小公司如何做好信息安全管理？

時間：2024-05-10 10:30:01 | 來源：建站知識

時間：2024-05-10 10:30:01 來源：建站知識

身為網(wǎng)站建設(shè)公司，經(jīng)常幫客戶處理各類的信息安全問題或是公家機關(guān)的信息安全審查，客戶們也常常有信息安全疑難雜癥需要我們解答。 由于信息安全的層面非常多，我們會有一系列文章，慢慢帶大家理解信息安全的重要性。

小公司需要在乎信息安全嗎？

很多人有個錯誤觀念，我們小本經(jīng)營，或是公司規(guī)模不大，十多人而已，沒有什么值得偷的東西，黑客不會來偷這些沒價值的資料的。

通常有這種想法，可能是看了許多影視創(chuàng)作，以為黑客就是帥氣的在電腦前打打鍵盤，用神秘的方法破解防火墻，入侵大企業(yè)的庫房，把財寶偷出來后遠走高飛。

但現(xiàn)實世界不是這樣的，也沒有什么魔法可以在幾分鐘內(nèi)破解各種系統(tǒng)。 現(xiàn)實世界的信息安全大多是人為疏失造成的資料外泄，例如密碼紙條被撿走、離職員工搞破壞、檔案被加密勒索、或者被詐騙集團盜用賬號這類熟能詳卻又層出不窮的風(fēng)險，當(dāng)你在年底最繁忙的時候出現(xiàn)這些問題，小一點賬號被拿走要聯(lián)系平臺證明身份，鬧大一點上新聞被采訪，常常會搞得人仰馬翻，想好好服務(wù)客戶也做不到。

所以，中小型公司切記一個重點，把信息安全做好，是為了讓你的業(yè)務(wù)不致于在最繁忙的時候停擺，造成嚴重損失，而不是為了去預(yù)防一些百年難得一見的神童破解服務(wù)器盜取國家機密等狀況。

機密資料被透漏給不該知道的人

像是帳務(wù)人員不應(yīng)該看到業(yè)務(wù)的聯(lián)系資料，客服人員不應(yīng)該看到公司的金流，這些是非?；镜闹R，相信大家都同意。 但是越來越多公司開始使用 Dropbox / 百度云盤 / Office 365 等等云平臺管理日常作業(yè)文件，一旦使用權(quán)限沒有設(shè)好，很容易讓人看到不該看的信息。

有些小公司標(biāo)榜組織扁平化，所有人共享公司的營運資料，一切公開透明。 雖然也是很好的做法，但一不小心，也可能把客戶的營運資料設(shè)成公開放到網(wǎng)絡(luò)上。

分享鏈接給客戶很方便，但一不小心網(wǎng)址被公開就所有人看光光了

解決方案： 最小信任原則

一個組織內(nèi)的成員，應(yīng)該先預(yù)設(shè)成「什么都看不到」，然后才根據(jù)他的職務(wù)開啟相對應(yīng)的權(quán)限。 （一步步往上開，而不是一次全開）

分享檔案，盡量選有密碼保護的平臺，可以用密碼保護特定檔案。

如果平臺提供有時間限制的鏈接，就盡量設(shè)定失效時間，不要永久分享。

如果 Email 平臺有機密時效的設(shè)定，可以打開。

真正機密的數(shù)據(jù)，根本不應(yīng)該上云或遠程共享。 請用機密 Email 或壓縮成密碼保護的壓縮文件 （不要把密碼跟著文件一起寄出）。

郵件群發(fā)副本給不該看到的人

聽起來好像只是觀感問題？ 不只，這是違反個資法的。 很多單位習(xí)慣用郵件cc功能，副本給所有合作單位公告一些事項，但使用的卻不是bcc密件副本。

但這樣會造成所有單位主管與窗口的 Email 被得知，除了可能透漏您公司的客戶資料以外，也可能有業(yè)務(wù)人員混在里面，趁機獲取銷售名單甚至騷擾他人。

解決方案： 不該用 cc / bcc 大量群發(fā)

就算用 bcc 也不行，不要把一般的企業(yè)郵件功能用來群發(fā)給外人，只要允許，就會有人操作錯誤。 切記，大多數(shù)的信息安全問題都是人為疏失。

應(yīng)該善用 MailChimp / benchmark / 電子豹 這類營銷平臺進行群發(fā)。

用 Excel 管理名單。

如果有網(wǎng)管，可以設(shè)定成寄發(fā)給外部 email 時顯示警告，請用戶再次確認。

離職員工搞破壞

離職員工有權(quán)限進入原本的系統(tǒng)，例如 NAS，Email 等等，是非常危險的。 尤其離職人員如果是網(wǎng)管的話，很可能還知道最高權(quán)限的賬密。 這類狀況時有耳聞，甚至如果全公司共享賬號，還不一定能抓出兇手是誰。

解決方案： 不要共享帳密

盡可能一人一個專屬賬號，只給予必要權(quán)限，離職時直接關(guān)閉賬號

不要全公司共享一套密碼，可以用密碼管理器如 1Password / LastPass 等工具，每個帳號建立一組隨機密碼

員工離職當(dāng)下，就應(yīng)該收回電腦并直接移除所有帳號與登入權(quán)限

如果有 MIS，可以將必要的系統(tǒng)隱藏在內(nèi)網(wǎng)，不在公司時只能登錄 VPN 使用

賬號盜用

近幾年時常會聽到許多知名粉專，因為被盜用賬號，管理員被踢出，整個粉專拿不回來的狀況。 不要以為自己的粉專很安全，只要眾多管理員有一個被釣魚信件釣到，黑客就可以踢掉其他所有人。

很多人以為來路不明的訊息會讓你中毒，所以黑客透過木馬偷取你的資料。 不是的，現(xiàn)在沒什么人在用木馬了，大多數(shù)時候是你自己把帳密拱手送出去的。

通常這類的盜取手法都是這樣的，他會假冒一個訊息，讓你很緊張的前往某個網(wǎng)站輸入帳密，例如下圖，一個莫名奇妙的警告訊息發(fā)送給你。

一旦你緊張了一下點進去網(wǎng)址，就會看到假冒的 Facebook 登入畫面。

當(dāng)人在緊張時，是不會查證太多的，可能就照著步驟輸入帳密。 接下來嘿嘿，黑客就可以把你所有個人賬號全部拿下來了。

解決方案： 團隊內(nèi)宣傳良好的信息安全意識

來路不明的網(wǎng)址與信件不要點擊

登入任何網(wǎng)站前，再次注意網(wǎng)址是不是正確的

要求整個團隊啟用雙重驗證，例如短信驗證或手機 2FA / OTP 認證等等，千萬不要嫌麻煩，一個人被盜，所有人都有風(fēng)險

還是一樣，只給必要的權(quán)限。 低權(quán)限賬戶被入侵，損失也較小。

網(wǎng)站損毀，營業(yè)資料遺失

無論是網(wǎng)站主機硬件損壞，還是管理人員粗手指不小心按到全體刪除，這種無來由的問題常常造成一間公司巨額的損失。 千萬不要以為只有天災(zāi)人禍會造成資料遺失，把電腦保護的好好的肯定沒問題。 很多時候中小企業(yè)一臺 NAS 用了 7-8 年，硬盤壽命到期直接掛掉時有耳聞。 如果只是歸檔的營業(yè)資料可能還好，若是當(dāng)季的應(yīng)付與應(yīng)收帳款，還有客戶訂單數(shù)據(jù)遺失，那就大條了。

解決方案： 備份 3-2-1 原則

3： 至少制作三份備份

2： 將備份分別存放在兩種不同存儲介質(zhì) （一分在硬盤，一分在 USB or 磁帶上）

1： 至少一份放在異地保存 （這是最難的，很多公司都忽略這件事）

雖然現(xiàn)在很多 NAS 都提供自動備份功能，但那只是備份在本地而已。 要盡量啟用遠程備份，例如上傳到 AWS 或遠程服務(wù)器等等。 「一定要在兩個不同的地理位置」才是正確的異地備份，不然淹個水，十份備份也沒用。

電腦被加密勒索

這也是很常見的問題，大家都以為自己不會遇到，但其實加密勒索很容易發(fā)生，因為大多是自動化軟件在網(wǎng)絡(luò)上自動掃描電腦與網(wǎng)站，只要其中一臺老舊的電腦有漏洞被入侵，就可以透過內(nèi)網(wǎng)或 USB 感染整間辦公室的電腦。

圖為前幾年非常知名的 WannaCry 勒索病毒

解決方案

減少使用自動化兩地同步功能，不然本地機被加密，也會直接更新到遠程去

如果有使用云端硬盤，可以開啟版本紀(jì)錄功能

團隊要規(guī)定，定期將資料上傳一份在云端備援，不要通通塞桌面

備份依然是最重要的，軟件被破壞可以重裝，數(shù)據(jù)遺失就回不來了

總結(jié)

看完以上的常見信息安全災(zāi)難，您還會覺得中小企業(yè)沒有信息安全問題嗎？

所以要再次強調(diào)，「信息安全」這件事，并不是只有非常高端的大企業(yè)需要面對，一般中小企業(yè)或個人，隨時隨地都會面臨到這些防不勝防的盜用與釣魚問題，以及單純的內(nèi)控疏失等等，而這些狀況都很有可能造成你們在旺季或熱門檔期時間服務(wù)停擺。

如果您看完這一篇，決定開始重視信息安全議題，我們接下來會陸續(xù)寫一系列的信息安全相關(guān)文章，許多會是與網(wǎng)站主經(jīng)營網(wǎng)站息息相關(guān)的。