1.3 网络安全意识_网络空间安全导论-QQ阅读女频现言网

书名：网络空间安全导论
作者名：360安全人才能力发展中心编著
本章字数：2378字
更新时间：2025-03-12 18:12:01

1.3 网络安全意识

1.3.1 个人信息安全

互联网的诞生，给这个时代的人们开启了一片新的交流空间。因网络的虚拟性和开放性，上网的人们，进行快捷、高效的沟通时，也存在着个人信息泄露的危险。

人们在上网时如果想保护好个人隐私，需要做到以下几点。

1.口令设置

日常上网需要用到的口令，大致可分为4类：财产类，通信、工作、隐私类，常用类及临时类。对于不同的种类，应根据不同的密码策略，设置不同口令。

（1）财产类

财产相关的账户，包括银行、支付宝、购物类，此类口令需要保证安全强度（允许的情况下，建议使用大写和小写字母、数字、符号组合成10～15位）的同时，还需定期进行更新，避免因安全防护不到位，导致个人财产损失。

（2）通信、工作、隐私类

该类主要包括邮箱、实时通信、FTP 等。此类口令也需要保证安全强度（允许的情况下，建议使用大写和小写字母、数字、符号组合成8～10位）的同时，并定期更新。

（3）常用类

该类主要包括论坛、社区等不涉及财产类。该类口令的安全强度可低于第2类，如果条件允许，更新周期也可长于第2类。

（4）临时类

该类主要指需要注册才能使用服务的临时账户，口令设置的强度和更新周期可根据个人喜好设定，只要不涉及较多个人信息，口令的安全强度不必太高。

2.口令策略

除了对不同种类口令设置不同策略以外，建议不同账号、密码之间存在低关联，更不要存在某种规律，以此减少口令被猜中的概率。

3.谨慎使用公共设备

在公共场合，尽量不连接公共Wi-Fi，不使用公共手机充电桩。

不点击不明链接。对于不明链接（二维码、手机短信链接等），建议克制好奇心，不要点击和访问。

4.限制App功能

手机App中的涉及个人隐私的功能，要谨慎使用，避免被有心之人利用，如“附近的人”“常去的地点”“允许定位”“允许陌生人查看朋友圈”等。

5.个人隐私信息保护

日常生活中涉及个人信息的载体，尽量做到隐藏后再发送，如银行账户信息、火车票、飞机票、证件、车牌、家人照片等。

6.关闭不需要的功能服务

个人网络设备中有很多功能，每个人需求不同，有些服务不需要使用，就应该及时关闭，如文件打印共享服务等。

为了保护个人信息安全，我们要提高防护门槛。在使用网络和相关设备应用时，我们应该保持设备、应用的及时更新，对不明的信息保持戒备，做好密码保护工作。我们要洁身自好，让不怀好意之人无从下手，为净化网络风气，做出自己微小但不平凡的贡献。

1.3.2 办公安全

企业的运转需要办公人员协作共同完成。通过网络连接，完成信息高速传递，有利于高效办公。

高效办公的基础是通过一台台终端将办公人员连接在一起，办公网中的人员访问网络的行为存在随机性，无法预测。所以办公安全建设是否健全，决定了企业面临着哪些内在和外在的安全风险。

1.网络架构

根据不同的服务职能，可将办公区域的设备划分在同一个区域里，通过虚拟局域网（Virtual Local Area Network,VLAN）等网络技术，再将不同部门、不同职能设备划分在同一范围。

2.分权管理

网络攻击者会衡量攻击的效率，所以管理员权限常是他们的主要目标。网络管理员承担着网络健康、稳定运转的责任，若管理员权限被攻击者掌握，将会导致一系列的安全问题。所以应为管理员设定不同的岗位，分配不同的权限，让他们相互制约、相互配合。比如“三权分立”，设定“三员”，即系统管理员、安全管理员、审计管理员。

3.集中管理

随着业务的发展、办公设备的增加，要想及时发现网络问题，及时排除安全隐患，需要为管理员提供集中化视角。通过集中管理，可实现管理范围内的设备统一升级、更新，如安装系统补丁、更新病毒特征库等；出现网络、系统安全问题，管理员能主动告警或阻拦；安全审计员还可对管理范围内的日志内容进行统一的审计、核查。

4.定期自评

管理员应以攻击者视角，结合相关法律、行业标准，从管理、技术两方面，对办公范围内的设备、系统进行安全检查，在隐患还未升级为风险的阶段，通过管理、技术手段，将其排除，提高安全防御能力。

5.正版软件

办公区域的设备应使用正版软件，以减少安全后门、恶意代码进入办公区域的概率。管理员应禁止办公人员自行安装、删除软件，应采用安装、卸载审批办法，或由管理员提供安全的软件。

6.碎纸机

办公区域常是产生纸质文件较多的区域，往往存在过期文档、打印错误文档被当作垃圾随意丢弃的情况。在该类文档中可能存在与公司相关的敏感信息，如邮箱地址、用户名、域名、电话号码、项目信息等。该类信息可能会被重组，用于构建完整的攻击思路、攻击链条。

对于此类文档，公司应配备颗粒级的碎纸机，将其及时粉碎，避免文档被重新拼接而导致信息泄露等安全问题的出现。

7.安全教育培训

攻防技术的较量，归根到底是人的思维的较量。办公人员安全意识的一点点进步，可能会提高攻击者的攻击成本，或导致一次攻击的失败。定期对办公人员进行安全意识培训，有助于提高办公人员的防范意识，以低成本的方式构建较佳效果的防御体系。对安全管理人员、安全技术人员，企业应提供定期的安全技能培训，提升他们的攻防技术和动手能力。

1.3.3 计算机相关从业道德

网络安全属于计算机科学技术的重要分支。作为从业人员，除了具备相应的网络安全知识和技能，还要从思想层面严格要求自己、约束自己，不从事牟取私利、侵犯他人利益、破坏信息网络系统的违法犯罪活动；同时，有些事情虽不违法，但超出道德规范，也不应该去做。

网络安全从业人员应遵循以下道德规范。

（1）体面、诚实、公正、负责地从事网络安全工作，保护国家、社会；

（2）勤奋工作，称职服务，推进安全事业的发展；

（3）防止、阻止不安全行为，保护关键信息基础设施的完整性；

（4）遵守所有明确或隐含的合同，并给出合理的建议；

（5）严格遵守保密协议相关内容，保护并不外泄企业、个人、客户的信息及隐私；

（6）保持对前沿技术的关注，不参与任何可能伤害其他安全从业人员声誉的行为。

“没有网络安全，就没有国家安全”。网络安全从业人员应遵纪守法，恪守职业道德，为把我国建设成网络安全强国而努力奋斗。