信息安全知識與培訓(xùn)

1、第十五章第十五章信息安全知識與培訓(xùn)信息安全知識與培訓(xùn)一個社會工程師已經(jīng)關(guān)注你的新產(chǎn)品發(fā)布計劃兩個月了。有什么能阻止他？你的防火墻？不行。強大的驗證設(shè)施？不行。入侵檢測系統(tǒng)？不行。加密？不行。限制調(diào)制解調(diào)器的訪問？不行。編碼服務(wù)器名稱，使入侵者無法確定產(chǎn)品計劃所在的服務(wù)器？不行。事實上，沒有任何技術(shù)能防范社會工程學(xué)攻擊。安全技術(shù)、培訓(xùn)和程序安全技術(shù)、培訓(xùn)和程序許多公司在他們的安全滲透測試報告中說，他們對客戶公司計算機系統(tǒng)實施的社會工程學(xué)攻

2、擊幾乎可以百分之百成功。使用安全技術(shù)的確可以讓這些攻擊更難實施，但唯一真正有效的辦法是，將安全技術(shù)和安全策略結(jié)合起來，規(guī)范員工行為并適當(dāng)?shù)剡M行培訓(xùn)。只有一種方法能讓你的產(chǎn)品計劃安全，那就是接受過安全培訓(xùn)的負(fù)責(zé)任的員工。這不僅涉及到安全策略和安全程序的培訓(xùn)，還包括了安全知識的培訓(xùn)。一些權(quán)威人士建議把公司40%的安全預(yù)算用在安全知識的培訓(xùn)上。第一步是讓企業(yè)的每一個人都認(rèn)識到那些能操縱他們心理的人的存在，員工們必須了解信息需要哪些保護與如何保

3、護。當(dāng)人們了解了操縱的細(xì)節(jié)時，他們便能在攻擊初期更好地處理。安全培訓(xùn)也意味著讓企業(yè)的所有員工了解公司的安全策略與程序，就像在第17章所討論的那樣，策略是指導(dǎo)員工行為保護企業(yè)信息系統(tǒng)與敏感信息所必須的規(guī)則。本章和下一章提供了一張把你從可怕的攻擊中解救出來的安全藍圖。如果你沒有培訓(xùn)并警告員工遵循謹(jǐn)慎考慮過的程序，這也許沒什么大不了的，在你被社會工程師竊取貴重信息之前。不要等到攻擊發(fā)生才制定這些策略：這對你的事業(yè)和你的員工福利將是毀滅性的。了

4、解攻擊者是怎樣利用人的天性的了解攻擊者是怎樣利用人的天性的為了制定一套成功的培訓(xùn)程序，首先你必須了解為什么人們?nèi)菀自馐芄?，在你的培?xùn)中識別這些傾向——比如，通過角色扮演討論引起他們的注意——你能幫助你的員工了解為什么我們都能被社會工程師輕易地操縱。社會科學(xué)家對心理操縱的研究至少已經(jīng)有50年了，羅伯特?B?西奧迪尼（RobertBCialdini）在科學(xué)美國人（2001年2月）雜志中總結(jié)了這些研究，介紹了6種“人類天性基本傾向”。這6種

5、傾向正是社會工程師在他們的攻擊嘗試中所依賴的（有意識的或者無意識的）。權(quán)威權(quán)威當(dāng)請求來自權(quán)威人士時，人們有一種順從的傾向。就像本書其它地方所討論的那樣，如果人們相信請求者是權(quán)威人士或有權(quán)進行這樣的請求的人，他（或她）便會毫不懷疑地執(zhí)行請求。在西奧迪尼博士寫的一篇論文中，一個聲稱是醫(yī)院醫(yī)師的人打電話給三家中西部醫(yī)院的22個獨立護士站要求她們?yōu)椴》康囊粋€病人送去處方藥，收到這些命令的護士們根本不認(rèn)識呼叫者，她們甚至不知道他是否真的是醫(yī)師（他

6、不是），她們是從電話里收到處方藥當(dāng)人們相信物品供應(yīng)不足并且有其他競爭者（或者只在短時間內(nèi)有效）時，便會傾向于順應(yīng)請求。攻擊舉例：攻擊者發(fā)送了一封email聲稱在公司的新網(wǎng)站上注冊的前500個人將贏得一部熱門電影的電影票。當(dāng)一名毫不懷疑的員工在該網(wǎng)站上注冊時，他會要求提供他的公司email地址并選擇一個密碼。有很多人為了方便，總是傾向于在他們使用的每一個計算機系統(tǒng)上使用相同或相似的密碼，利用這一點，攻擊者便能使用此用戶名和密碼（在網(wǎng)站注冊

7、過程中填寫的）攻擊目標(biāo)的工作或家庭計算機系統(tǒng)。創(chuàng)建培訓(xùn)程序創(chuàng)建培訓(xùn)程序發(fā)行一本安全策略手冊或者讓員工關(guān)注企業(yè)內(nèi)網(wǎng)上的安全策略資料，這些都不會單獨減少你面對的威脅。每一家商業(yè)公司都必須寫下這些策略詳細(xì)地制定規(guī)則，而且必須對涉及企業(yè)信息或計算機系統(tǒng)的每一個人進行額外的引導(dǎo)，讓他們學(xué)習(xí)并遵循這些規(guī)則。此外，你還必須確保他們理解了每一條策略的制定原因，這樣他們才不會為了方便而繞過這些規(guī)則。另外，員工的借口永遠(yuǎn)都是“不了解”，而這正是社會工程師所

8、利用的弱點。任何安全識別程序的首要目標(biāo)都是影響人們改變他們的行為和態(tài)度，鼓勵員工參與到企業(yè)信息資產(chǎn)的保護中來。在這種情況下的一種很好的激勵方式是向員工解釋他們的行為不僅能讓公司受益，對他們個人也很有好處。如果公司對每一位員工都保留了一些隱私信息，那么當(dāng)員工們盡職保護信息或信息系統(tǒng)時，他們事實上也保護了他們自己的信息。安全培訓(xùn)程序需要覆蓋允許訪問敏感信息或企業(yè)計算機系統(tǒng)的每一個人，必須正在實施，還必須不斷地修訂與更新以應(yīng)對新的威脅和攻擊，

9、員工們必須看到高級管理人員完全遵守了程序規(guī)定，承諾必須是真實的，而不是橡皮蓋章的“我們承諾”備忘錄，并且程序還必須有足夠的資源支持其發(fā)展、通信與測試。目標(biāo)目標(biāo)發(fā)展信息安全知識與培訓(xùn)程序的基本原則是讓所有員工意識到他們的公司在任何時候都有可能遭受攻擊。他們必須認(rèn)識到每一個員工都扮演著保護計算機系統(tǒng)或敏感數(shù)據(jù)的重要角色。因為信息安全在很多方面都涉及到了技術(shù)，所以員工會輕易地認(rèn)為問題已經(jīng)被防火墻或其它安全工具處理了。培訓(xùn)的一個主要目標(biāo)就是讓每

10、一個員工認(rèn)識到他們處在保護企業(yè)整體安全的最前沿。安全培訓(xùn)必須要有一個深入的、較大的目標(biāo)，而不是簡單地制定規(guī)則。培訓(xùn)程序設(shè)計者必須認(rèn)識員工所面對的巨大的誘惑，為了完成工作而忽略他們的安全職責(zé)。了解社會工程學(xué)策略和怎樣防范攻擊非常重要，但這只在培訓(xùn)程序激發(fā)了員工使用這些知識的情況下才有效。公司可以用一個類似于會議基本目標(biāo)的概念來判斷培訓(xùn)程序是否有效：在結(jié)束培訓(xùn)之后，他（或她）是否認(rèn)為信息安全是他（或她）的工作之一。員工們必須認(rèn)識到來自社會工

11、程學(xué)的威脅是真實的，敏感企業(yè)信息的損失會危及到公司和他們自己的個人信息。在某種意義上說，忽視信息安全相當(dāng)于泄漏某人的自動取款機PIN碼或者信用卡號，類似的比喻可以增加員工培養(yǎng)安全習(xí)慣的積極性。建立知識與培訓(xùn)程序建立知識與培訓(xùn)程序負(fù)責(zé)設(shè)計信息安全程序的人必須認(rèn)識到這不是一個一刀切的項目，培訓(xùn)程序需要適應(yīng)企業(yè)內(nèi)不同組的特殊需要。在16章描述的許多安全策略都是全體適用的，而很多其它的策略是針對指定員工組的。大部分公司的培訓(xùn)程序都需要適應(yīng)以下這