信息系统安全中人员因素不可忽略,存在错误人事安排、依赖防火墙等七大管理问题。如密码设置、社会工程等都受人员影响,社会工程方法难防御。可通过教育使用者保护本地资源、让管理员正确配置系统和及时修补漏洞来应对。
2.9 人员因素
2.9.1七大管理问题
所有的信息系统都要由人去开发,所有的信息安全措施和协议最后要由人去实施,所
以人员的因素在信息系统中不可忽略。信息安全不论攻或防,其关键的因素是人。而且系
统特别容易受到内部人士影响,很多安全措施都是防外不防内。
根据SANS 99,1850位信息安全专家的总结导致安全漏洞的七大管理问题为:
错误的人事安排,指派未经训练的人员维护安全,缺乏充分的时间与培训;
错误地理解信息安全与业务问题的关系,认为信息安全不影响业务;
不规范的实施安全操作;
完全依靠防火墙,靠安全隔离来解决所有安全问题;
忽视声誉,没有认识到信息与组织声誉的价值,在数字化社会中,信息系统被破
坏会对企业的形象与业务产生巨大的影响;
头痛医头、脚痛医脚,采用反复、短期的措施,相同安全问题一再迅速重复出现
;
安全无用论,忽略安全问题,假装它并不存在。
一个关键的安全原则是使用有效的但是并不会给那些想要真正获得信息的合法用户增
加负担的方案,寻找出一条实际应用此原则的途径经常是一个困难的寻找平衡的举动。使
用过于繁杂的安全技术使得合法用户厌烦和规避你的安全协议是非常容易的。总是需要考
虑安全政策给合法用户带来的影响。在很多情况下,如果用户所感受到的不方便大于所产
生的安全上的提高,则政策实际上降低了系统的安全有效性。
2.9.2一个例子
一个能说明问题的例子就是合法用户的密码。密码的随机性与容易记忆性是矛盾的,
如果密码的随机性比较好,那么就难以记忆;如果容易记忆,那么随机性就差。从系统安
全的角度来说,合法用户的密码应该保持足够的随机性,然而从用户本身来说,他们宁可
选择一个容易记忆的密码。问题就这样产生了,容易记忆的密码导致对系统密码的暴力探
测成功的机率大增。一些自动化的工具都带有足够大的字典,其中一部分所谓的弱密码放
在字典的最前面,按照通常的统计结果按密码的可能性大小排列,比如123、password这样
的密码很可能在探测的一开始就成功了。
“与密码一样不理想的事,用户还特地使这种情况变得更糟了。如果你要求他们选择
一个密码,他们会选一个差的。如果你强行要求他们选一个好的,他们会把它写在一便利
贴上,然后粘在计算机显示器边上。如果你要求他们改变密码,他们就把密码改回他们上
个月改过的密码。对密码的实际研究发现,16%的密码是3个字符或更少,86%的密码易于破
译。其他研究已经证实了上述统计数字。在操作试验中,LOphtcrack可以在不到一天的时
间内发现全部密码的90%,并能在几分钟内发现全部密码的20%。”
Nsun 2004
2.9.3社会工程
另一个有趣的问题是社会工程。
“1994年,名为Anthony Zboralski的法国黑客打电话给华盛顿的美国联邦调查局,假
冒是工作于美国驻巴黎大使馆的FBI代表。他说服了电话另一端的人,要求另一端的人解释
了如何连接到FBI的电话会议系统上。结果他在7个月内使FBI的电话费上涨到250,000美元
。类似的,打电话给轻信的员工,假装是网络系统管理员或安全经理,这是黑客常用的手
段。如果黑客非常了解公司网络,使他听起来令人信服,那么他能够从员工那里获得口令
、帐户名称和其他机密信息。”
在2000年,Kevin Mitnick在美国国会之前证实了社会工程,他谈到:“我采用的那种
攻击方法获得了成功,结果是几乎不必利用技术型的攻击方法,”他说,“公司可能针对
技术保护花费几百万美元,但是如果有人主要通过给某些员工打电话,并且说服员工在计
算机上进行操作,降低计算机的防御能力,或者说服员工泄漏机密信息:那么这些花费就
是浪费。”
计算机世界中的社会工程随处可见。电子邮件附带病毒或者蠕虫采用富有欺骗性的标
题诱使没有戒心的用户打开。I LOVE YOU蠕虫藏匿于接收者认识的人发过来的电子邮件中
,欺骗接受者打开假扮为文本文件的VBScript附件。木马程序在用户运行之后,跳出一个
无关的但是看上去很正常的系统提示,使得用户对此不加防备。高波病毒的一种变种的可
执行程序名字为explored与windows的系统外壳程序explorer只有一个字母之差,一般的用
户不会注意到这个差别。
社会工程方法也极难防御。技术方法只能对这个问题有部分作用。要改变计算机采用
的安全技术容易,要使人们改变他们的习惯很难。
2.9.4一些对策
确保公司的职员保护他们的工作站,对于一个系统来说并不是所有的损害都来自于带
有恶意的用户的操作或黑客攻入系统。经常,计算机仅仅是被简单的用户操作失误所损害
。例如,很多雇员并没有意识到下载ActiveX文件和使用Java小程序所涉及的危险,还有很
多人当他们离开办公室(甚至很短的时间)他们并不使用屏幕密码保护程序,以防止偷窥
用户。也常常不知不觉地下载病毒和特洛伊木马因此损害了网络的正常功能。教育每名使
用者早期应用的安全技术很重要的一点是保护本地资源。
另外必须考虑的是系统的管理员。一般而言,设计精良的安全措施也必须通过正确配
置才能达到预期的效果。以安全操作系统为例,默认的配置可能无法满足系统的具体需求
,需要系统管理员重新配置。在这种情况下,管理员对于系统配置的相关知识显得尤为重
要,错误的配置就像配备了铜墙铁壁却忘记了给大门加锁,一切安全技术都有可能失去应
有的作用。另外系统管理员除了正确配置系统,还需要定期察看相关的安全公告,及时修
补已经发现的系统漏洞。
2.9.1七大管理问题
所有的信息系统都要由人去开发,所有的信息安全措施和协议最后要由人去实施,所
以人员的因素在信息系统中不可忽略。信息安全不论攻或防,其关键的因素是人。而且系
统特别容易受到内部人士影响,很多安全措施都是防外不防内。
根据SANS 99,1850位信息安全专家的总结导致安全漏洞的七大管理问题为:
错误的人事安排,指派未经训练的人员维护安全,缺乏充分的时间与培训;
错误地理解信息安全与业务问题的关系,认为信息安全不影响业务;
不规范的实施安全操作;
完全依靠防火墙,靠安全隔离来解决所有安全问题;
忽视声誉,没有认识到信息与组织声誉的价值,在数字化社会中,信息系统被破
坏会对企业的形象与业务产生巨大的影响;
头痛医头、脚痛医脚,采用反复、短期的措施,相同安全问题一再迅速重复出现
;
安全无用论,忽略安全问题,假装它并不存在。
一个关键的安全原则是使用有效的但是并不会给那些想要真正获得信息的合法用户增
加负担的方案,寻找出一条实际应用此原则的途径经常是一个困难的寻找平衡的举动。使
用过于繁杂的安全技术使得合法用户厌烦和规避你的安全协议是非常容易的。总是需要考
虑安全政策给合法用户带来的影响。在很多情况下,如果用户所感受到的不方便大于所产
生的安全上的提高,则政策实际上降低了系统的安全有效性。
2.9.2一个例子
一个能说明问题的例子就是合法用户的密码。密码的随机性与容易记忆性是矛盾的,
如果密码的随机性比较好,那么就难以记忆;如果容易记忆,那么随机性就差。从系统安
全的角度来说,合法用户的密码应该保持足够的随机性,然而从用户本身来说,他们宁可
选择一个容易记忆的密码。问题就这样产生了,容易记忆的密码导致对系统密码的暴力探
测成功的机率大增。一些自动化的工具都带有足够大的字典,其中一部分所谓的弱密码放
在字典的最前面,按照通常的统计结果按密码的可能性大小排列,比如123、password这样
的密码很可能在探测的一开始就成功了。
“与密码一样不理想的事,用户还特地使这种情况变得更糟了。如果你要求他们选择
一个密码,他们会选一个差的。如果你强行要求他们选一个好的,他们会把它写在一便利
贴上,然后粘在计算机显示器边上。如果你要求他们改变密码,他们就把密码改回他们上
个月改过的密码。对密码的实际研究发现,16%的密码是3个字符或更少,86%的密码易于破
译。其他研究已经证实了上述统计数字。在操作试验中,LOphtcrack可以在不到一天的时
间内发现全部密码的90%,并能在几分钟内发现全部密码的20%。”
Nsun 2004
2.9.3社会工程
另一个有趣的问题是社会工程。
“1994年,名为Anthony Zboralski的法国黑客打电话给华盛顿的美国联邦调查局,假
冒是工作于美国驻巴黎大使馆的FBI代表。他说服了电话另一端的人,要求另一端的人解释
了如何连接到FBI的电话会议系统上。结果他在7个月内使FBI的电话费上涨到250,000美元
。类似的,打电话给轻信的员工,假装是网络系统管理员或安全经理,这是黑客常用的手
段。如果黑客非常了解公司网络,使他听起来令人信服,那么他能够从员工那里获得口令
、帐户名称和其他机密信息。”
在2000年,Kevin Mitnick在美国国会之前证实了社会工程,他谈到:“我采用的那种
攻击方法获得了成功,结果是几乎不必利用技术型的攻击方法,”他说,“公司可能针对
技术保护花费几百万美元,但是如果有人主要通过给某些员工打电话,并且说服员工在计
算机上进行操作,降低计算机的防御能力,或者说服员工泄漏机密信息:那么这些花费就
是浪费。”
计算机世界中的社会工程随处可见。电子邮件附带病毒或者蠕虫采用富有欺骗性的标
题诱使没有戒心的用户打开。I LOVE YOU蠕虫藏匿于接收者认识的人发过来的电子邮件中
,欺骗接受者打开假扮为文本文件的VBScript附件。木马程序在用户运行之后,跳出一个
无关的但是看上去很正常的系统提示,使得用户对此不加防备。高波病毒的一种变种的可
执行程序名字为explored与windows的系统外壳程序explorer只有一个字母之差,一般的用
户不会注意到这个差别。
社会工程方法也极难防御。技术方法只能对这个问题有部分作用。要改变计算机采用
的安全技术容易,要使人们改变他们的习惯很难。
2.9.4一些对策
确保公司的职员保护他们的工作站,对于一个系统来说并不是所有的损害都来自于带
有恶意的用户的操作或黑客攻入系统。经常,计算机仅仅是被简单的用户操作失误所损害
。例如,很多雇员并没有意识到下载ActiveX文件和使用Java小程序所涉及的危险,还有很
多人当他们离开办公室(甚至很短的时间)他们并不使用屏幕密码保护程序,以防止偷窥
用户。也常常不知不觉地下载病毒和特洛伊木马因此损害了网络的正常功能。教育每名使
用者早期应用的安全技术很重要的一点是保护本地资源。
另外必须考虑的是系统的管理员。一般而言,设计精良的安全措施也必须通过正确配
置才能达到预期的效果。以安全操作系统为例,默认的配置可能无法满足系统的具体需求
,需要系统管理员重新配置。在这种情况下,管理员对于系统配置的相关知识显得尤为重
要,错误的配置就像配备了铜墙铁壁却忘记了给大门加锁,一切安全技术都有可能失去应
有的作用。另外系统管理员除了正确配置系统,还需要定期察看相关的安全公告,及时修
补已经发现的系统漏洞。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
