অ প্রযুক্তিগত ব্যবহারকারীদের জন্য শীর্ষ দশ সুরক্ষা টিপস

আমি যে সংস্থায় কাজ করি সেখানকার কর্মীদের কাছে আমি এই সপ্তাহের শেষে একটি উপস্থাপনা দিচ্ছি। উপস্থাপনাটির লক্ষ্য হ'ল ভাল অভ্যাসগুলির একটি রিফ্রেশার / অনুস্মারক হিসাবে পরিবেশন করা যা আমাদের নেটওয়ার্ককে সুরক্ষিত রাখতে সহায়তা করতে পারে। শ্রোতা উভয় প্রোগ্রামার এবং অ প্রযুক্তিগত স্টাফ নিয়ে গঠিত, তাই উপস্থাপনাটি অ প্রযুক্তিগত ব্যবহারকারীদের জন্য প্রস্তুত।

আমি এই উপস্থাপনাটির অংশটি "টিপস" এর শীর্ষ তালিকা হতে চাই। তালিকাটি সংক্ষিপ্ত হওয়া প্রয়োজন (মেমরিকে উত্সাহিত করতে) এবং ব্যবহারকারীর সাথে নির্দিষ্ট এবং প্রাসঙ্গিক হতে হবে।

আমার এখন পর্যন্ত নিম্নলিখিত পাঁচটি আইটেম রয়েছে:

• আপনি যে প্রত্যাশা করেননি এমন সংযুক্তিটি কখনও খুলবেন না
• শুধুমাত্র ডাউনলোড.কমের মতো বিশ্বস্ত উত্স থেকে সফ্টওয়্যার ডাউনলোড করুন
• ফোন বা ইমেলের মাধ্যমে অনুরোধ করা হলে পাসওয়ার্ড বিতরণ করবেন না
• সোস্যাল ইঞ্জিনিয়ারিং থেকে সাবধান থাকুন
• কোনও এফটিপি সার্ভারে সংবেদনশীল ডেটা সঞ্চয় করবেন না

কিছু স্পষ্টতা:

• এটি আমাদের কাজের নেটওয়ার্কের জন্য
• এগুলি আইটি নীতি নয়, শেষ-ব্যবহারকারীর জন্য "সেরা অনুশীলনগুলি" টিপস হওয়া দরকার
• আমাদের ব্যাকআপ, ওএস প্যাচস, ফায়ারওয়াল, এভি, ইত্যাদি সমস্ত কেন্দ্রীয়ভাবে পরিচালিত
• এটি একটি ছোট ব্যবসায়ের জন্য (25 জনেরও কম)

আমার দুটি প্রশ্ন আছে:

1. আপনি কি কোনও অতিরিক্ত আইটেম প্রস্তাব করেন?
2. আপনি কি বিদ্যমান আইটেমগুলিতে কোনও পরিবর্তন প্রস্তাব করেন?

দেখে মনে হচ্ছে আপনি আইটি-র বাইরের কোনও ব্যক্তি আপনার সমবয়সীদের শিক্ষিত করার চেষ্টা করছেন। যদিও এটি একটি ভাল জিনিস এবং আমি উত্সাহিত করব কিছু, আপনার আইটি বিভাগটি সুরক্ষা মান এবং নীতিগুলি চালাচ্ছে।

এই প্রশিক্ষণটি ইতিমধ্যে কার্যকর থাকা নীতিমালা পিছনে থাকার কারণগুলি পুনরায় প্রয়োগ এবং শিক্ষিত করার মাধ্যম হিসাবে কাজ করবে। যদি কোনও লিখিত সুরক্ষা নীতি দলিল না থাকে তবে তা থাকা উচিত।

আপনার তালিকাভুক্ত বেশিরভাগ জিনিস শেষ ব্যবহারকারীর নিয়ন্ত্রণের মধ্যে থাকা উচিত নয়। উদাহরণস্বরূপ, গড় কম প্রযুক্তিগত শেষ ব্যবহারকারী তাদের ওয়ার্কস্টেশনে সফ্টওয়্যার ইনস্টল করতে সক্ষম হবেন না। আমার সন্দেহ হয় যে সংস্থায় অনেকগুলি সমর্থন, কনফিগারেশন এবং ম্যালওয়্যার সমস্যা রয়েছে যা তারা যদি পারেন তবে নীতি দ্বারা সহজেই প্রতিরোধ করা যেতে পারে।

যদি আইটি নীতিমালা দ্বারা ফান্ডামেন্টালগুলি ইতিমধ্যে লিখিত এবং প্রয়োগ না করা হয় তবে এগুলি এমন বিষয় যা ব্যবহারকারীদের শিক্ষিত করার চেষ্টা করার আগে সমাধান করা উচিত। কিছু শেষ-ব্যবহারকারী দৃষ্টি নিবদ্ধ করা নীতিগুলির মধ্যে রয়েছে:

• কাজের ফাংশন সম্পাদনের জন্য প্রয়োজনীয় স্বল্প সুযোগ-সুবিধা
• সফ্টওয়্যার আপডেটগুলি সুরক্ষা ঝুঁকির দিকে মনোযোগ দিয়ে স্বয়ংক্রিয়ভাবে সম্পাদিত হয়
• নীতি দ্বারা কার্যকর সুরক্ষা মান (IE। ওয়েব ব্রাউজার সেটিংস)
• পাসওয়ার্ডের মেয়াদ শেষ (90 দিনের)
• পাসওয়ার্ড শক্তি প্রয়োগকরণ (আলফানিউমারিক, মিশ্র ক্ষেত্রে, 9+ টি অক্ষর, ইত্যাদি)
• শেষ 5 টি পাসওয়ার্ড ব্যবহার করতে অক্ষম
• পোর্টেবল ডিভাইস (ল্যাপটপ) স্টোরেজ এনক্রিপশন
• ডেটা শ্রেণিবদ্ধকরণ নীতি
• শ্রেণিবিন্যাস নীতির মধ্যে সংজ্ঞায়িত হিসাবে নিয়ন্ত্রিত হ্যান্ডলিং সীমাবদ্ধ এবং গোপনীয় ডেটা নির্দেশ করে।
• ডেটা নিষ্পত্তি নীতি
• ডেটা অ্যাক্সেস নীতি
• পোর্টেবল ডিভাইস নীতি

অতিরিক্ত নীতি এবং পদ্ধতিগুলির একটি অগণিত রয়েছে যা পরিকাঠামো গোষ্ঠীর মধ্যে যথাযথ বিকাশ এবং প্রযুক্তিগত রক্ষণাবেক্ষণ উভয়ের ক্ষেত্রেই প্রযোজ্য। (নিয়ন্ত্রণ, কোড পর্যালোচনা, সিস্টেমের মান এবং আরও অনেক কিছু পরিবর্তন করুন))

সমস্ত ভিত্তি স্থাপনের পরে, কর্মচারীদের লিখিত সুরক্ষা নীতি এবং সেই নীতিটি ঘিরে প্রশিক্ষণের প্রশিক্ষণের কপি সরবরাহ করা উচিত। এটি প্রযুক্তিগতভাবে প্রয়োগ করা হয়েছে এবং না উভয়ই শেষ ব্যবহারকারীর সেরা অনুশীলনগুলিকে কভার করবে। এর মধ্যে কয়েকটি অন্তর্ভুক্ত:

• ব্যবসায়ের অংশ হিসাবে সীমাবদ্ধ এবং গোপনীয় তথ্য হ্যান্ডলিং।
  • ই-মেইল বা এনক্রিপ্ট না করা, সঠিকভাবে নিষ্পত্তি, ইত্যাদি।
• পাসওয়ার্ড পরিচালনা
  • কীবোর্ডের অধীনে লিখিতটি ফেলে রাখবেন না, এটি নোট করুন, ভাগ করুন, এবং পোস্ট করুন।
• অ্যাকাউন্ট বা প্রমাণীকরণের ডেটা ভাগ করবেন না। (আবার)
• ওয়ার্কস্টেশনগুলি আনলকড বা কোম্পানির সম্পত্তি (ডেটা) অনিরাপদ (ল্যাপটপ) ছেড়ে যাবেন না
• বিবেচনা না করে সফ্টওয়্যার চালাবেন না
  • যেমন ই-মেল সংযুক্তি।
• সামাজিক প্রকৌশল আশেপাশে ঝুঁকি এবং পরিস্থিতি
• ব্যবসা বা শিল্পের জন্য প্রযোজ্য বর্তমান ম্যালওয়্যার ট্রেন্ডস।
• নীতি এবং ব্যবসা বা শিল্প সম্পর্কিত ঝুঁকি।
• কীভাবে (যদি) তাদের পর্যবেক্ষণ করা হয় সে সম্পর্কিত সাধারণ শিক্ষা
• প্রযুক্তিগত ও প্রশাসনিকভাবে আইটি সুরক্ষা নীতিগুলি কীভাবে প্রয়োগ করে।

PCI বেনিফিট এজেন্সীর উদাহরণ নিরাপত্তা নীতি বিষয়ে অনেক সেরা-চর্চা। অতিরিক্ত হিসাবে, সিস্টেমস এবং নেটওয়ার্ক অ্যাডমিনিস্ট্রেশন প্র্যাকটিস বইটি আইটি সুরক্ষা সম্পর্কিত মৌলিক সেরা অনুশীলনগুলিকে অন্তর্ভুক্ত করে।

আমার শীর্ষ টিপ (যে আমি আস্তে আস্তে লোকদের শেখানোর জন্য পরিচালনা করছি) এটি আপনার # 1:

ইমেলটি আসলে কোথা থেকে এসেছে তা কীভাবে চেক করতে হয় তা জানুন এবং যে বার্তাটি সবচেয়ে অদ্ভুত।

আউটলুকের জন্য, এর অর্থ কীভাবে ইন্টারনেটের শিরোনামগুলি প্রদর্শন করা যায় এবং প্রাপ্ত-হওয়া লাইনগুলি কী বোঝায়।

প্রযুক্তিবিহীন কর্মীদের জন্য, সফ্টওয়্যার ডাউনলোড করা এবং ইনস্টল করার কোনও বিকল্প নেই (এবং আমি বলব না হওয়া উচিত নয় ), তাদের কাছে সফ্টওয়্যার ইনস্টল করার অ্যাডমিন অ্যাক্সেস থাকা উচিত নয়। এমনকি আমরা যে প্রোগ্রামারগুলিতে প্রশাসককে অ্যাক্সেস দিয়ে থাকি তাদের পক্ষেও আমরা দৃ strongly়তার সাথে তাদের ডাউনলোড এবং ইনস্টল করার আগে আইটি দিয়ে পরীক্ষা করার জন্য দৃ strongly়ভাবে অনুরোধ করি ge

পাসওয়ার্ডগুলির জন্য, আমি সর্বদা ব্রুস শ্নিয়ারের পরামর্শটি পুনরাবৃত্তি করি: পাসওয়ার্ডগুলি কিছু ভাল করার জন্য যথেষ্ট শক্তিশালী হওয়া উচিত এবং এগুলি মনে রাখতে অসুবিধা হওয়ার জন্য আপনি সেগুলি কাগজের টুকরোতে লিখে রাখতে পারেন এবং এটি আপনার ওয়ালেটে রাখতে পারেন - আপনার পাসওয়ার্ড কার্ডের মতো আচরণ করুন একটি ক্রেডিট কার্ড এবং যদি আপনি নিজের ওয়ালেটটি হারিয়ে ফেলেন তবে কীভাবে সেগুলি বাতিল করতে (পরিবর্তন করুন) তা জানুন।

আপনার কাছে কতগুলি ল্যাপটপ রয়েছে এবং কীভাবে আপনি সেগুলি ব্যাক আপ করবেন তার উপর নির্ভর করে আমি ল্যাপটপের ডেটা সুরক্ষিত রাখার বিষয়ে একটি পরামর্শ অন্তর্ভুক্ত করব। আপনার নেটওয়ার্কে ল্যাপটপে ডেটা ব্যাকআপ / প্রতিলিপি করার মতো কোনও জায়গা যদি আপনার কাছে না থাকে তবে আপনার উচিত এবং যদি আপনার একটি সিস্টেম থাকে তবে আপনার ল্যাপটপ ব্যবহারকারীরা কীভাবে এটি কাজ করে তা নিশ্চিত হওয়া উচিত। ডেটা পূর্ণ একটি হারিয়ে যাওয়া বা চুরি হওয়া ল্যাপটপটি হ'ল - খুব কমপক্ষে - গাধাটির ব্যথা।

দুর্বল এবং শক্তিশালী পাসওয়ার্ড কী তা নির্ধারণ করুন এবং তাদের শক্তিশালী পাসওয়ার্ডগুলি স্মরণ করার এবং স্মরণ করার কয়েকটি ভাল উপায় দিন।

আপনার দ্বিতীয় দফায় মনে হচ্ছে যে ব্যবহারকারীরা তাদের কম্পিউটারে সফ্টওয়্যার ইনস্টল করার অনুমতি পেয়েছেন। আমি বলব এটি বেশিরভাগ ক্ষেত্রেই সমস্যা। তবে তাদের যদি সফ্টওয়্যার ইনস্টল করার অনুমতি দেওয়া হয় তবে এটি কভার করার ভাল পয়েন্ট।

আপনার কাছে সামাজিক ইঞ্জিনিয়ারিংয়ের উদাহরণ রয়েছে তা নিশ্চিত করুন। এটি তাদের কী কী সন্ধান করতে হয় তা জানতে এবং তাদেরকে আরও ভীতিহীন হতে কিছুটা ভয় দেখায় helps আমি লোকদের অফিসের ঠিক বাইরের রাস্তায় কোনও ইউএসবি থাম্ব ড্রাইভ পাওয়া গেলে তারা কী করবে সে সম্পর্কে ভাবতে বলি। বেশিরভাগ সৎ লোকেরা এটি বাছাই করে তা তাদের কম্পিউটারে প্লাগ করে দেখত যে ড্রাইভে থাকা কোনও ব্যক্তি মালিক কে তা সনাক্ত করতে পারে কিনা। বেশিরভাগ অসাধু লোকেরা একই কাজ করবে ... তবে সম্ভবত এটি ব্যবহার করার জন্য এটি মুছে ফেলার আগে এটিতে কোনও ভাল আছে কিনা তা দেখতে কেবল। হয় অটোরুন, দূষিত পিডিএফ ইত্যাদির মাধ্যমে, আপনার পছন্দের সংস্থার অভ্যন্তরে কম্পিউটারের মালিকানা পাওয়ার, কী-স্ট্রোক লগার ইত্যাদি ইনস্টল করার খুব সহজ উপায়

কি সম্পর্কে

• আপনার ওএস এবং অ্যাপ্লিকেশনগুলিকে সম্পূর্ণ আপডেট রাখুন। এটিতে বড় সংস্করণগুলিও অন্তর্ভুক্ত থাকে, কমপক্ষে একবার কোনও বড় সংস্করণে পরিপক্ক হতে কয়েকমাস হয়ে যায়। একটি সম্পূর্ণ প্যাচযুক্ত এক্সপি এসপি 3 একটি সম্পূর্ণ প্যাচযুক্ত আইআই 6 চালানো এখনও উইন্ডোজ 7 চলমান আই 88 (বা আরও ভাল, ক্রোম) এর চেয়ে অনেক কম সুরক্ষিত।
• জনপ্রিয় ওএস এবং অ্যাপ্লিকেশনগুলি এড়িয়ে চলুন - সেগুলি শোষণের সম্ভাবনা বেশি। আপনি যদি কী কী মাইক্রোসফ্ট (উইন্ডোজ, আইই, আউটলুক, অফিস, ডাব্লুএমপি), অ্যাপল (আইটিউনস, কুইকটাইম) এবং অ্যাডোব (ফ্ল্যাশ, পিডিএফ রিডার) পণ্যগুলি এড়াতে পারেন তবে আপনার বিশাল সংখ্যক দ্বারা আপোস হওয়ার সম্ভাবনা কম হবে be সক্রিয় শোষণ সেখানে।
• আপনার অ্যান্টিভাইরাস (অ্যান্টি-ম্যালওয়্যার স্যুট) আপ টু ডেট এবং নিয়মিত স্ক্যান করে রাখুন।
• আপনার ব্যক্তিগত ফায়ারওয়ালটি আপ টু ডেট এবং চলমান রাখুন।
• সুরক্ষিত ইমেল প্রোটোকল ব্যবহার করুন (যেমন আপনার পিওপি / আইএমএপি / এসএমটিপি এসএসএল সুরক্ষিত রয়েছে তা নিশ্চিত করুন)।
• উইন্ডোজ ফাইল শেয়ারিং (এসএমবি) বা এসএসডিডি সক্ষম করবেন না (এগুলি দুটি সবচেয়ে আক্রমণাত্মক পোর্ট)।
• আপনার বাড়ির Wi-Fi নেটওয়ার্কে WPA2 এনক্রিপশন সক্ষম করুন।
• এমনকি অবিশ্বস্ত ওয়েবসাইটগুলিতেও যান না।

আপনার খুব ভাল শুরু হয়েছে, তবে অন্যরা যেমন উল্লেখ করেছে যে ব্যবহারকারীরা সফ্টওয়্যার ইনস্টল করতে পারলে আপনি কোনও অসুবিধায় শুরু করছেন। আমি ডাউনলোড.কম ব্যবহার করার পরামর্শ দেব না; পরিবর্তে, ব্যবহারকারীদের এটির জন্য এমন একটি প্রোগ্রামের জন্য আইটি জিজ্ঞাসা করা উচিত যা তাদের নিজের অনুসন্ধানের চেয়ে তাদের সমস্যা সমাধান করে (বেশিরভাগ বিকাশকারী বা মোটামুটি জ্ঞান না থাকলে)। প্রশাসনিক অধিকারগুলি অপসারণ করা এই সমস্যার সমাধান করে।

সংযোজন:

1. বেশিরভাগ সাইটের জন্য আলাদা আলাদা পাসওয়ার্ড ব্যবহার করুন এবং সেগুলির খোঁজ রাখতে কোনও ধরণের পাসওয়ার্ড নিরাপদ ব্যবহার করুন (কেপাস, পিডাব্লুএফ, ইত্যাদি)। মিডিয়াডিফেন্ডারের ইমেলটি কীভাবে হ্যাক হয়ে গেল তা ব্যবহার করুন এবং ব্যবহারকারীদের জিজ্ঞাসা করুন কী কী পদক্ষেপের ফলে অনুপ্রবেশ আটকাতে পারে। কখনও আপনার কাজের ডোমেন পাসওয়ার্ড অন্য কোথাও ব্যবহার করবেন না এবং অবিশ্বস্ত সিস্টেমের মাধ্যমে কোম্পানির মেল / ট্র্যাফিক ফরোয়ার্ড করবেন না।
2. শালীন জটিল পাসওয়ার্ড চয়ন করুন। নমুনা পাসওয়ার্ড হ্যাশে জন দি রিপার ব্যবহার করে একটি লাইভ ক্র্যাক করুন (লোকেরা যদি বেশি খারাপ আচরণ না করেন তবে প্রথমে সংস্থার কাছ থেকে রাইটিংয়ে ক্র্যাকিংয়ের সরঞ্জাম ব্যবহারের অনুমতি পাওয়ার বিষয়টি নিশ্চিত করুন)। ব্যবহারকারীদের দেখানো হচ্ছে যে 'PRISCILLA1' <2 সেকেন্ডের মধ্যে ক্র্যাক হয়েছে তা চোখের খোলার is লসী পাসওয়ার্ড যাতে না .ুকেন তা নিশ্চিত করতে আমরা এখানে অ্যানিসিসের পাসওয়ার্ড নীতি প্রয়োগকারী ব্যবহার করি।
3. আইটি আপনাকে সরবরাহ না করে এমন কোনও কিছু প্লাগ করবেন না। একটি কীলগার ইউএসবি স্টিক বা একটি ট্রোজানকে স্ব-চালিত করে প্লাগ ইন করে চিত্রটি বর্ণনা করুন (অটোরুনটি অক্ষম করা উচিত, তবে এটি অন্য গল্প)।
4. ধরুন যে সমস্ত নেটওয়ার্কের সমস্ত ট্র্যাফিক এমআইটিএম আক্রমণগুলি রোধ করতে এনক্রিপ্ট করা থাকলেও উভয় প্রান্তে ট্র্যাক এবং লগ করা হয়েছে। উইকিস্ক্যানার আইপি ঠিকানাগুলি আঙ্গুলের জন্য যারা "বেনামে" সম্পাদনা করেছিলেন তা ব্যবহার করার একটি ভাল উদাহরণ।