社会工程学之非传统信息安全
以社会工程学为代表的非传统信息安全是“9·11”事件之后在信息安全领域凸显出来的一大威胁。进入21世纪以来,信息安全专家越来越意识到“非传统信息安全”延伸的重要性,主张突破传统信息安全在观念上的指导性被动,转而主动地分析人的心理弱点,同时改进技术体系和管理体制存在的不足,从根本上改变信息安全的被动局面。
传统的信息安全,是传统意义上的国家安全的一部分,宗旨是“头痛医头、脚痛医脚”。根据美国国防部牵头定义的“深度防御基本原理”,传统的信息安全是“人员依靠技术进行操作”,该理论可应用于任何机构的信息系统或网络中社会工程学是传统信息安全向非传统信息安全转变的一个桥梁。社会工程学较之其他黑客攻击更复杂,即使自认为最警惕、最小心的人,一样会受到高明的社会工程学手段的损害。下面介绍传统信息安全和非传统信息安全的区别,便于各位理解,如下表所示。
| 技术、威胁的应用 | 实现方式 | |
| 传统信息安全 | 加密技术 | 筑防火墙 |
| 数字签名技术 | ||
| 访问控制技术 | 建立入侵检测系统 | |
| 网络安全技术 | ||
| 数据库技术 | 做好灾难备份 | |
| 密钥管理技术 | ||
| 认证技术 | 杀毒软件包 | |
| 审计技术 | ||
| 非传统信息安全 | 疏忽或认为过失 | 直接潜入工作区 |
| 蓄意、不可抗击行为 | 通过拨入内部电话 | |
| 技术、管理 | 利用各种恶意软件 | |
| 社会工程学 | 陷入互联网陷阱 |
信息安全技术在飞速发展,传统信息安全与非传统信息安全不仅相互依存、相互交织、相互渗透、相互牵制,且在一定条件下相互转化,面对非传统信息安全威胁不断上升的趋势。
| 危险区 | 黑客的伎俩 | 防治策略 |
| 办公室 | 偷取机密文档 | 在文档上标记机密的符号,而且应该对这些文档上锁 |
| 收发室 | 插入伪造的备忘录 | 监视,锁上收发 |
| 机房/电话柜 | 尝试进入,偷走设备,附加协议分析器来夺取机密信息 | 保证电话柜、存放服务器的房间等地方是锁上的,并随时更新设备清单 |
| 电话和专用电话交换机 | 窃取电话费 | 控制海外和长途电话,跟踪电话,拒绝转接 |
| 垃圾箱 | 垃圾搜寻 | 保证所有垃圾都放在受监视的安全区域,对此记录媒体消磁 |
| 企业内部网和互联网 | 在企业内部和互联网上创造、安插间谍软件偷取密码 | 持续关注系统和网络的变化,对密码使用进行培训 |
| 心理 | 模仿和说服 | 持续不断的进行提高员工意识的培训 |
总的来说,针对社会工程学攻击,企业或单位还应主动米取一些积极的措施进行防范。这里将防范措施归纳为两大类,即网络安全培训和安全审核。
- 网络安全培训
社会工程学主要是利用人性的弱点来进行各种攻击的。所以说“人”是在整个网络安全体系中最薄弱的一个环节。为了保证企业免遭损失,要对员工进行一些网络安全培训,让他们知道这些方法是如何运用和得逞的,学会辨认社会工程学攻击,在这方面要注意培养和训练企业员工的几种能力,包括辨别能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等。
- 网络安全意识培训
在进行安全培训时要注重社会工程学攻击以及反社会工程学攻击防范的培训,无论是老员工还是新员工都要进行网络安全意识的培训,培养员工的保密意识,增强其责任感。在进行培训时,结合一些身边的案例进行培训,如QQ账号的盗取等,让普通员工章识到一些简单社会工程学攻击不但会给自己造成损失,而且还会影响到公司利益。
- 网络安全技术培训
虽然目前的网络入侵者很多,但对于有着安全防范意识的个人或老公司网终来说,入侵成功的概率很小。因此对员工要进行一些简单有效的网络安全技术培训,降低网终安全风险。网络安全技术培训主要从系统漏洞补丁、应用程序漏洞补丁、杀毒软件防火墙运行可执行应用程序等方面入手,让员工主动进行网络安全的防御。
- 安全审核
加氢企业内部安全管理,尽可能把系统管理工作职责进行分离,合理分配每个系统管理员所拥有的权力,避免权限过分集中。为防止外部人员混入内部,员工应佩戴胸卡标识,设置门禁和视频监控系统;严格按照办公垃圾和设备维修报废处理程序;杜绝为贪图方便,将密码随意粘贴在记事本中或通过QQ等方式进行系统维护工作的日常联系等。
- 身份认证
认证是一个信息安全的常用术语。通俗地讲,认证就是解决某人到底是谁。由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒看。例如,碰到公司内不认识的人找你索要敏感资料,你可以把电话打回去进行确认(最好是打回公司内部的座机)。而对于公司网络进出口的身份审核,一定要认真仔细,层层把关,只有在真正的核实身份之后并进行相关登记后才能给予放行。在某些重要安全部门,还应根据实际情况需要,采取指纹识别、视网膜识别等方式进行身份核定,以确保网络的安全运行。
- 审核安全列表
定期对公司的个人计算机进行安全检查,这些安全检查主要包括计算机的物理安全检查和计算机操作系统安全检查。计算机物理安全是指计算机所处的周围环境或计算机设备能够确保计算机信息不被窃取或泄露。
- 审核操作流程
要求在操作流程的各个环节进行认真的审查,杜绝违反操作规程的行为。一般情况下,遵守操作流程规范,进行安全操作,能够确保信息安全;但是如果个别人员违规操作就有可能泄露敏感信息,危害网络安全。
- 建立完善的安全响应应对措施
应当建立完善的安全响应措施,当员工受到了社会工程学的攻击或其他攻击,或者怀疑受到了社会工程学和反社会工程学的攻击,应当及时报告,相关人员按照安全响应应对措施进行相应的处理,降低安全风险。
感谢您的来访,获取更多精彩文章请收藏本站。
暂无评论内容