信息安全知識(shí)與培訓(xùn)

1、第十五章第十五章信息安全知識(shí)與培訓(xùn)信息安全知識(shí)與培訓(xùn)一個(gè)社會(huì)工程師已經(jīng)關(guān)注你的新產(chǎn)品發(fā)布計(jì)劃兩個(gè)月了。有什么能阻止他？你的防火墻？不行。強(qiáng)大的驗(yàn)證設(shè)施？不行。入侵檢測系統(tǒng)？不行。加密？不行。限制調(diào)制解調(diào)器的訪問？不行。編碼服務(wù)器名稱，使入侵者無法確定產(chǎn)品計(jì)劃所在的服務(wù)器？不行。事實(shí)上，沒有任何技術(shù)能防范社會(huì)工程學(xué)攻擊。安全技術(shù)、培訓(xùn)和程序安全技術(shù)、培訓(xùn)和程序許多公司在他們的安全滲透測試報(bào)告中說，他們對(duì)客戶公司計(jì)算機(jī)系統(tǒng)實(shí)施的社會(huì)工程學(xué)攻

2、擊幾乎可以百分之百成功。使用安全技術(shù)的確可以讓這些攻擊更難實(shí)施，但唯一真正有效的辦法是，將安全技術(shù)和安全策略結(jié)合起來，規(guī)范員工行為并適當(dāng)?shù)剡M(jìn)行培訓(xùn)。只有一種方法能讓你的產(chǎn)品計(jì)劃安全，那就是接受過安全培訓(xùn)的負(fù)責(zé)任的員工。這不僅涉及到安全策略和安全程序的培訓(xùn)，還包括了安全知識(shí)的培訓(xùn)。一些權(quán)威人士建議把公司40%的安全預(yù)算用在安全知識(shí)的培訓(xùn)上。第一步是讓企業(yè)的每一個(gè)人都認(rèn)識(shí)到那些能操縱他們心理的人的存在，員工們必須了解信息需要哪些保護(hù)與如何保

3、護(hù)。當(dāng)人們了解了操縱的細(xì)節(jié)時(shí)，他們便能在攻擊初期更好地處理。安全培訓(xùn)也意味著讓企業(yè)的所有員工了解公司的安全策略與程序，就像在第17章所討論的那樣，策略是指導(dǎo)員工行為保護(hù)企業(yè)信息系統(tǒng)與敏感信息所必須的規(guī)則。本章和下一章提供了一張把你從可怕的攻擊中解救出來的安全藍(lán)圖。如果你沒有培訓(xùn)并警告員工遵循謹(jǐn)慎考慮過的程序，這也許沒什么大不了的，在你被社會(huì)工程師竊取貴重信息之前。不要等到攻擊發(fā)生才制定這些策略：這對(duì)你的事業(yè)和你的員工福利將是毀滅性的。了

4、解攻擊者是怎樣利用人的天性的了解攻擊者是怎樣利用人的天性的為了制定一套成功的培訓(xùn)程序，首先你必須了解為什么人們?nèi)菀自馐芄簦谀愕呐嘤?xùn)中識(shí)別這些傾向——比如，通過角色扮演討論引起他們的注意——你能幫助你的員工了解為什么我們都能被社會(huì)工程師輕易地操縱。社會(huì)科學(xué)家對(duì)心理操縱的研究至少已經(jīng)有50年了，羅伯特?B?西奧迪尼（RobertBCialdini）在科學(xué)美國人（2001年2月）雜志中總結(jié)了這些研究，介紹了6種“人類天性基本傾向”。這6種

5、傾向正是社會(huì)工程師在他們的攻擊嘗試中所依賴的（有意識(shí)的或者無意識(shí)的）。權(quán)威權(quán)威當(dāng)請(qǐng)求來自權(quán)威人士時(shí)，人們有一種順從的傾向。就像本書其它地方所討論的那樣，如果人們相信請(qǐng)求者是權(quán)威人士或有權(quán)進(jìn)行這樣的請(qǐng)求的人，他（或她）便會(huì)毫不懷疑地執(zhí)行請(qǐng)求。在西奧迪尼博士寫的一篇論文中，一個(gè)聲稱是醫(yī)院醫(yī)師的人打電話給三家中西部醫(yī)院的22個(gè)獨(dú)立護(hù)士站要求她們?yōu)椴》康囊粋€(gè)病人送去處方藥，收到這些命令的護(hù)士們根本不認(rèn)識(shí)呼叫者，她們甚至不知道他是否真的是醫(yī)師（他

6、不是），她們是從電話里收到處方藥當(dāng)人們相信物品供應(yīng)不足并且有其他競爭者（或者只在短時(shí)間內(nèi)有效）時(shí)，便會(huì)傾向于順應(yīng)請(qǐng)求。攻擊舉例：攻擊者發(fā)送了一封email聲稱在公司的新網(wǎng)站上注冊(cè)的前500個(gè)人將贏得一部熱門電影的電影票。當(dāng)一名毫不懷疑的員工在該網(wǎng)站上注冊(cè)時(shí)，他會(huì)要求提供他的公司email地址并選擇一個(gè)密碼。有很多人為了方便，總是傾向于在他們使用的每一個(gè)計(jì)算機(jī)系統(tǒng)上使用相同或相似的密碼，利用這一點(diǎn)，攻擊者便能使用此用戶名和密碼（在網(wǎng)站注冊(cè)

7、過程中填寫的）攻擊目標(biāo)的工作或家庭計(jì)算機(jī)系統(tǒng)。創(chuàng)建培訓(xùn)程序創(chuàng)建培訓(xùn)程序發(fā)行一本安全策略手冊(cè)或者讓員工關(guān)注企業(yè)內(nèi)網(wǎng)上的安全策略資料，這些都不會(huì)單獨(dú)減少你面對(duì)的威脅。每一家商業(yè)公司都必須寫下這些策略詳細(xì)地制定規(guī)則，而且必須對(duì)涉及企業(yè)信息或計(jì)算機(jī)系統(tǒng)的每一個(gè)人進(jìn)行額外的引導(dǎo)，讓他們學(xué)習(xí)并遵循這些規(guī)則。此外，你還必須確保他們理解了每一條策略的制定原因，這樣他們才不會(huì)為了方便而繞過這些規(guī)則。另外，員工的借口永遠(yuǎn)都是“不了解”，而這正是社會(huì)工程師所

8、利用的弱點(diǎn)。任何安全識(shí)別程序的首要目標(biāo)都是影響人們改變他們的行為和態(tài)度，鼓勵(lì)員工參與到企業(yè)信息資產(chǎn)的保護(hù)中來。在這種情況下的一種很好的激勵(lì)方式是向員工解釋他們的行為不僅能讓公司受益，對(duì)他們個(gè)人也很有好處。如果公司對(duì)每一位員工都保留了一些隱私信息，那么當(dāng)員工們盡職保護(hù)信息或信息系統(tǒng)時(shí)，他們事實(shí)上也保護(hù)了他們自己的信息。安全培訓(xùn)程序需要覆蓋允許訪問敏感信息或企業(yè)計(jì)算機(jī)系統(tǒng)的每一個(gè)人，必須正在實(shí)施，還必須不斷地修訂與更新以應(yīng)對(duì)新的威脅和攻擊，

9、員工們必須看到高級(jí)管理人員完全遵守了程序規(guī)定，承諾必須是真實(shí)的，而不是橡皮蓋章的“我們承諾”備忘錄，并且程序還必須有足夠的資源支持其發(fā)展、通信與測試。目標(biāo)目標(biāo)發(fā)展信息安全知識(shí)與培訓(xùn)程序的基本原則是讓所有員工意識(shí)到他們的公司在任何時(shí)候都有可能遭受攻擊。他們必須認(rèn)識(shí)到每一個(gè)員工都扮演著保護(hù)計(jì)算機(jī)系統(tǒng)或敏感數(shù)據(jù)的重要角色。因?yàn)樾畔踩诤芏喾矫娑忌婕暗搅思夹g(shù)，所以員工會(huì)輕易地認(rèn)為問題已經(jīng)被防火墻或其它安全工具處理了。培訓(xùn)的一個(gè)主要目標(biāo)就是讓每

10、一個(gè)員工認(rèn)識(shí)到他們處在保護(hù)企業(yè)整體安全的最前沿。安全培訓(xùn)必須要有一個(gè)深入的、較大的目標(biāo)，而不是簡單地制定規(guī)則。培訓(xùn)程序設(shè)計(jì)者必須認(rèn)識(shí)員工所面對(duì)的巨大的誘惑，為了完成工作而忽略他們的安全職責(zé)。了解社會(huì)工程學(xué)策略和怎樣防范攻擊非常重要，但這只在培訓(xùn)程序激發(fā)了員工使用這些知識(shí)的情況下才有效。公司可以用一個(gè)類似于會(huì)議基本目標(biāo)的概念來判斷培訓(xùn)程序是否有效：在結(jié)束培訓(xùn)之后，他（或她）是否認(rèn)為信息安全是他（或她）的工作之一。員工們必須認(rèn)識(shí)到來自社會(huì)工

11、程學(xué)的威脅是真實(shí)的，敏感企業(yè)信息的損失會(huì)危及到公司和他們自己的個(gè)人信息。在某種意義上說，忽視信息安全相當(dāng)于泄漏某人的自動(dòng)取款機(jī)PIN碼或者信用卡號(hào)，類似的比喻可以增加員工培養(yǎng)安全習(xí)慣的積極性。建立知識(shí)與培訓(xùn)程序建立知識(shí)與培訓(xùn)程序負(fù)責(zé)設(shè)計(jì)信息安全程序的人必須認(rèn)識(shí)到這不是一個(gè)一刀切的項(xiàng)目，培訓(xùn)程序需要適應(yīng)企業(yè)內(nèi)不同組的特殊需要。在16章描述的許多安全策略都是全體適用的，而很多其它的策略是針對(duì)指定員工組的。大部分公司的培訓(xùn)程序都需要適應(yīng)以下這