返回
信息安全知识与培训

信息安全知识与培训

ID:21722648

大小:64.00 KB

页数:7页

时间:2018-10-24

信息安全知识与培训_第1页
信息安全知识与培训_第2页
信息安全知识与培训_第3页
信息安全知识与培训_第4页
信息安全知识与培训_第5页
资源描述:

《信息安全知识与培训》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第十五章信息安全知识与培训一个社会工程师已经关注你的新产品发布计划两个月了。有什么能阻止他?你的防火墙?不行。强大的验证设施?不行。入侵检测系统?不行。加密?不行。限制调制解调器的访问?不行。编码服务器名称,使入侵者无法确定产品计划所在的服务器?不行。事实上,没有任何技术能防范社会工程学攻击。安全技术、培训和程序许多公司在他们的安全渗透测试报告中说,他们对客户公司计算机系统实施的社会工程学攻击几乎可以百分之百成功。使用安全技术的确可以让这些攻击更难实施,但唯一真正有效的办法是,将安全技术和安全策略结合起来,规范员工行为并适当地进行培训。只有一种方法能让你的产品计划安全,那就是接受过安全培训的

2、负责任的员工。这不仅涉及到安全策略和安全程序的培训,还包括了安全知识的培训。一些权威人士建议把公司40%的安全预算用在安全知识的培训上。第一步是让企业的每一个人都认识到那些能操纵他们心理的人的存在,员工们必须了解信息需要哪些保护与如何保护。当人们了解了操纵的细节时,他们便能在攻击初期更好地处理。安全培训也意味着让企业的所有员工了解公司的安全策略与程序,就像在第17章所讨论的那样,策略是指导员工行为保护企业信息系统与敏感信息所必须的规则。本章和下一章提供了一张把你从可怕的攻击中解救出来的安全蓝图。如果你没有培训并警告员工遵循谨慎考虑过的程序,这也许没什么大不了的,在你被社会工程师窃取贵重信息之

3、前。不要等到攻击发生才制定这些策略:这对你的事业和你的员工福利将是毁灭性的。了解攻击者是怎样利用人的天性的为了制定一套成功的培训程序,首先你必须了解为什么人们容易遭受攻击,在你的培训中识别这些倾向——比如,通过角色扮演讨论引起他们的注意——你能帮助你的员工了解为什么我们都能被社会工程师轻易地操纵。社会科学家对心理操纵的研究至少已经有50年了,罗伯特•B•西奥迪尼(RobertBCialdini)在科学美国人(2001年2月)杂志中总结了这些研究,介绍了6种“人类天性基本倾向”。这6种倾向正是社会工程师在他们的攻击尝试中所依赖的(有意识的或者无意识的)。权威当请求来自权威人士时,人们有一种顺从

4、的倾向。就像本书其它地方所讨论的那样,如果人们相信请求者是权威人士或有权进行这样的请求的人,他(或她)便会毫不怀疑地执行请求。在西奥迪尼博士写的一篇论文中,一个声称是医院医师的人打电话给三家中西部医院的22个独立护士站要求她们为病房的一个病人送去处方药,收到这些命令的护士们根本不认识呼叫者,她们甚至不知道他是否真的是医师(他不是),她们是从电话里收到处方药的命令的,这显然违背了医院的策略。她们被要求送给病人的药物是未授权,并且剂量是每日最大剂量的两倍,这足够危及病人的生命了。然而在95%的案例中,西奥迪尼写道,“护士从病房医药箱中取出了足够的剂量并把它给了病人。”之后观察者阻止了护士并解释这

5、是一次实验。攻击举例:一个社会工程师试图伪装成IT部门的权威人士,声称他是公司的主管(或者为主管工作的人)。爱好当作出请求的人很可爱或者与被请求者有相同的爱好、信仰和意见是,人们总是倾向于顺从。攻击举例:通过交谈,攻击者设法了解了目标的兴趣或爱好,并声称他也有相同的兴趣或爱好,或者来自于同一个州或学校,或者有相似的目标。社会工程师还会尝试模仿目标的行为创造相似性。报答当我们被给予(或者许诺)了一些有价值的东西时,我们可能会自动地同意请求。礼物可以是资料、建议、或帮助,当有人为你做了一些事情时,你会倾向于报答他。这种强烈的报答倾向甚至在你收到了并不需要的礼物时依然存在。让人们“帮忙”(同意请求

6、)的最有效的方法之一就是给予一些礼物形成潜在的债务。哈瑞奎师那教徒善于此道,他们会送书籍或者鲜花作为礼物,然后等待回报。如果收到礼物的人想要归还礼物,给予者便会拒绝并说明,“这是我们给你的礼物。”这一回报行为法则被奎师那教徒们用在了增加捐款上。攻击举例:一个员工接到了自称是IT部门的人的电话,呼叫者解释说公司的一些电脑感染了还没有被杀毒软件识别的破坏电脑文件的新病毒,并建议他进行一些步骤来防御病毒。在这之后,呼叫者让他测试了一个允许用户更改密码的加强版软件程序,这名员工很难拒绝,因为呼叫者是在帮助他防御病毒,他的回报就是响应呼叫者的请求。守信当人们公开承诺了或者认可了一些事情时,会倾向于顺从

7、。一旦我们承诺了一些事情,为了避免自己成为不可信赖或者不受欢迎的人,我们会倾向于坚持我们的立场或承诺。攻击举例:攻击者联系上了一个新员工并提醒她遵守某些安全策略与程序,比如允许使用公司信息系统的情况。在讨论了一些安全规定之后,呼叫者向用户请求她的密码进行“灵活度检查”以选择高强度的密码。一旦用户说出了她的密码,呼叫者便会提出一些创建密码的建议使攻击者无法猜测密码。受害人顺从了,因为她之前已经答应遵守公司的策略

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。