十大互联网个人信息安全法则
近期爆出了多起令人难以置信的数据泄露事件,Radware安全专家也处理了很多来自朋友和同行的咨询,这些人非常注重个人信息安全,并希望更好地确保数字生活的安全。为了向用户提供有关如何更好地做出互联网安全决策的建议,Radware安全专家提炼出了以下这十个可以确保用户级安全的观点:
第一, 将未加密数据看做公共数据。
将储存在云中的未加密数据当做公共数据,即使你认为这些数据并非公共数据。
第二,数据加密应该由数据所有者来完成。
不要过分依赖于管理员。如果管理员可以执行加密操作,那当然再好不过了。用户可以通过购买加密程序、利用开源工具轻松实现加密,如果是企业,则可以研发自己专有的加密技术,这并不难实现。
第三,数据的加密手法应该尽量独特。
标准加密算法是一种初级算法,也是许多数据泄露事件的起源。它可能是由自20世纪70年代开始沿用至今的过时方法组成!加密的整体概念是几乎没有人了解编码,如果不了解算法就更好了。在理想情况下,只有收到加密信息的用户才应当了解加密方法。在现实社会中,标准加密算法的使用已经使我们大大偏离了加密的基本概念,使安全进入了一个误区。
第四,定期更换安全模型。
在用户每次准备交付个人税费时都应该更换安全模型,包括更换密码、更换操作系统或版本以及更换安全厂商,要尽可能做出更多改变。更换系统架构是一个艰巨的工作,但从长远来看,弃旧换新会给用户带来更多帮助。原因就是,随着时间的流逝,不同安全模型的有效性会逐渐衰退。同样地,用户也可以更换其信用卡提供商——这是避免欺诈和诈骗的有效方法。
第五,不要轻信少于双重身份验证的站点。
用户可以将下列属性/方法组合在一起,用于网站访问时的验证。使用的属性/方法越多,网站就越安全:首先要有密码,其次要有令牌/设备,如USB fob,再次要利用生物识别技术,如:指纹识别;最后要有语音识别和地理定位技术。
第六,不在线时关闭电脑。
这是因为,任何人都无法访问已关闭的电脑。也许不久之后攻击者可以设法打开用户已关闭的电脑。但就目前来看,关闭电脑足以保护用户安全。
第七,避免使用大众化的、标准的或免费软件。
操作系统或软件越标准、开放(如:Windows、Adobe、Android、Apple等)就越不安全。相反,越独特、封闭就越安全。独特封闭的软件就是企业内部研发的软件,也有极少数的外部软件,企业熟知这些外部软件的运作和属性。
第八,易用性是安全的大敌。
Radware安全专家建议用户不要采用简单路由方式,应该尽量设置安全屏蔽措施。这些安全屏蔽措施虽然会给用户自身带来一些障碍,但它可以阻碍潜在的攻击者和数据窃取者。
第九,注意灰色地带。
黑帽骇客们可以潜伏在灰色地带,以伺机发起攻击。因此,如果用户没有针对各类安全(如:对云的定义等)作出明确说明,那么用户安全就会受到很大影响。
第十,信任但仍要核查。
要求供应商证明其数据的安全性保证措施。厂商设备/系统的经常性宕机会严重影响用户安全。中断使用就是一个很好的获得与厂商关系更新的理由,包括与银行的关系。
用户的日常安全活动可以提供全面研究基本安全原则的机会。了解重要的安全原则可以对构建并管理安全控制系统提供巨大的帮助。
显然,威胁的速度和准确性仍将继续扩大。了解安全原则的含义比了解安全元素本身更加重要。用户必须强化所了解的安全原则,并部署与这些原则相一致的防御措施,而不要受限于已有的厂商设备或技术解决方案。
作者: 来源:中国计算机报 2015年34期
上一篇:移动互联下的个人信息安全保卫战
下一篇:论内外网数据安全传输的可行性