华体会- 华体会体育- 体育官网微软对员工的 十个安全原则

2024-12-12 11:24:57

　　华体会,华体会体育,华体会体育官网,华体会靠谱吗,华体会APP(访问: hash.cyou 领取999USDT）

　　微软对员工的十个安全原则 引言：企业员工都具备良好的安全意识，这将成为企业中最强大的安全支 持。企业更多的安全隐患不在于技术上的故障，而是人为的不安全操作。下面我们将为大家 介绍微软对员工提出的“十个安全原则”，仅供各位HR们参考学习。 技术是死的，人是活的，企业更多的安全隐患不在于技术上的故障，而是人为的不安全操作。如果企 业员工都具备良好的安全意识，这将成为企业中最强大的安全支持。下面我们来看看微软对员工的十个安 全原则，为企业和个人提供一些帮助。 法则1：如果动机不良的人能够说服您在自己计算机上执行他的程序，那么该计算机便不再属于您。 法则2：如果动机不良的人能够在您的计算机上变更操作系统，那么该计算机便不再属于您。 法则3：如果动机不良的人能够无限制地实体存取您的计算机，那么该计算机便不再属于您。 法则4：如果您允许动机不良的人上载程序到您的网站，那么该网站便不再属于您。 法则5：强大的安全性敌不过脆弱的密码。 法则6：计算机的安全性只等同于可靠的系统管理员。 法则7：加密数据的安全性只等同于解密金钥。 法则8：过期的扫毒程序比起没有扫毒程序好不了多少。 法则9：完全的匿名不管在现实或网络上都不实际。 法则10：技术不是万能药。 以上十则，微软称之为“十个不变的安全性法则”。 看完以上法则，是不是有点儿恍然大悟的感觉，其实这些道理我们在平时工作中都有体会，只是没有 像这样作为法则来约束自己，意识上的不重视总是会让我们重复同样的错误。 下面来看看对这个十大原则的详细解释和注意事项： 法则1：如果动机不良的人能够说服您在自己计算机上执行他的程序，那么该计算机便不再属于您。 这是计算机科学不幸的事实：当计算机程序执行时，不管该程序是否有害，它会遵照程序指示作业。 当您选择执行一个程序时，这个决定便把计算机的控制权托付给该程序。一旦程序开始执行，可能会做任 何事情，但不会超越您在计算机上所能做的事。程序可以监视您的按键输入并传送到网站、打开计算机上 的每一个文件，并将所有文件中的「会」这个字变更为「不会」、传送粗鲁无礼的电子邮件给您所有的朋 友、安装病毒、建立「后门」让他人远程控制您的计算机、拨接到尼泊尔加德满都的ISP，或者把您的硬 盘重新格式化。 所以这点非常重要：永远不要从不能信任的资源执行甚至下载程序，而「资源」所指的是写程序而不 是给您程序的人。执行程序与吃三明治是很好的模拟：如果有个陌生人走到您面前，给您一块三明治，您 会吃吗？恐怕不会吧；如果是您最好的朋友给您三明治呢？您可能会吃，也可能不会吃，得看她是自己做 的还是在路上捡到的。将三明治情境中使用的判断思考应用到程序上，您多半会很安全。 法则2：如果动机不良的人能够在您的计算机上变更操作系统，那么该计算机便不再属于您。 操作系统最终不过是一系列的0与1，被处理器解译时，会引发计算机做特定的事件，而0与1改变 时，会完成不同的事件。0与1储存在哪里呢？就是与其它东西共同存在计算机上！它们只是文件，但如 果其它使用计算机的人可以变更这些文件，那就不妙了。 要了解原因，就要把操作系统文件，想象成计算机中最能够信任的文件，且通常是以系统层次的特殊 权限执行，也就是说它们可以做任何的事情。此外，可以信任它们管理使用者账户、处理密码变更，以及 执行谁可以做什么的支配规则。如果一个动机不良的人变更这些文件，这些文件就变得无法信任，并且会 做此人叫它们做的事，因此没有什么他办不到的事。他可以窃取密码，让他自己成为计算机的系统管理员， 或是新增全新的功能到操作系统。为预防这类型的攻击，请确定系统文件（与登录文件）的保护周全（在 MicrosoftSecurity网站上的安全检查清单，会帮助您做到这点）。 法则3：如果动机不良的人能够无限制地实体存取您的计算机，那么该计算机便不再属于您。 如果一个动机不良的人能够使用您的计算机，他可以做的事情不少。这里列出从石器时代到太空时代 的取样： 1.他可以发动技术性极低的拒绝服务攻击，并用大锤砸烂您的计算机。 2.他可以把计算机的插座拔掉，把它运到大楼外面，然后以它要挟赎金。 3.他可以用磁盘开机，重新格式化您的硬盘。但是等一等，您说：「计算机开机时，计算机上的BIOS 有设定提示输入密码。」这没什么难的，他大可打开计算机机壳，变更系统硬件，更换BIOS的芯片（其 实，还有很多更容易的方式）。 4.他可以把您的硬盘从您的计算机移除，然后把它安装到他的计算机并阅读里面的东西。 5.他可以复制您的硬盘然后带回他的窝。在那里，他有足够的时间进行暴力攻击，例如尝试所有可能 的登入密码。有可用的程序自动化这个工作，假如时间足够，毫无疑问的他会成功。成功后，前述的法则1 与法则2就派上用场了。 6.他可以将您的键盘替换成装有无线发报机的键盘，监视您输入的所有讯息，包括您的密码。 要永远确定计算机实体的保护与其价值成正比，并记住计算机的价值不是只有硬件的部分，还包括其 中的数据以及动机不良之人得以存取您网络的价值。商业关键性的机器，至少要放在上锁的机房，只让系 统管理员或维修人员存取。但是您可能也要考虑保护其它的计算机，并可能使用额外的保护措施。 如果您带着笔记型计算机旅行，对它的保护绝对很重要。体积小、重量轻等让笔记型计算机成为旅行 良伴的特性，也是让它们非常容易遭窃的原因。目前有笔记型计算机可用的锁与警铃，有的计算机还能让 您取下硬盘并随身携带。您也可以使用像是Windows2000加密文件系统的功能，有人成功窃取计算机时 可以减轻损害。但是可以让您完全确定文件数据安全与硬件未被变动的唯一方式，就是在旅行时永远将笔 记型计算机随身携带。 法则4：如果您允许动机不良的人上载程序到您的网站，那么该网站便不再属于您。 这个法则基本上与法则1相反。在法则1的状况中，动机不良的人耍花招，让受害者下载有害的程序 到他的计算机并执行该程序。在法则4的状况中，动机不良的人则上载有害的程序到别人的计算机里，并 自行执行该程序。虽然当您随时让陌生人联机到您的计算机时，就会有这样的危险，但是网站涉及的案例 绝大多数都是这一种。许多营运网站的人为了自己的好处而过于好客，让访客上载与执行程序。如同前面 所述，如果动机不良的人能够在您计算机上执行程 序，令人不悦的事就会发生。 如果您手上有网站在营运，必须限制访客所能做的事情。在您的网站上，应该只允许自己或可信任之 开发者所写的程序。但这些措施可能还不够，如果您的网 站是与其它网站装载于共享的服务器上，您需要 特别小心。如果动机不良的人有办法拖累其它网站之一，那他很有可能会扩充他的控制到服务器本身，因 而可以控制 所有在上面的网站，包括您的在内。如果您是在共享服务器上，了解该服务器系统管理员的政 策是什么就很重要（顺道一提，在使您的网站公开化前，要确定您已经遵循IIS 4.0 与IIS 5.0 的安全检查 清单的指示）。 法则5：强大的安全性敌不过脆弱的密码。 登入程序的目的在于建立您的身份。一旦操作系统知道您的身份，就可以适当的授与或拒绝对系统资 源的要求。如果动机不良的人取得您的密码，他便可用您 的身份登入。事实上对操作系统而言，这个动机 不良的人就是您。您在系统上能做什么他都可以做，因为他就是就是您。或许他要读取您储存在计算机上 的敏感信 息，例如您的电子邮件；或许您在网络上比他的权限大，所以借用您的身份便可以做平时不能做 的事；或许他只想做坏事然后怪罪到您身上；不管如何，保护您的信 誉是值得的。 永远使用密码。令人惊讶的是，有许多账户竟然使用空白密码。请选择一个复杂的密码，不要使用狗 的名字、周年纪念日期或地方球队名称，还有，别用 “password” 这个字当密码！选一个混合英文字母大 小写、数字、标点符号等等的密码，让它愈长愈好，并且常常变更。一旦选取了稳当的密码，要适当加以 处理，不要写下来。 如果您一定要把它写下来，至少把它放到安全或可以上锁的抽屉中。一个动机不良的 人在找密码时，第一个会找的地方就是在您屏幕旁边的黄色小标签纸。不要告诉 别人您的密码，记得富兰 克林曾说：「若要两个人保守秘密，只有其中一人死掉才有可能成立。」 最后，要考虑在系统中使用比密码更强力的东西识别自己。举例来说，Windows 2000 支持智能卡的 使用，可以显著加强系统所能执行的识别码检查。您也可以考虑生物测量（biometric）的产品，像是指纹 与视网模扫描仪。 法则6：计算机的安全性只等同于可靠的系统管理员。 每台计算机须有位系统管理员：这个人能够安装软件、设定操作系统、新增与管理使用者账户、建立 安全性政策，与处理所有其它有关保持计算机开机与运作 的管理工作。根据定义，这些工作必须在系统管 理员能够控制计算机的情况下运作，如此系统管理员的地位有着无与伦比的力量。一位不可信任的系统管 理员能反转 所有您采取的安全措施。他可以变更计算机上的使用权限、变更系统安全性政策、安装有害的 软件、新增不存在的使用者，或是做其它各式各样的事情。事实上，他 可以破坏任何操作系统的保护措施， 因为他就是控制操作系统的人，最糟的是他还可以掩饰他的行为。如果您有位不可信任的系统管理员，就 很明显的没有安全性。 雇用系统管理员时，要认知系统管理员所具有之信任的地位，而且只能雇用能担保那份信任的人。打 电话给该系统管理员的推荐人，询问有关他过去的工作纪 录，特别是在过去雇主公司有关安全性的事件。 如果您的公司能够接受银行与其它安全意识高的公司所采取的步骤，您可以照样操作，并要求系统管理员 通过雇用时 以及雇用后定期的完全背景检查。不管您选用什么标准，都要贯彻实施。在您的网络上，不要 给任何人管理上的特殊权限，除非这些人已经过调查，对象包括临时雇 员与承包商。 下一步，采取行动帮助诚实的人保持诚实。使用登入/注销工作表以追踪谁曾出入服务器机房 （您一 定有间上锁的服务器机房，对吧？如果没有，请重读法则 3）。在安装或为软件升级时，采用「两人」制 度。尽可能把管理工作多元化，如此可以把每个系统管理员所拥有的权力降到最低。还有，不要使用系统 管理员账 户，取而代之，给每个系统管理员拥有系统管理员特殊权限的个别的账户，如此您可以知道谁在 做什么。最后，考虑进一步让系统管理员更难掩饰他的所作所为。例 如，将稽核数据储存在唯写媒体，或 是将系统甲的稽核数据放置于系统乙，并确定两个系统的系统管理员是不同的人。当您的系统管理员愈可 靠，您的问题就越少。 法则7：加密数据的安全性只等同于解密金钥。 假设您安装全世界最大、最强固、最安全的锁在您家的前门，但是钥匙就放在门前的垫子底下，那么 不管您的锁有多坚固也没有用，不是吗？关键因素在于钥匙没有 好好的保存，因为如果小偷找到它，要开 锁可说易如反掌。加密数据的运作方式是一样的-不管加密的算法有多强，数据的安全性只等同于能够解密 的金钥。 许多操作系统与加密的软件产品，让您选择把加密金钥储存在计算机里。这个作法的优点是方便-您就 不必处理金钥，但是所牺牲的是安全性。这些金钥通常 是隐藏的，有的隐藏方式非常好，但最后不管金钥

【返回列表】