1.4 提高对非传统信息安全的重视
以社会工程学为代表的非传统信息安全是“9 · 11”事件之后在信息安全领域凸显出来的一大威胁。进入21世纪以来,信息安全专家越来越意识到了“非传统信息安全”延伸的重要性,主张突破传统信息安全在观念上的指导性被动,转而主动地分析人的心理弱点,同时改进技术体系和管理体制存在的不足,从根本上改变信息安全的被动局面。
1.4.1 不一样的非传统信息安全
传统的信息安全,是传统意义上的国家安全的一部分,宗旨是“头痛医头、脚痛医脚”。根据美国国防部牵头定义的“深度防御基本原理”,传统的信息安全是“人员依靠技术进行操作”,该理论可应用于任何机构的信息系统或网络中。
社会工程学是传统信息安全向非传统信息安全转变的一个桥梁。社会工程学较之其他黑客攻击复杂,即使自认为最警惕、最小心的人,一样会受到高明的社会工程学手段的损害。
下面介绍一下传统信息安全和非传统信息安全的区别,便于读者理解,如表1-4-1所示。
表1-4-1 传统信息安全和非传统信息安全的区别
信息安全技术在飞速发展,传统信息安全与非传统信息安全不仅相互依存、相互交织、相互渗透、相互牵制,且在一定条件下相互转化,面对非传统信息安全威胁不断上升的趋势,我们应当从国家安全战略的高度正视非传统信息安全带来的问题,把应对非传统信息安全纳入国家安全战略范畴。在应对非传统信息安全的过程中,我们一定要把“人”作为一个重要的环节,重要的因素予以考虑,养成信息安全习惯,把握信息安全的每个环节,建成“人机合一的大信息安全系统”。
使用非传统信息安全攻击手段的攻击者,通常都要创造一个完美的心理环境。为了对付这样的攻击,可以反其道而行之。
1.加强心理防范
黑客利用的是人性中的好奇、虚荣心、怕承担责任等弱点。因此我们应勇于承担责任,即使中招也不害怕,向机构及时说明情况,把黑客拒之门外。
2.认清友谊与责任
社会生活中经常出现经济担保中的责任连带,使得有人在“为朋友两肋插刀”的信条中担起了沉重的负担,交了昂贵的学费。利用社会工程学知识的人同样也是利用了朋友之间的友谊,一旦友谊关系建立起来,就意味着两者之间建立了一定的信任基础。因此,一名黑客可能会从公司的员工入手,只需花点时间和小恩小惠,就能建立友谊,这为今后从朋友的口中获取公司的网络账号或密码打下了基础。我们的对策是“朋友交流,不谈公事”。
3.定期开展信息安全培训
抵御社会工程学的攻击,目前的信息安全早已达到日新月异,公司员工应通过经常性的培训,让他们了解社会工程学常用的攻击手段,学会防范对策,并让他们了解保密工作的重要性。
4.提高警惕
让公司全体员工都成为信息安全防范专家。建立系统的安全方案、强有力的密码管理措施;规定强口令标准、更换周期;不在电话中谈论工作中的事情;办公桌上不留文件过夜等。
这些措施持之以恒地实施,将使得员工形成习惯,从而大大提高信息安全防护水平。当然,除了以上手段外,传统的信息安全技术和昂贵的信息安全系统是确保信息安全的必不可少的物质基础。这两者有机地结合,将为我们的信息安全提供最大的安全效益。因此,现阶段来说,信息拥有者是社会工程学攻击的主要目标,也是无法忽视的脆弱点,要防止攻击者从信息拥有者身上窃取信息,必须加强对他们进行安全培训。
1.4.2 从个人角度重视非传统信息安全
非传统信息安全主要体现在利用社会工程学进行攻击,而社会工程学攻击中核心的东西就是信息,尤其是个人信息。黑客无论出于什么目的,若要使用社会工程学,就必须先要了解目标对象的相关信息。对于个人用户来说,要保护个人信息不被窃取,需要避免我们在无意识的状态下,主动泄露自己的信息。
1.了解一些社会工程学的手法
俗话说“知己知彼,百战不殆”,如果你不想被人坑蒙拐骗,那就得多了解一些坑蒙拐骗的招数,这有助于了解各种新出现的社会工程学的手法。
2.时刻提高警惕
利用社会工程学进行攻击的手段千变万化,如我们收到的邮件,发件人地址是很容易伪造的;公司座机上看到的来电显示,也可以被伪造;收到的手机短信,发短信的号码也可以伪造。所以,要时刻提高警惕,保持一颗怀疑的心,不要轻易相信所看到的。
3.保持理性的态度
很多黑客在利用社会工程学进行攻击时,采用的手法不外乎都是利用人感性的弱点,然后施加影响。所以,我们应尽量保持理性的思维,特别是在和陌生人沟通时,这样有助于减小上当受骗的概率。
4.保护私人信息
在网络普及的今天,很多论坛、博客、电子信箱等都包含了个人大量私人信息,这些信息中对社会工程学攻击有用的信息主要有生日、年龄、E-mail邮件地址、手机号码、家庭电话号码等,入侵者根据这些信息再次进行信息挖掘,将提高入侵成功的概率。因此,在提供注册的地方尽量不使用真实的信息,如果需要提供真实信息的,需要查看这些网站是否提供了对个人隐私信息的保护,是否采取了一些安全措施。
5.不要随手丢弃生活垃圾
看来毫无用处的生活垃圾中可能包含有账单、发票、取款机凭条等内容,在丢弃时没有完全销毁它们,而是随意丢在垃圾桶中。这样,如果被有心的黑客利用,就会造成个人信息的泄露。
1.4.3 从企业角度重视非传统信息安全
对于一个企业来说,信息攻击者可以冒充允许进入该区域的维护人员或勤务人员,进入一个防范疏忽的区域盗取密码、可以用在其他地方对企业的网络进行攻击的资料。俗话说“道高一尺,魔高一丈”,面对社会工程学带来的非传统信息安全的挑战,企业必须适应新的防御方法。下面介绍一些常见的入侵伎俩和防范策略,如表1-4-2所示。
表1-4-2 常见的入侵伎俩和防范策略
总体来说,针对社会工程学攻击,企业或单位还应主动采取一些积极的措施进行防范。这里将防范措施归纳为两大类,即网络安全培训和安全审核。
1. 网络安全培训
社会工程学主要是利用人的弱点来进行各种攻击的。所以说,“人”是在整个网络安全体系中最薄弱的一个环节。为了保证企业免遭损失,要对员工进行一些网络安全培训,让他们知道这些方法是如何运用和得逞的,学会辨认社会工程学攻击,在这方面要注意培养和训练企业和员工的几种能力,包括辨别判断能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等。
(1)网络安全意识的培训
在进行安全培训时要注重社会工程学攻击以及反社会工程学攻击防范的培训,无论是老员工还是新员工都要进行网络安全意识的培训,培养员工的保密意识,增强其责任感。在进行培训时,结合一些身边的案例进行培训,如QQ账号的盗取等,让普通员工意识到一些简单社会工程学攻击不但会给自己造成损失,而且还会影响到公司利益。
(2)网络安全技术的培训
虽然目前的网络入侵者很多,但对于有着安全防范意识的个人或者公司网络来说,入侵成功的概率很小。因此对员工要进行一些简单有效的网络安全技术培训,降低网络安全风险。网络安全技术培训主要从系统漏洞补丁、应用程序漏洞补丁、杀毒软件、防火墙、运行可执行应用程序等方面入手,让员工主动进行网络安全的防御。
2. 安全审核
加强企业内部安全管理,尽可能把系统管理工作职责进行分离,合理分配每个系统管理员所拥有的权力,避免权限过分集中。为防止外部人员混入内部,员工应佩戴胸卡标示,设置门禁和视频监控系统;严格按照办公垃圾和设备维修报废处理程序;杜绝为贪图方便,将密码随意粘贴在记事本中或通过QQ等方式进行系统维护工作的日常联系等。
(1)身份认证
认证是一个信息安全的常用术语。通俗地讲,认证就是解决某人到底是谁。由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。例如,碰到公司内不认识的人找你索要敏感资料,你可以把电话打回去进行确认(最好是打回公司内部的座机)。而对于公司网络进出口的身份审核,一定要认真仔细,层层把关,只有在真正的核实身份之后并进行相关登记后才能给予放行。在某些重要安全部门,还应根据实际情况需要,采取指纹识别、视网膜识别等方式进行身份核定,以确保网络的安全运行。
(2)审核安全列表
定期对公司的个人计算机进行安全检查,这些安全检查主要包括计算机的物理安全检查和计算机操作系统安全检查。计算机物理安全是指计算机所处的周围环境或计算机设备能够确保计算机信息不被窃取或泄露。
(3)审核操作流程
要求在操作流程的各个环节进行认真的审查,杜绝违反操作规程的行为。一般情况下,遵守操作流程规范,进行安全操作,能够确保信息安全;但是如果个别人员违规操作就有可能泄露敏感信息,危害网络安全。
(4)建立完善的安全响应应对措施
应当建立完善的安全响应措施,当员工受到了社会工程学的攻击或其他攻击,或者怀疑受到了社会工程学和反社会工程学的攻击,应当及时报告,相关人员按照安全响应应对措施进行相应的处理,降低安全风险。