尽管近年来数据泄露和黑客攻击事件频发，但让高级管理人员认真对待计算机安全对于很多组织来说是一个难题。

英国政府的计算机安全机构国家网络安全中心(NCSC)日前列出了五个有关计算机安全的问题清单，旨在启动组织高管与计算机安全团队之间的“建设性”讨论。

NCSC表示，组织中三分之二的董事会成员没有接受任何培训以应对网络事件，10%的董事会成员没有制定应对措施的计划。这些对话的启动者旨在弥合不了解安全问题的高管与难以发表意见的IT部门之间的差距。董事会成员需要以理解财务风险或健康与安全风险的方式理解网络风险。

NCSC首席执行官Ciaran Martin说：“在网络安全方面没有愚蠢的问题。而在没有了解问题的情况下放弃或逃避是一种愚蠢的行为，因为这意味着不知道如何处理这一核心业务风险。”

NCSC对董事会成员应该从计算机安全团队期望的回复提出了一些建议，并列出了以下五个问题：

(1)如何保护我们的组织免受网络钓鱼攻击?

网络钓鱼向组织的员工发送虚假消息，这仍然是黑客试图访问组织的计算机系统最常见方式之一。网络攻击者可能希望员工点击电子邮件中的链接，在他们的计算机上安装恶意软件，或者点击链接将他们引导到提供敏感信息的虚假网站(例如银行帐号等详细信息)。一个常见的骗局是‘CEO-Fraud'，犯罪分子发送网络钓鱼电子邮件，声称是组织内部高级管理人员，要求员工转移资金，然后欺诈者将其据为已有。

虽然此类消息可以通过短信、社交媒体或电话等手段进行传播，但最可能的攻击途径是通过电子邮件。

NCSC表示，更好的答案包括过滤或阻止接收网络钓鱼电子邮件，确保外部电子邮件被标记，阻止攻击者发送欺骗性电子邮件，并让员工接受相关安全培训。

组织还可以通过使用代理服务器来限制网络钓鱼的攻击，该代理服务器可以阻止访问已知的不良网站，确保员工不会浏览网页或浏览具有管理员权限的帐户的电子邮件，并在重要帐户或服务方面使用双因素身份验证(2FA)措施。

(2)我们的组织如何控制特权IT帐户的使用?

NCSC警告说，组织应该严格控制和管理授予提升的系统权限。如果需要具有更高权限的帐户开展业务，则员工应使用标准用户帐户进行日常工作，例如电子邮件和Web浏览。 NCSC表示，在设置员工账户时使用“最低权限”的政策是一个很好的答案，可以最大限度地减少特权账户的使用，并保持人力资源流程与IT之间的紧密联系，以便员工离开时账户不会保持活跃状态。

(3)我们如何确保软件和硬件的更新与升级?

修补软件和硬件升级是一个耗时且繁琐的过程，但跳过补丁程序可能会给组织带来灾难性后果。如果组织的软件补丁时常更新为最新版本，那么大部分WannaCry勒索软件攻击都可以避免。

NCSC表示，对这个问题的良好答案包括制定流程以识别、分类和修复任何漏洞，并通过定期审计来确保遵循补丁政策，就像组织对关键财务政策的要求一样。组织应该对不再受支持的设备和软件制定寿命终止计划，并确保其网络架构最大限度地减少攻击可能造成的危害，例如“零日”攻击利用漏洞能够避开防御措施。NCSC还建议组织使用基于云计算的应用程序，云计算供应商通常能够实施安全更新：“允许云计算提供商提供计算服务，可以让组织将稀缺的安全资源集中在保护其定制应用程序和用户设备上，而这些只有组织自己才能做到。”NCSC指出。

(4)如何确保合作伙伴和供应商保护我们与他们共享的信息?

与供应商或客户的任何连接都可能为组织的系统提供攻击路径，而且这是一个经常被忽视的薄弱点。NCSC表示，组织将应该安全纳入所有协议，所有控制措施都需要检查和审核。组织还应确保尽量减少所暴露的服务数量和交换的信息量。

(5)使用哪些身份验证方法来控制对系统和数据的访问?

采用密码是一种良好的访问控制措施，但不是唯一的，它们需要由其他控件进行补充以保护组织的业务安全。NCSC表示，组织应该鼓励使用合理的密码，并确保更改所有默认密码。为了避免对用户提出不切实际的要求，组织应该只在真正需要的地方强制执行密码访问，NCSC表示，只有在有怀疑存在泄露或攻击的风险时才会强制执行常规的密码更改。

“组织还应该提供安全的存储空间，这样工作人员就可以记下密码，并保证密码安全(但不能保证设备安全)。工作人员有时会忘记密码，因此需要确保他们可以轻松重置自己的密码。”NCSA建议。组织还应考虑在可能的情况下实施双因素身份验证(2FA)。“设置2FA保护重要帐户是最有效的措施，并且应尽可能推广到员工和客户帐户中。”NCSA指出。