तमान मैलवेयर व्यापार या उद्योग पर लागू होता है।
  • व्यापार और उद्योग के लिए विशिष्ट नीतियां और जोखिम।
  • सामान्य शिक्षा कैसे (यदि) की निगरानी की जाती है
  • आईटी तकनीकी और प्रशासनिक रूप से सुरक्षा नीतियों को कैसे लागू करता है।

PCI DSS उदाहरण सुरक्षा नीतियों के विषय में कई सर्वोत्तम प्रथाओं। इसके अतिरिक्त, पुस्तक प्रैक्टिस ऑफ सिस्टम्स एंड नेटवर्क एडमिनिस्ट्रेशन आईटी सुरक्षा के बारे में मौलिक सर्वोत्तम प्रथाओं को शामिल करती है।

वार्नर
स्रोत
यह नीचे क्यों मतदान किया गया था?
वार्नर
विचारशील जवाब के लिए धन्यवाद। हमारी अच्छी नीतियां हैं, आदि, जो हस्ताक्षरित हैं। स्पष्ट होने के लिए, मैं उन शीर्ष व्यवहारों की एक अच्छी सूची की तलाश कर रहा हूं जो अंतिम उपयोगकर्ताओं के लिए सुरक्षा बढ़ाने वाले व्यवहार को बढ़ावा देने में मदद करें। (हमारे पास मैलवेयर / वायरस के मुद्दे नहीं हैं, आदि। मैं एक स्थानीय व्यवस्थापक होने के बारे में सभी उपद्रव को नहीं समझता हूं। एक लेख के रूप में मैंने कुछ साल पहले यह एमएसएफटी कॉर्प के रूप में डिफ़ॉल्ट सेटिंग है।)
जस्टिन
डाउन वोट मेरी त्रुटि थी, लेकिन मैं इसे बदल नहीं सकता। मुझे लगता है कि यदि आप अपना उत्तर संपादित करते हैं (एक स्थान या कुछ जोड़ें) तो मैं इसे ठीक कर सकता हूं।
जस्टिन
आह शांत, धन्यवाद। यह थोड़ा निराशाजनक था! मैंने अपने उत्तर पर कुछ समय बिताया। स्थानीय व्यवस्थापक की बात के संबंध में, मैं आपसे कुछ हद तक सहमत हूँ। यह कंपनी और प्रौद्योगिकी के माहौल पर निर्भर करता है। अंत उपयोगकर्ताओं को तकनीकी कंपनियों या उच्च तकनीकी समूहों में व्यवस्थापक के साथ कभी-कभी ठीक होने के लिए दिखाया गया है। मैंने स्पेक्ट्रम कार्य के दोनों किनारों को देखा है। मेरा एक सहकर्मी एक इंट्रानेट के लिए जिम्मेदार है, यह बिना किसी तकनीकी कौशल वाले कर्मचारियों से बना है और व्यवसाय के लिए उनके पास प्रशासन की आवश्यकता होती है, जहां उन्हें नियमित रूप से अलग-अलग पैमानों पर मैलवेयर के मुद्दों से निपटना पड़ता है।
वार्नर
कोई चिंता नहीं, मैंने इसे तय किया :)
l0c0b0x
2

मेरी शीर्ष टिप (जो मैं लोगों को सिखाने के लिए धीरे-धीरे प्रबंधन कर रहा हूं) आपके # 1 का रूपांतर है:

पता करें कि वास्तव में ईमेल कहां से आता है और किसी भी संदेश को कैसे चेक करें जो कम से कम थोड़ा अजीब हो।

आउटलुक के लिए, इसका मतलब है कि इंटरनेट हेडर प्रदर्शित करने के तरीके और रिसीव्ड-फ्रॉम लाइन्स का मतलब।

गैर-तकनीकी कर्मचारियों के लिए, सॉफ़्टवेयर डाउनलोड और इंस्टॉल करना एक विकल्प नहीं है (और मैं कहूंगा कि नहीं होना चाहिए), उनके पास सॉफ़्टवेयर स्थापित करने के लिए व्यवस्थापक पहुंच नहीं होनी चाहिए। यहां तक ​​कि प्रोग्रामर के लिए जो हम एडमिन एक्सेस देते हैं, हम दृढ़ता से उन्हें डाउनलोड करने और इंस्टॉल करने से पहले आईटी के साथ जांच करने का आग्रह करते हैं।

पासवर्ड के लिए, मैं हमेशा ब्रूस श्नीयर की सलाह को दोहराता हूं: पासवर्ड कुछ अच्छा करने के लिए पर्याप्त मजबूत होना चाहिए, और उन्हें याद रखने में कठिनाई से निपटने के लिए आप उन्हें कागज के एक टुकड़े पर लिख सकते हैं और अपने बटुए में रख सकते हैं - जैसे अपना पासवर्ड कार्ड का इलाज करें क्रेडिट कार्ड और पता है कि अगर आप अपना बटुआ खो देते हैं तो उन्हें कैसे रद्द करें (बदलें)।

आपके पास कितने लैपटॉप हैं और आप उन्हें कैसे वापस करते हैं, इसके आधार पर, मैं लैपटॉप पर डेटा को सुरक्षित रखने के बारे में एक टिप शामिल करूंगा। यदि आपके पास अपने नेटवर्क के लिए लैपटॉप पर डेटा का बैकअप / प्रतिकृति करने के लिए कोई सिस्टम नहीं है, तो आपको चाहिए, और यदि आपके पास एक सिस्टम है, तो आपको यह सुनिश्चित करना चाहिए कि लैपटॉप उपयोगकर्ता यह जानते हैं कि यह कैसे काम करता है। डेटा से भरा एक खो गया या चोरी हुआ लैपटॉप - बहुत कम से कम - गधे में दर्द।

वार्ड - मोनिका को बहाल करना
स्रोत
धन्यवाद। हमारे पास जगह-जगह अच्छे बैकअप हैं। हम लैपटॉप पर डेटा की सुरक्षा के लिए TrueCrypt शेयरों को तैनात करने जा रहे हैं। मजबूत पासवर्ड + उदाहरण निश्चित रूप से एक उल्लेख के लायक हैं। धन्यवाद।
जस्टिन
यदि आप मुझे विश्वास दिलाना चाहते हैं कि एक ईमेल वास्तविक है, तो शरीर में कुछ पाठ शामिल करें, जैसे कि मैं इसे आपके साथ जोड़ सकता हूं।
डेविड थॉर्नले
2

एक कमजोर और मजबूत पासवर्ड परिभाषित करें और उन्हें मजबूत पासवर्ड याद रखने और याद रखने के कुछ अच्छे तरीके दें।

आपका दूसरा बिंदु यह इंगित करता है कि उपयोगकर्ताओं को अपने कंप्यूटर पर सॉफ़्टवेयर स्थापित करने की अनुमति है। मैं कहूंगा कि ज्यादातर मामलों में यह एक समस्या है। लेकिन अगर उन्हें सॉफ़्टवेयर स्थापित करने की अनुमति दी जाती है तो कवर करने के लिए एक अच्छा बिंदु है।

सुनिश्चित करें कि आपके पास सोशल इंजीनियरिंग के उदाहरण हैं। यह उन्हें यह जानने में मदद करता है कि क्या देखना है और उन्हें अधिक पागल होने के लिए थोड़ा डराता है। मुझे लोगों से यह सोचने के लिए कहना पसंद है कि अगर वे कार्यालय के बाहर फुटपाथ पर एक यूएसबी अंगूठे ड्राइव पाते हैं तो वे क्या करेंगे। अधिकांश ईमानदार लोग इसे उठाते हैं और अपने कंप्यूटर में प्लग करते हैं यह देखने के लिए कि क्या ड्राइव पर कुछ यह पहचान लेगा कि मालिक कौन है। ज्यादातर बेईमान लोग ऐसा ही करेंगे ... लेकिन शायद यह देखने के लिए कि क्या इसका इस्तेमाल करने से पहले इसे खत्म करने से पहले कुछ अच्छा है या नहीं। ऑटोरन, दुर्भावनापूर्ण पीडीएफ, आदि के माध्यम से या तो मामला है, यह आपकी पसंद की कंपनी के अंदर एक कंप्यूटर का मालिक होने के लिए एक बहुत आसान तरीका है, एक कीस्ट्रोक लकड़हारा स्थापित करें, आदि।

3dinfluence
स्रोत
आपका USB कुंजी उदाहरण अच्छा है, USB कुंजी के उपयोग और गलत उपयोग के बारे में एक चेतावनी शायद उसकी युक्तियों में से एक होनी चाहिए।
वार्ड -
धन्यवाद। पुन :: सामाजिक enginerring उदाहरण, हाँ, मैं आमतौर पर क्लिपबोर्ड + काम जंपसूट अदर्शन के बारे में बात करना पसंद करता हूं। USB एक बेहतरीन उदाहरण है।
जस्टिन
2

व्हाट अबाउट

  • अपने OS और ऐप्स को पूरी तरह से अपडेट रखें। इसमें प्रमुख संस्करण भी शामिल हैं, कम से कम एक बार एक प्रमुख संस्करण को परिपक्व होने में कुछ महीने हुए हैं। पूरी तरह से पैच किए गए IE3 के साथ पूरी तरह से पैच किए गए XP SP3 अभी भी विंडोज 7 चलाने वाले IE8 (या बेहतर अभी तक, क्रोम) की तुलना में बहुत कम सुरक्षित है।
  • लोकप्रिय OSes और एप्लिकेशन से बचें - उनका शोषण होने की संभावना अधिक है। यदि आप प्रमुख Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime), और Adobe (Flash, PDF रीडर) उत्पादों से बच सकते हैं, तो आपको बहुत अधिक संभावना होगी सक्रिय शोषण वहाँ से बाहर।
  • अपने एंटीवायरस (एंटी-मालवेयर सूट) को नियमित रूप से अद्यतित और स्कैन करते रहें।
  • अपने व्यक्तिगत फ़ायरवॉल को अद्यतित और चालू रखें।
  • सुरक्षित ईमेल प्रोटोकॉल का उपयोग करें (यानी यह सुनिश्चित करें कि आपका POP / IMAP / SMTP SSL-सुरक्षित है)।
  • Windows फ़ाइल साझाकरण (SMB) या sshd को सक्षम न करें (वे दो सबसे अधिक अटैक किए गए पोर्ट हैं)।
  • अपने घर के वाई-फाई नेटवर्क पर WPA2 एन्क्रिप्शन सक्षम करें।
  • अविश्वसनीय वेबसाइटों पर भी न जाएं।
आकर्षक बनाएं
स्रोत
मैं मान रहा हूं कि प्रश्न कॉर्पोरेट नेटवर्क के बारे में है, इसलिए उपयोगकर्ता के बजाय एवी, वायरलेस, और फ़ायरवॉल सेटिंग्स अपडेट होना चाहिए।
ठीक है, यह एक कॉर्पोरेट नेटवर्क प्रतीत होता है, जहाँ वे मूल प्रश्न में "केवल भरोसेमंद स्रोत से केवल डाउनलोड सॉफ़्टवेयर, जैसे download.com" टिप को देखते हुए, उपयोगकर्ताओं को अपने स्वयं के सॉफ़्टवेयर को डाउनलोड / इंस्टॉल करने की अनुमति देते हैं। इसलिए मुझे लगता है कि आपके सॉफ़्टवेयर को अद्यतित रखने की मेरी टिप महत्वपूर्ण है। साथ ही, कई कॉर्प्स के स्वामित्व वाले लैपटॉप उपयोगकर्ताओं के साथ घर (और यात्रा) करने की अनुमति देते हैं, इसलिए होम नेटवर्क सुरक्षा भी मान्य है।
स्पाइफ
यह हमारा कार्य नेटवर्क है, हाँ। पैच, फ़ायरवॉल, बैकअप, आदि सभी @ GPO / IT टीम स्तर का ध्यान रखा जाता है। अपने स्वयं के सॉफ़्टवेयर के लिए अपडेट, हालांकि, महत्वपूर्ण हैं। उसका उल्लेख करूंगा।
जस्टिन
+ अविश्वसनीय वेब साइट एक अच्छा एक है।
जस्टिन
1

आपके पास एक अच्छी शुरुआत है, लेकिन जैसा कि दूसरों ने उल्लेख किया है कि आप एक नुकसान शुरू कर रहे हैं यदि उपयोगकर्ता सॉफ़्टवेयर स्थापित कर सकते हैं। मैं Download.com का उपयोग करने का सुझाव नहीं दूंगा; इसके बजाय, उपयोगकर्ताओं को एक ऐसे प्रोग्राम के लिए आईटी से पूछना चाहिए जो खुद को खोजने की कोशिश करने के बजाय अपनी समस्या को हल करता है (जब तक कि अधिकांश डेवलपर्स या काफी समझदार न हों)। व्यवस्थापक अधिकारों को हटाना इस समस्या को हल करता है।

परिवर्धन:

  1. अधिकांश साइटों के लिए अलग-अलग पासवर्ड का उपयोग करें, और उन्हें (KeePass, PWSafe, आदि) का ट्रैक रखने के लिए किसी प्रकार के पासवर्ड सेफ़ का उपयोग करें। के माध्यम से चलो कैसे MediaDefender का ई-मेल हैक कर लिया गया और उन क्या उपायों घुसपैठ को रोका है | पूछना। कभी भी कहीं और अपने कार्य डोमेन पासवर्ड का उपयोग न करें, और अविश्वसनीय सिस्टम के माध्यम से कंपनी मेल / ट्रैफ़िक को अग्रेषित न करें।
  2. शालीनतापूर्वक पासवर्ड चुनें। एक सैंपल पासवर्ड हैश पर जॉन रिपर का उपयोग करके एक लाइव क्रैक करें (यदि लोग ओवरटेक करते हैं, तो पहले कंपनी से क्रैकिंग टूल का उपयोग करने की अनुमति प्राप्त करना सुनिश्चित करें)। उपयोगकर्ताओं को दिखा रहा है कि 'PRISCILLA1' <2 सेकंड में फटा है, एक आंख खोलने वाला है। हम यह सुनिश्चित करने के लिए यहां अनीसिस पासवर्ड नीति लागू करने का उपयोग करते हैं कि यह सुनिश्चित करें कि घटिया पासवर्ड नहीं मिलता है।
  3. ऐसी किसी भी चीज़ में प्लग न करें जो आपको आईटी द्वारा प्रदान नहीं की गई है। Keylogger USB स्टिक में प्लगिंग करके बिंदु को समझें या ट्रोजन (ऑटोरन को निष्क्रिय किया जाना चाहिए, लेकिन यह एक और कहानी है)।
  4. मान लें कि सभी नेटवर्क पर सभी ट्रैकों को ट्रैक किया जाता है और दोनों सिरों पर लॉग इन किया जाता है, भले ही मित्म हमलों को रोकने के लिए एन्क्रिप्ट किया गया हो। विकीसकेनर उंगली से आईपी पते का उपयोग करने का एक अच्छा उदाहरण है जिन्होंने "अनाम" संपादन किया था।
hurfdurf
स्रोत
हम एक छोटे व्यवसाय हैं, इसलिए हमारे पास एक पूर्णकालिक आईटी विभाग नहीं है। अच्छी युक्तियां, हालांकि। धन्यवाद।
जस्टिन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.