企業(yè)管理層安全防護(hù)技術(shù)精要
原創(chuàng)【51CTO.com 獨(dú)家特稿】企業(yè)網(wǎng)絡(luò)安全已經(jīng)不僅僅是安全技術(shù)層面上的問(wèn)題,管理問(wèn)題也在越來(lái)越凸現(xiàn)其在企業(yè)網(wǎng)絡(luò)安全方面的重要地位。當(dāng)前很多大型企業(yè)的安全問(wèn)題無(wú)不在管理層上有所體現(xiàn),管理安全無(wú)力導(dǎo)致員工沒有安全概念,部署和貫徹安全技術(shù)和安全理念的觀念淡薄,導(dǎo)致出現(xiàn)很多不應(yīng)該出現(xiàn)的"馬其諾防線"。本文將從企業(yè)信息安全標(biāo)準(zhǔn)化和在管理層面抵御"社會(huì)工程"攻擊兩方面來(lái)介紹企業(yè)管理層的安全防護(hù)手段和技術(shù)。
1、企業(yè)信息安全標(biāo)準(zhǔn)化
信息安全評(píng)估是信息安全生命周期中的一個(gè)重要環(huán)節(jié),是對(duì)企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、重要服務(wù)器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應(yīng)用流程等進(jìn)行全面的安全分析,并提出安全風(fēng)險(xiǎn)分析報(bào)告和改進(jìn)建議書。它主要可以發(fā)揮如下三方面的作用:
(1)明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進(jìn)行信息安全評(píng)估后,可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀,從而明晰企業(yè)的安全需求。
(2)確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行信息安全評(píng)估并進(jìn)行風(fēng)險(xiǎn)分級(jí)后,可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn),并讓企業(yè)選擇避免、降低、接受等風(fēng)險(xiǎn)處置措施。
(3)指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。對(duì)企業(yè)進(jìn)行信息安全評(píng)估后,可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案,從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系(如部署防火墻、入侵檢測(cè)與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等)與管理體系(安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等)的建設(shè)。
在當(dāng)今全球一體化的商業(yè)環(huán)境中,信息的重要性被廣泛接受,信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴性,加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì),使得信息安全管理成為企業(yè)管理越來(lái)越關(guān)鍵的一部分。管理高層需要確保信息技術(shù)適應(yīng)企業(yè)戰(zhàn)略,企業(yè)戰(zhàn)略也恰當(dāng)利用信息技術(shù)的優(yōu)勢(shì)。但現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié),安全措施必須滲透到系統(tǒng)的所有地方,其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。因此,不安全因素總是存在。沒有一個(gè)系統(tǒng)是完美的,沒有一項(xiàng)技術(shù)是靈丹妙藥。
網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化工作是國(guó)家信息安全保障體系建設(shè)的重要組成。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)研究與制定為國(guó)家主管部門管理信息安全設(shè)備提供了有效的技術(shù)依據(jù),這對(duì)于保證安全設(shè)備的正常運(yùn)行,并在此基礎(chǔ)上保證我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)管理等領(lǐng)域中網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行安全和信息安全具有非常重要的意義。
國(guó)際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期,80年代有了較快的發(fā)展,90年代引起了世界各國(guó)的普遍關(guān)注。目前世界上有近300個(gè)國(guó)際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則,與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下4個(gè):
◆ISO(國(guó)際標(biāo)準(zhǔn)化組織)。ISO/IEC JTC1(信息技術(shù)標(biāo)準(zhǔn)化委員會(huì))所屬SC27(安全技術(shù)分委員會(huì))的前身是SC20(數(shù)據(jù)加密技術(shù)分委員會(huì)),主要從事信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化工作。而ISO/TC68負(fù)責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定,主要制定行業(yè)應(yīng)用標(biāo)準(zhǔn),與SC27有著密切的聯(lián)系。ISO/IEC JTC1負(fù)責(zé)制定的標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全評(píng)估等方面的內(nèi)容。
◆IEC(國(guó)際電工委員會(huì))。IEC在信息安全標(biāo)準(zhǔn)化方面除了與ISO聯(lián)合成立了JTC1下分委員會(huì)外,還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會(huì)(如TC56可靠性、TC74 IT設(shè)備安全和功效、TC77電磁兼容、TC 108音頻/視頻、信息技術(shù)和通信技術(shù)電子設(shè)備的安全等),并且制定相關(guān)國(guó)際標(biāo)準(zhǔn)(如信息技術(shù)設(shè)備安全I(xiàn)EC60950等)。
◆ITU(國(guó)際電信聯(lián)盟)。ITU SG17組負(fù)責(zé)研究網(wǎng)絡(luò)安全標(biāo)準(zhǔn),包括通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測(cè)定、安全通信服務(wù)。此外SG16和下一代網(wǎng)絡(luò)核心組也在通信安全、H.323網(wǎng)絡(luò)安全、下一代網(wǎng)絡(luò)安全等標(biāo)準(zhǔn)方面進(jìn)行研究。
◆IETF(Internet工程任務(wù)組)等。IETF標(biāo)準(zhǔn)制定的具體工作由各個(gè)工作組承擔(dān)。Internet工程任務(wù)組分成8個(gè)工作組,分別負(fù)責(zé)Internet路由、傳輸、應(yīng)用等8個(gè)領(lǐng)域,其著名的IKE和IPSec都在RFC系列之中,還有電子郵件、網(wǎng)絡(luò)認(rèn)證和密碼及其他安全協(xié)議標(biāo)準(zhǔn)。
◆國(guó)內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)以及中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)。CITS成立于1984年,在國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)和信息產(chǎn)業(yè)部的共同領(lǐng)導(dǎo)下負(fù)責(zé)全國(guó)信息技術(shù)領(lǐng)域以及與ISO/IEC JTC1相對(duì)應(yīng)的標(biāo)準(zhǔn)化工作,目前下設(shè)24個(gè)分技術(shù)委員會(huì)和特別工作組,是國(guó)內(nèi)最大的標(biāo)準(zhǔn)化技術(shù)委員會(huì),也是具有廣泛代表性、權(quán)威性和軍民結(jié)合的信息安全標(biāo)準(zhǔn)化組織。
CITS主要負(fù)責(zé)信息安全的通用框架、方法、技術(shù)和機(jī)制的標(biāo)準(zhǔn)化及歸口國(guó)內(nèi)外對(duì)應(yīng)的標(biāo)準(zhǔn)化工作,其中技術(shù)安全包括開放式安全體系結(jié)構(gòu)、各種安全信息交換的語(yǔ)義規(guī)則、有關(guān)的應(yīng)用程序接口和協(xié)議引用安全功能的接口等。CCSA成立于2002年12月18日,是國(guó)內(nèi)企事業(yè)單位自愿聯(lián)合組織起來(lái)經(jīng)業(yè)務(wù)主管部門批準(zhǔn)的開展通信技術(shù)領(lǐng)域標(biāo)準(zhǔn)化活動(dòng)的組織。CCSA下設(shè)了有線網(wǎng)絡(luò)信息安全、無(wú)線網(wǎng)絡(luò)信息安全、安全管理和安全基礎(chǔ)設(shè)施4個(gè)工作組負(fù)責(zé)研究:有線網(wǎng)絡(luò)中電話網(wǎng)、互聯(lián)網(wǎng)、傳輸網(wǎng)、接入網(wǎng)等在內(nèi)所有電信網(wǎng)絡(luò)相關(guān)的安全標(biāo)準(zhǔn);無(wú)線網(wǎng)絡(luò)中接入、核心網(wǎng)、業(yè)務(wù)等相關(guān)的安全標(biāo)準(zhǔn)以及安全管理工作組;安全基礎(chǔ)設(shè)施工作組中網(wǎng)管安全以及安全基礎(chǔ)設(shè)施相關(guān)的標(biāo)準(zhǔn)。
當(dāng)前,國(guó)際上著名的信息安全評(píng)估標(biāo)準(zhǔn)有如下幾種,可以為企業(yè)借鑒:
◆可信的計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)(TCSEC,從橘皮書到彩虹系列)由美國(guó)國(guó)防部于1985年公布的,是計(jì)算機(jī)系統(tǒng)信息安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個(gè)級(jí)別,對(duì)用戶登錄、授權(quán)管理、訪問(wèn)控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測(cè)、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。
◆信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)(ITSEC,歐洲百皮書)是由法、英、荷、德歐洲四國(guó)90年代初聯(lián)合發(fā)布的,它提出了信息安全的機(jī)密性、完整性、可用性的安全屬性。機(jī)密性就是保證沒有經(jīng)過(guò)授權(quán)的用戶、實(shí)體或進(jìn)程無(wú)法竊取信息;完整性就是保證沒有經(jīng)過(guò)授權(quán)的用戶不能改變或者刪除信息,從而信息在傳送的過(guò)程中不會(huì)被偶然或故意破壞,保持信息的完整、統(tǒng)一;可用性是指合法用戶的正常請(qǐng)求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。ITSEC把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來(lái)認(rèn)識(shí),對(duì)國(guó)際信息安全的研究、實(shí)施產(chǎn)生了深刻的影響。
◆信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)(CC)由六個(gè)國(guó)家(美、加、英、法、德、荷)于1996年聯(lián)合提出的,并逐漸形成國(guó)際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則,提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu),即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實(shí)施這些功能的保證要求。CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國(guó)際標(biāo)準(zhǔn),它的發(fā)布對(duì)信息安全具有重要意義,是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。
◆ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義,并提出了以風(fēng)險(xiǎn)為核心的安全模型:企業(yè)的資產(chǎn)面臨很多威脅(包括來(lái)自內(nèi)部的威脅和來(lái)自外部的威脅);威脅利用信息系統(tǒng)存在的各種漏洞(如:物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等),對(duì)信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功,將導(dǎo)致企業(yè)資產(chǎn)的暴露;資產(chǎn)的暴露(如系統(tǒng)高級(jí)管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露),會(huì)對(duì)資產(chǎn)的價(jià)值產(chǎn)生影響(包括直接和間接的影響);風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小,這可以為資產(chǎn)的重要性和價(jià)值所決定;對(duì)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的分析,就得出了系統(tǒng)的防護(hù)需求;根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案,選擇適當(dāng)?shù)姆雷o(hù)措施,進(jìn)而降低安全風(fēng)險(xiǎn),并抗擊威脅。該模型闡述了信息安全評(píng)估的思路,對(duì)企業(yè)的信息安全評(píng)估工作具有指導(dǎo)意義。
◆AS/NZS 4360:1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn),第一版于1995年發(fā)布。在AS/NZS 4360:1999中,風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控與回顧、通信和咨詢七個(gè)步驟。AS/NZS 4360:1999是風(fēng)險(xiǎn)管理的通用指南,它給出了一整套風(fēng)險(xiǎn)管理的流程,對(duì)信息安全風(fēng)險(xiǎn)評(píng)估具有指導(dǎo)作用。目前該標(biāo)準(zhǔn)已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。
◆BS7799是英國(guó)的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn),它分兩部分:第一部分為"信息安全管理事務(wù)準(zhǔn)則";第二部分為"信息安全管理系統(tǒng)的規(guī)范"。目前此標(biāo)準(zhǔn)已經(jīng)被很多國(guó)家采用,并已成為國(guó)際標(biāo)準(zhǔn)ISO17799。 BS7799包含10個(gè)控制大項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。BS7799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議,并介紹了風(fēng)險(xiǎn)管理的方法和過(guò)程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險(xiǎn)評(píng)估實(shí)施步驟。
國(guó)內(nèi)主要是等同采用國(guó)際標(biāo)準(zhǔn)。公安部主持制定、國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》已正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級(jí):自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問(wèn)控制、數(shù)據(jù)完整性、審計(jì)等,這些指標(biāo)涵蓋了不同級(jí)別的安全要求。GB18336也是等同采用ISO 15408標(biāo)準(zhǔn)。在制定的過(guò)程中,主要可以參照如下的方法進(jìn)行:
◆定制個(gè)性化的評(píng)估方法
雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程,但在實(shí)踐過(guò)程中,不應(yīng)只是這些方法的套用和拷貝,而是以他們作為參考,根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力,進(jìn)行"基因"重組,定制個(gè)性化的評(píng)估方法,使得評(píng)估服務(wù)具有可裁剪性和靈活性。評(píng)估種類一般有整體評(píng)估、IT安全評(píng)估、滲透測(cè)試、邊界評(píng)估、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、脆弱性掃描、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等。
◆安全整體框架的設(shè)計(jì)
風(fēng)險(xiǎn)評(píng)估的目的,不僅在于明確風(fēng)險(xiǎn),更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評(píng)估直接輸出,用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架,至少應(yīng)該明確。但是由于不同企業(yè)環(huán)境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應(yīng)用較少。但是,企業(yè)至少應(yīng)該完成近期1~2年內(nèi)框架,這樣才能做到有律可依。
◆多用戶決策評(píng)估
不同層面的用戶能看到不同的問(wèn)題,要全面了解風(fēng)險(xiǎn),必須進(jìn)行多用戶溝通評(píng)估。將評(píng)估過(guò)程作為多用戶"決策"過(guò)程,對(duì)于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng),具有極大的意義。事實(shí)證明,多用戶參與的效果非常明顯。多用戶"決策"評(píng)估,也需要一個(gè)具體的流程和方法。
◆敏感性分析
由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián),使得風(fēng)險(xiǎn)越來(lái)越隱蔽。要提高評(píng)估效果,必須進(jìn)行深入關(guān)聯(lián)分析,比如對(duì)一個(gè)老漏洞,不是簡(jiǎn)單地分析它的影響和解決措施,而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞,找出病"根",開出有效的"處方"。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫(kù)支撐,同時(shí)要求評(píng)估者具有敏銳的分析能力。
◆集中化決策管理
安全風(fēng)險(xiǎn)評(píng)估需要具有多種知識(shí)和能力的人參與,對(duì)這些能力和知識(shí)的管理,有助于提高評(píng)估的效果。集中化決策管理,是評(píng)估項(xiàng)目成功的保障條件之一,它不僅是項(xiàng)目管理問(wèn)題,而且是知識(shí)、能力等"基因"的組合運(yùn)用。必須選用具有特殊技能的人,去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺(tái)審計(jì)和滲透性測(cè)試,由不具備攻防經(jīng)驗(yàn)和知識(shí)的人執(zhí)行,就達(dá)不到任何效果。
◆評(píng)估結(jié)果管理
安全風(fēng)險(xiǎn)評(píng)估的輸出,不應(yīng)是文檔的堆砌,而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng),但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng),使用它來(lái)指導(dǎo)評(píng)估過(guò)程,管理評(píng)估結(jié)果,以便在管理層面提高評(píng)估效果。#p#
社會(huì)工程學(xué)(Social Engineering)是一種利用人的弱點(diǎn):如人的本能反應(yīng)、好奇心、信任、貪婪等進(jìn)行諸如欺騙、傷害等危害手段,獲取自身利益的手法。近年來(lái),由于信息安全廠商不斷開發(fā)出更先進(jìn)的安全產(chǎn)品,系統(tǒng)安全防范在技術(shù)上越來(lái)越嚴(yán)密,使得攻擊者利用技術(shù)上的漏洞變得越來(lái)越困難。于是,更多的人轉(zhuǎn)向利用人為因素的手段--社會(huì)工程學(xué)來(lái)進(jìn)行攻擊。
許多信息技術(shù)從業(yè)者都普遍存在著類似的一種觀念:他們認(rèn)為自己的系統(tǒng)部署了先進(jìn)、周密的安全設(shè)備,包括防火墻、IDS、IPS、漏洞掃描、防病毒網(wǎng)關(guān)、內(nèi)容過(guò)濾、安全審計(jì)、身份認(rèn)證和訪問(wèn)控制系統(tǒng),甚至于最新的UTM和防水墻,以為靠這些安全設(shè)施即可保證系統(tǒng)的安全。事實(shí)上,很多安全行為出現(xiàn)在騙取內(nèi)部人員(信息系統(tǒng)管理、使用、維護(hù)人員等)的信任,從而輕松繞過(guò)所有技術(shù)上的保護(hù)。信任是一切安全的基礎(chǔ),對(duì)于保護(hù)與審核的信任,通常被認(rèn)為是整個(gè)安全鏈條中最薄弱的一環(huán)。為規(guī)避安全風(fēng)險(xiǎn),技術(shù)專家精心設(shè)計(jì)的安全解決方案,卻很少重視和解決最大的安全漏洞,那就是人為因素。因此,對(duì)于當(dāng)前的企業(yè)來(lái)說(shuō),缺乏對(duì)社會(huì)工程學(xué)防范的信息系統(tǒng),不管其安全技術(shù)多么先進(jìn)完善,很可能會(huì)成為一種自我安慰的擺設(shè),其投入大筆資金購(gòu)置的最先進(jìn)的安全設(shè)備,很可能成為一種浪費(fèi)。
社會(huì)工程學(xué)攻擊基本上可以分為兩個(gè)層次:物理的和心理的。與以往的入侵行為相類似,社會(huì)工程學(xué)在實(shí)施之前要完成很多相關(guān)的前期工作的,這些工作甚至要比后續(xù)的入侵行為本身更為繁重和更具技巧。這些工作包括:社會(huì)工程學(xué)的實(shí)施者(一般稱為社會(huì)工程師)必須掌握心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等知識(shí)與技能,以便收集和掌握實(shí)施入侵行為所需要的相關(guān)資料與信息。通常為了達(dá)到預(yù)期目的,社會(huì)工程學(xué)攻擊都要將心理的和行為的攻擊兩者結(jié)合運(yùn)用。其常見形式包括如下幾種:
第一,偽裝。從早期的求職信病毒、愛蟲病毒、圣誕節(jié)賀卡到目前流行的網(wǎng)絡(luò)釣魚,都是利用電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)的。有調(diào)查顯示,在所有接觸詐騙信息的用戶中,有高達(dá)5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。攻擊者越來(lái)越喜歡玩弄社會(huì)工程學(xué)的手段,把惡件、間諜軟件、勒索軟件(ransom-ware)、流氓軟件等網(wǎng)絡(luò)陷阱偽裝起來(lái)欺騙被害者。
第二,引誘。社會(huì)工程學(xué)是現(xiàn)在多數(shù)蠕蟲病毒進(jìn)行傳播時(shí)所使用的技術(shù),它使計(jì)算機(jī)用戶本能地去打開郵件,執(zhí)行具有誘惑性同時(shí)具有危害的附件。例如,用一些關(guān)于某些型號(hào)的處理器存在運(yùn)算瑕疵的"瑕疵聲明"或更能引起人的興趣的"幸運(yùn)中獎(jiǎng)"、"最新反病毒軟件"等說(shuō)辭,并給出一個(gè)頁(yè)面連接,誘惑你進(jìn)入該頁(yè)面運(yùn)行下載程序或在線注冊(cè)個(gè)人相關(guān)信息,利用人們疏于防范的心理引誘你上鉤。
第三,恐嚇。利用人們對(duì)安全、漏洞、病毒、木馬、黑客等內(nèi)容會(huì)特別敏感,以權(quán)威機(jī)構(gòu)的面目出現(xiàn),散布諸如安全警告、系統(tǒng)風(fēng)險(xiǎn)之類的信息,使用危言聳聽的伎倆恐嚇欺騙計(jì)算機(jī)用戶,聲稱如果不及時(shí)按照他們的要求去做就會(huì)造成致命的危害或遭受嚴(yán)重?fù)p失。
第四,說(shuō)服。社會(huì)工程師說(shuō)服目標(biāo)的目的是增強(qiáng)他們主動(dòng)完成所指派的任務(wù)的順從意識(shí),從而變?yōu)橐粋€(gè)可以被信任并由此獲得敏感信息的人。大多數(shù)企業(yè)咨詢幫助臺(tái)人員一般接受的訓(xùn)練都是要求他(她)們熱情待人并盡可能地為來(lái)人來(lái)電提供幫助,所以這里就成了社會(huì)工程學(xué)實(shí)施者獲取有價(jià)值信息的"金礦"。
第五,恭維。社會(huì)工程師通常十分友善,很講究說(shuō)話的藝術(shù),知道如何借助機(jī)會(huì)去迎合人,投其所好,使多數(shù)人會(huì)友善地作出回應(yīng),恭維和虛榮心的對(duì)接會(huì)讓目標(biāo)樂(lè)意繼續(xù)合作。
第六,滲透。通常社會(huì)工程學(xué)攻擊者都擅長(zhǎng)刺探信息,很多表面上看起來(lái)豪無(wú)用處的信息都會(huì)被他們利用來(lái)進(jìn)行系統(tǒng)滲透。通過(guò)觀察目標(biāo)對(duì)電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料,比如一個(gè)人的姓名、生日、ID、電話號(hào)碼、管理員的IP地址、郵箱等都可能被利用起來(lái),通過(guò)這些收集信息來(lái)判斷目標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容,從而用口令心理學(xué)來(lái)分析口令,而不僅僅是使用暴力破解。
除了以上的攻擊手段,一些比較另類的行為也開始在社會(huì)工程學(xué)中出現(xiàn),其中包括像翻垃圾(dumpster diving)、背后偷窺(shoulder surfing)、反向社會(huì)工程學(xué)等都是竊取信息的捷徑辦法。
面對(duì)社會(huì)工程學(xué)帶來(lái)的安全挑戰(zhàn),企業(yè)必須采用新的防御方法,其實(shí)這些工作更多的偏向于管理層面,主要包括:
第一,加強(qiáng)內(nèi)部安全管理。盡可能把系統(tǒng)管理工作職責(zé)時(shí)進(jìn)行分離,合理分配每個(gè)系統(tǒng)管理員所擁有的權(quán)力,避免權(quán)限過(guò)分集中。為防止外部人員混入內(nèi)部,員工應(yīng)佩戴胸卡標(biāo)示,設(shè)置門禁和視頻監(jiān)控系統(tǒng);嚴(yán)格辦公垃圾和設(shè)備維修報(bào)廢處理程序;杜絕為貪圖方便,將密碼粘貼或通過(guò)QQ等方式進(jìn)行系統(tǒng)維護(hù)工作的日常聯(lián)系。
第二,開展安全防范訓(xùn)練。安全意識(shí)比安全措施重要的多。防范社會(huì)工程學(xué)攻擊,指導(dǎo)和教育是關(guān)鍵。直接明確地給予容易受到攻擊的員工一些案例教育和警示,讓他們知道這些方法是如何運(yùn)用和得逞的,學(xué)會(huì)辨認(rèn)社會(huì)工程攻擊。在這方面,要注意培養(yǎng)和訓(xùn)練企業(yè)和員工的幾種能力,包括:辨別判斷能力、防欺詐能力、信息隱藏能力、自我保護(hù)能力、應(yīng)急處理能力等。
第三,對(duì)企業(yè)有涉外業(yè)務(wù)的人員進(jìn)行強(qiáng)化管理。"社會(huì)工程"攻擊很多都是針對(duì)企業(yè)中負(fù)責(zé)對(duì)外業(yè)務(wù)的人員,如接待、咨詢?nèi)藛T等,由于他們需要頻繁地與外員打交道,所以久而久之更加容易掉以輕心,誤入"社會(huì)工程"的圈套和陷阱,所以企業(yè)要著重對(duì)他們進(jìn)行培訓(xùn)和教育,以提高他們的防范能力。
