2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩6頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、第十五章第十五章信息安全知識與培訓信息安全知識與培訓一個社會工程師已經(jīng)關(guān)注你的新產(chǎn)品發(fā)布計劃兩個月了。有什么能阻止他?你的防火墻?不行。強大的驗證設施?不行。入侵檢測系統(tǒng)?不行。加密?不行。限制調(diào)制解調(diào)器的訪問?不行。編碼服務器名稱,使入侵者無法確定產(chǎn)品計劃所在的服務器?不行。事實上,沒有任何技術(shù)能防范社會工程學攻擊。安全技術(shù)、培訓和程序安全技術(shù)、培訓和程序許多公司在他們的安全滲透測試報告中說,他們對客戶公司計算機系統(tǒng)實施的社會工程學攻

2、擊幾乎可以百分之百成功。使用安全技術(shù)的確可以讓這些攻擊更難實施,但唯一真正有效的辦法是,將安全技術(shù)和安全策略結(jié)合起來,規(guī)范員工行為并適當?shù)剡M行培訓。只有一種方法能讓你的產(chǎn)品計劃安全,那就是接受過安全培訓的負責任的員工。這不僅涉及到安全策略和安全程序的培訓,還包括了安全知識的培訓。一些權(quán)威人士建議把公司40%的安全預算用在安全知識的培訓上。第一步是讓企業(yè)的每一個人都認識到那些能操縱他們心理的人的存在,員工們必須了解信息需要哪些保護與如何保

3、護。當人們了解了操縱的細節(jié)時,他們便能在攻擊初期更好地處理。安全培訓也意味著讓企業(yè)的所有員工了解公司的安全策略與程序,就像在第17章所討論的那樣,策略是指導員工行為保護企業(yè)信息系統(tǒng)與敏感信息所必須的規(guī)則。本章和下一章提供了一張把你從可怕的攻擊中解救出來的安全藍圖。如果你沒有培訓并警告員工遵循謹慎考慮過的程序,這也許沒什么大不了的,在你被社會工程師竊取貴重信息之前。不要等到攻擊發(fā)生才制定這些策略:這對你的事業(yè)和你的員工福利將是毀滅性的。了

4、解攻擊者是怎樣利用人的天性的了解攻擊者是怎樣利用人的天性的為了制定一套成功的培訓程序,首先你必須了解為什么人們?nèi)菀自馐芄簦谀愕呐嘤栔凶R別這些傾向——比如,通過角色扮演討論引起他們的注意——你能幫助你的員工了解為什么我們都能被社會工程師輕易地操縱。社會科學家對心理操縱的研究至少已經(jīng)有50年了,羅伯特?B?西奧迪尼(RobertBCialdini)在科學美國人(2001年2月)雜志中總結(jié)了這些研究,介紹了6種“人類天性基本傾向”。這6種

5、傾向正是社會工程師在他們的攻擊嘗試中所依賴的(有意識的或者無意識的)。權(quán)威權(quán)威當請求來自權(quán)威人士時,人們有一種順從的傾向。就像本書其它地方所討論的那樣,如果人們相信請求者是權(quán)威人士或有權(quán)進行這樣的請求的人,他(或她)便會毫不懷疑地執(zhí)行請求。在西奧迪尼博士寫的一篇論文中,一個聲稱是醫(yī)院醫(yī)師的人打電話給三家中西部醫(yī)院的22個獨立護士站要求她們?yōu)椴》康囊粋€病人送去處方藥,收到這些命令的護士們根本不認識呼叫者,她們甚至不知道他是否真的是醫(yī)師(他

6、不是),她們是從電話里收到處方藥當人們相信物品供應不足并且有其他競爭者(或者只在短時間內(nèi)有效)時,便會傾向于順應請求。攻擊舉例:攻擊者發(fā)送了一封email聲稱在公司的新網(wǎng)站上注冊的前500個人將贏得一部熱門電影的電影票。當一名毫不懷疑的員工在該網(wǎng)站上注冊時,他會要求提供他的公司email地址并選擇一個密碼。有很多人為了方便,總是傾向于在他們使用的每一個計算機系統(tǒng)上使用相同或相似的密碼,利用這一點,攻擊者便能使用此用戶名和密碼(在網(wǎng)站注冊

7、過程中填寫的)攻擊目標的工作或家庭計算機系統(tǒng)。創(chuàng)建培訓程序創(chuàng)建培訓程序發(fā)行一本安全策略手冊或者讓員工關(guān)注企業(yè)內(nèi)網(wǎng)上的安全策略資料,這些都不會單獨減少你面對的威脅。每一家商業(yè)公司都必須寫下這些策略詳細地制定規(guī)則,而且必須對涉及企業(yè)信息或計算機系統(tǒng)的每一個人進行額外的引導,讓他們學習并遵循這些規(guī)則。此外,你還必須確保他們理解了每一條策略的制定原因,這樣他們才不會為了方便而繞過這些規(guī)則。另外,員工的借口永遠都是“不了解”,而這正是社會工程師所

8、利用的弱點。任何安全識別程序的首要目標都是影響人們改變他們的行為和態(tài)度,鼓勵員工參與到企業(yè)信息資產(chǎn)的保護中來。在這種情況下的一種很好的激勵方式是向員工解釋他們的行為不僅能讓公司受益,對他們個人也很有好處。如果公司對每一位員工都保留了一些隱私信息,那么當員工們盡職保護信息或信息系統(tǒng)時,他們事實上也保護了他們自己的信息。安全培訓程序需要覆蓋允許訪問敏感信息或企業(yè)計算機系統(tǒng)的每一個人,必須正在實施,還必須不斷地修訂與更新以應對新的威脅和攻擊,

9、員工們必須看到高級管理人員完全遵守了程序規(guī)定,承諾必須是真實的,而不是橡皮蓋章的“我們承諾”備忘錄,并且程序還必須有足夠的資源支持其發(fā)展、通信與測試。目標目標發(fā)展信息安全知識與培訓程序的基本原則是讓所有員工意識到他們的公司在任何時候都有可能遭受攻擊。他們必須認識到每一個員工都扮演著保護計算機系統(tǒng)或敏感數(shù)據(jù)的重要角色。因為信息安全在很多方面都涉及到了技術(shù),所以員工會輕易地認為問題已經(jīng)被防火墻或其它安全工具處理了。培訓的一個主要目標就是讓每

10、一個員工認識到他們處在保護企業(yè)整體安全的最前沿。安全培訓必須要有一個深入的、較大的目標,而不是簡單地制定規(guī)則。培訓程序設計者必須認識員工所面對的巨大的誘惑,為了完成工作而忽略他們的安全職責。了解社會工程學策略和怎樣防范攻擊非常重要,但這只在培訓程序激發(fā)了員工使用這些知識的情況下才有效。公司可以用一個類似于會議基本目標的概念來判斷培訓程序是否有效:在結(jié)束培訓之后,他(或她)是否認為信息安全是他(或她)的工作之一。員工們必須認識到來自社會工

11、程學的威脅是真實的,敏感企業(yè)信息的損失會危及到公司和他們自己的個人信息。在某種意義上說,忽視信息安全相當于泄漏某人的自動取款機PIN碼或者信用卡號,類似的比喻可以增加員工培養(yǎng)安全習慣的積極性。建立知識與培訓程序建立知識與培訓程序負責設計信息安全程序的人必須認識到這不是一個一刀切的項目,培訓程序需要適應企業(yè)內(nèi)不同組的特殊需要。在16章描述的許多安全策略都是全體適用的,而很多其它的策略是針對指定員工組的。大部分公司的培訓程序都需要適應以下這

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論