在我省網(wǎng)絡(luò)安全宣傳月活動(dòng)期間，昨日，福建省公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)的網(wǎng)絡(luò)專家，給大家介紹幾個(gè)加強(qiáng)網(wǎng)絡(luò)安全、防范非法入侵的方法。

下載的新奇游戲竟是“變形偷窺王”

侵害實(shí)例：

趙小姐是個(gè)普通上班族，下班后的最大消遣就是下載新奇游戲，玩自己的手機(jī)。雖然一直聽朋友告誡手機(jī)軟件可能會(huì)攜帶病毒，但趙小姐總感覺病毒離自己很遠(yuǎn)。

最近，趙小姐通過手機(jī)安全軟件掃描病毒，結(jié)果讓趙小姐嚇一跳，之前下載安裝的多款軟件竟是“變形偷窺王”，被偷窺的資料不計(jì)其數(shù)。

該病毒一旦被成功安裝，就會(huì)在后臺(tái)悄悄記錄本機(jī)所有短信內(nèi)容和通話記錄，并定期上傳到指定服務(wù)器。

專家支招：

手機(jī)病毒是一種具有傳染性、破壞性的手機(jī)程序。它可以通過發(fā)送短信、彩信、電子郵件、瀏覽網(wǎng)站、下載鈴聲、藍(lán)牙、植入捆綁其他手機(jī)軟件等方式進(jìn)行傳播，會(huì)導(dǎo)致用戶手機(jī)死機(jī)、關(guān)機(jī)、用戶信息被盜、個(gè)人資料被刪、向外發(fā)送垃圾郵件、自動(dòng)撥打電話、發(fā)短(彩)信等進(jìn)行惡意扣費(fèi)，甚至?xí)p毀SIM卡、芯片等硬件，導(dǎo)致使用者無法正常使用手機(jī)。

針對(duì)這種情況，網(wǎng)警建議，可采取以下幾種方法預(yù)防：

1.關(guān)閉手機(jī)的藍(lán)牙功能，以防手機(jī)自動(dòng)接收病毒;2.不要在手機(jī)里下載來路不明的軟件，上網(wǎng)下載軟件，最好到大的門戶手機(jī)網(wǎng)站;3.平時(shí)使用手機(jī)時(shí)要留意觀察手機(jī)是否有異常上網(wǎng)流量或亂碼電話;4.如果收到陌生人通過彩信或者藍(lán)牙發(fā)送過來的可安裝文件，不要運(yùn)行。

同時(shí)，網(wǎng)絡(luò)專家也指出，幾種基本的手機(jī)使用方式是不會(huì)感染手機(jī)病毒的，如：用手機(jī)接聽電話、單純接收短信、下載手機(jī)鈴聲(必須先確認(rèn)下載的是鈴聲而不是手機(jī)軟件)。

離職員工竊取公司機(jī)密文件

侵害實(shí)例：

被炒魷魚的小張(化名)坐在自家電腦前，鍵入用戶名和密碼，通過互聯(lián)網(wǎng)登錄了前雇主的服務(wù)器竊取商業(yè)機(jī)密資料，憑此賺了上萬元，讓公司蒙受了十多倍的經(jīng)濟(jì)損失。這是我省一起由于信息安全疏漏而造成的商業(yè)泄密事件。

除此之外，嫌犯還能通過其他手段竊取資料，如，將大量技術(shù)文檔復(fù)制到私人移動(dòng)硬盤中、通過打印資料并拍照存儲(chǔ)于私人筆記本電腦中……

專家支招：

“這些事件中的涉案者都是利用合法的IT權(quán)限，實(shí)施了非法的信息盜取。”網(wǎng)警提醒各大企業(yè)，“要防家賊，針對(duì)合法用戶細(xì)分化的授權(quán)以及制度化的審計(jì)非常必要。”

企業(yè)一般將比較重要的信息存儲(chǔ)于內(nèi)部公共服務(wù)器中供員工訪問，同時(shí)，在服務(wù)器以及網(wǎng)絡(luò)出口部署防護(hù)，防范來自外部的入侵。

然而，簡單的內(nèi)外有別的訪問授權(quán)控制，只能防止外部用戶突破網(wǎng)絡(luò)邊界到內(nèi)部網(wǎng)絡(luò)盜取信息，而合法用戶是否“合法地”使用信息，卻像一個(gè)暗箱、一個(gè)死角，無人監(jiān)管。

現(xiàn)實(shí)的應(yīng)用中，類似打印、復(fù)制這些看似普通的操作，都可能是致命的信息泄露渠道，授權(quán)不清、監(jiān)管不及時(shí)正是罪魁禍?zhǔn)住?/p>

上述案例還提醒我們：企業(yè)的IT安全策略大多沒有覆蓋到私人設(shè)備上。

私人設(shè)備的應(yīng)用，本意是想提升個(gè)人的工作效率。例如，U盤是方便的傳播載體。但所有這些應(yīng)用，都應(yīng)該有一個(gè)前提，即私人應(yīng)用應(yīng)處于企業(yè)的整體 IT安全策略監(jiān)管之下。任何一種新設(shè)備或者新應(yīng)用的使用，都應(yīng)該經(jīng)過事先的風(fēng)險(xiǎn)評(píng)估，比如是否帶有威脅企業(yè)信息網(wǎng)絡(luò)的病毒;在使用過程中更應(yīng)該被嚴(yán)格監(jiān)管，比如涉及公司秘密的信息不得拷貝至私人移動(dòng)設(shè)備，移動(dòng)介質(zhì)不能在公私兩個(gè)終端計(jì)算機(jī)上交叉使用。

針對(duì)公司的“IT內(nèi)鬼”，網(wǎng)警建議，具備實(shí)力的企業(yè)可參考信息安全等級(jí)保護(hù)的相關(guān)國家法規(guī)和標(biāo)準(zhǔn)，對(duì)本企業(yè)的信息網(wǎng)絡(luò)實(shí)施有效管理：要制定人員離崗離職安全管理規(guī)定，人員離崗離職時(shí)必須終止信息系統(tǒng)訪問權(quán)限，要與重要崗位人員簽訂信息安全責(zé)任書、保密協(xié)議……