信息安全的脆弱性是普遍存在的,任何一個系統(tǒng)都具有潛在的安全風(fēng)險。 近年來,利用社會工程學(xué)手段,突破信息安全防御措施的事件,已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢,成為信息安全保密工作中較脆弱的 一個環(huán)節(jié)。 社會的與風(fēng)險的
社會工程學(xué)(Social Engineering)是一種利用人的弱點: 如人的本能反應(yīng)、好奇心、信任、貪婪等進(jìn)行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
近年來,由于信息 安全廠商不斷開發(fā)出較**的安全產(chǎn)品,系統(tǒng)安全防范在技術(shù)上越來越嚴(yán)密,使得攻擊者利用技術(shù)上的漏洞變得越來越困難。于是, 更多的人轉(zhuǎn)向利用人為因素的手段----社會工程學(xué)來進(jìn)行攻擊。
許多信息技術(shù)從業(yè)者都普遍存在著類似的一種觀念: 他們認(rèn)為自己的系統(tǒng)部署了**、周密的安全設(shè)備----*墻、IDS、IPS、漏洞掃描、防病毒網(wǎng)關(guān)、內(nèi)容過濾、安全審計、身份 和訪問控制系統(tǒng),甚至于較新的UTM和防水墻,以為靠這些安全設(shè)施即可保證系統(tǒng)的安全。
事實上,很多安全行為出 現(xiàn)在騙取內(nèi)部人員(信息系統(tǒng)管理、使用、維護人員等)的信任,從而輕松繞過所有技術(shù)上的保護。信任是一切安全的基礎(chǔ),對于保 護與審核的信任,通常被認(rèn)為是整個安全鏈條中較薄弱的一環(huán)。為規(guī)避安全風(fēng)險,技術(shù)*精心設(shè)計的安全解決方案,卻很少重視和 解決較大的安全漏洞----人為因素。
無論是在現(xiàn)實世界還是在虛擬的網(wǎng)絡(luò)空間,任何一個可以訪問系統(tǒng)的人,都有可 能構(gòu)成潛在的安全風(fēng)險與威脅。很多較敏感的信息存在于人的頭腦當(dāng)中,各種安全設(shè)施要由人來掌控,這意味著如果沒有把“人 ”這個因素放進(jìn)整體安全管理策略中去,僅僅熱衷于技術(shù)層面的所謂全面解決方案,仍將會存在一個很大的安全“裂縫 ”,或者說是整個安全“木桶”存在著較短的一塊木板。
缺乏對社會工程學(xué)防范的信息系統(tǒng),不管 其安全技術(shù)多么**完善,很可能會成為一種自我安慰的擺設(shè),其投入大筆資金購置的較**的安全設(shè)備,很可能成為一種浪費。
Gartner集團信息安全與風(fēng)險研究主任Rich Mogull認(rèn)為:“社會工程學(xué)是未來10年較大的安全風(fēng)險,許多破壞 力較大的行為是由于社會工程學(xué)而不是黑客或破解行為造成的”。一些信息安全*預(yù)言,社會工程學(xué)將會是未來信息系統(tǒng)入侵 與反入侵的重要對抗領(lǐng)域。
新的攻擊手段
社會工程學(xué)攻擊基本上可以分為兩個層次:物理的和心理 的。與以往的入侵行為相類似,社會工程學(xué)在實施之前要完成很多相關(guān)的前期工作的,這些工作甚至要比后續(xù)的入侵行為本身較為繁 重和較具技巧,或者說較為“藝術(shù)”。
這些工作包括:社會工程學(xué)的實施者(一般稱為社會工程師)必須 掌握心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等知識與技能,以便收集和掌握實施入侵行為所需要的相關(guān)資料與信息。通常為了達(dá)到預(yù)期目的, 社會工程學(xué)攻擊都要將心理的和行為的攻擊兩者結(jié)合運用。其常見形式包括了:
**,偽裝。從早期的求職信病毒、 愛蟲病毒、圣誕節(jié)賀卡到目前流行的網(wǎng)絡(luò)釣魚,都是利用電子郵件和偽造的Web站點來進(jìn)行詐騙活動的。有調(diào)查顯示,在所有接觸詐騙 信息的用戶中,有高達(dá)5%的人都會對這些騙局做出響應(yīng)。攻擊者越來越喜歡玩弄社會工程學(xué)的手段,把惡件、間諜軟件、勒索軟件 (ransom-ware)、流氓軟件等網(wǎng)絡(luò)陷阱偽裝起來欺騙被害者。
*二,引誘。社會工程學(xué)是現(xiàn)在多數(shù)蠕蟲病毒進(jìn)行傳 播時所使用的技術(shù),它使計算機用戶本能地去打開郵件,執(zhí)行具有誘惑性同時具有危害的附件。例如,用一些關(guān)于某些型號的處理器 存在運算瑕疵的“瑕疵聲明”或較能引起人的興趣的“幸運中獎”、“較新反病毒軟件”等說辭, 并給出一個頁面連接,誘惑你進(jìn)入該頁面運行下載程序或在線注冊個人相關(guān)信息,利用人們疏于防范的心理引誘你上鉤。
*三,恐嚇。利用人們對安全、漏洞、病毒、木馬、黑客等內(nèi)容會特別敏感,以*機構(gòu)的面目出現(xiàn),散布諸如安全警告、系統(tǒng) 風(fēng)險之類的信息,使用危言聳聽的伎倆恐嚇欺騙計算機用戶,聲稱如果不及時按照他們的要求去做就會造成致命的危害或遭受嚴(yán)重?fù)p 失。
*四,說服。社會工程師說服目標(biāo)的目的是增強他們主動完成所指派的任務(wù)的順從意識,從而變?yōu)橐粋€可以被信 任并由此獲得敏感信息的人。大多數(shù)企業(yè)咨詢幫助臺人員一般接受的訓(xùn)練都是要求他(她)們熱情待人并盡可能地為來人來電提供幫 助,所以這里就成了社會工程學(xué)實施者獲取有**信息的“金礦”。
*五,恭維。社會工程師通常十分友 善,很講究說話的藝術(shù),知道如何借助機會去迎合人,投其所好,使多數(shù)人會友善地作出回應(yīng),恭維和虛榮心的對接會讓目標(biāo)樂意繼 續(xù)合作。
*六,滲透。通常社會工程學(xué)攻擊者都擅長刺探信息,很多表面上看起來豪無用處的信息都會被他們利用來 進(jìn)行系統(tǒng)滲透。通過觀察目標(biāo)對電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料,比如一個人的姓名、生日、ID、電話號碼 、管理員的IP地址、郵箱等都可能被利用起來,通過這些收集信息來判斷目標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容,從而用口令心理學(xué) 來分析口令,而不僅僅是使用暴力破解。
除了以上的攻擊手段,一些比較另類的行為也開始在社會工程學(xué)中出現(xiàn),其 中包括像翻垃圾(dumpster diving)、背后偷窺(shoulder surfing)、反向社會工程學(xué)等都是竊取信息的捷徑辦法。
催生新型防御手段
俗話說道高一尺,魔高一丈,面對社會工程學(xué)帶來的安全挑戰(zhàn),企業(yè)必須適應(yīng)新的防御方法, 主要包括了:
**,增加網(wǎng)站被假冒的難度。據(jù)**反網(wǎng)絡(luò)詐騙組織2005年的報告顯示,中國已經(jīng)成為世界上*二大 擁有仿冒域名及網(wǎng)站的國家,占**的12%。銀行界人士分析,域名過長是假冒的根源。據(jù)悉,為預(yù)防不法分子用假域名進(jìn)行網(wǎng)絡(luò)釣魚 ,截至今年上半年國內(nèi)已有14家銀行更改了網(wǎng)銀域名,包括更多地使用.CN域名。如建設(shè)銀行網(wǎng)銀域名從升級為,中 國銀行域名由變更為。同時,企業(yè)需要定期對DNS進(jìn)行掃描,以檢查是否存在與公司已注冊的相類似的域名 。此外,一般來說,在網(wǎng)頁設(shè)計技術(shù)上不使用彈出式廣告、不隱藏地址欄及框架的企業(yè)網(wǎng)站被假冒的可能性較小。
*二,加強內(nèi)部安全管理。盡可能把系統(tǒng)管理工作職責(zé)時進(jìn)行分離,合理分配每個系統(tǒng)管理員所擁有的權(quán)力,避免權(quán)限過分集中。為防 止外部人員混入內(nèi)部,員工應(yīng)佩戴胸卡標(biāo)示,設(shè)置門禁和視頻監(jiān)控系統(tǒng);嚴(yán)格辦公垃圾和設(shè)備維修報廢處理程序;杜絕為貪圖方便, 將密碼粘貼或通過QQ等方式進(jìn)行系統(tǒng)維護工作的日常聯(lián)系。
*三,開展安全防范訓(xùn)練。安全意識比安全措施重要的多 。防范社會工程學(xué)攻擊,指導(dǎo)和教育是關(guān)鍵。直接明確地給予*受到攻擊的員工一些案例教育和警示,讓他們知道這些方法是如何 運用和得逞的,學(xué)會辨認(rèn)社會工程攻擊。在這方面,要注意培養(yǎng)和訓(xùn)練企業(yè)和員工的幾種能力,包括:辨別判斷能力、防欺詐能力、 信息隱藏能力、自我保護能力、應(yīng)急處理能力等。
詞條
詞條說明
軟件開發(fā)iso9001的關(guān)鍵質(zhì)量活動
?1、人力資源配置與管理:檢查:是否規(guī)定了從事影響軟件產(chǎn)品質(zhì)量工作的各類人員所必需的能力;為滿足能力需求采取的措施及其有效性評價;是否保持員工的教育、經(jīng)歷、軟件等資格認(rèn)可及考核評價等記錄。2、基礎(chǔ)設(shè)施:計算機,軟、硬件的設(shè)施配置、管理;主要負(fù)責(zé)部門研發(fā)部或物資部;檢查:為完成產(chǎn)品符合性,組織提供了哪些設(shè)施、設(shè)備(計算機硬件、軟件)清單設(shè)備是否符合產(chǎn)品的需要?是否得到了維護(網(wǎng)絡(luò)安全、軟件
淺議ISO14001企業(yè)通過OHSAS18001的重點
?企業(yè)建立的職業(yè)健康與安全管理體系要申請,必須滿足兩個基本條件:?(1)遵守中國的職業(yè)健康與安全法律、法規(guī)和標(biāo)準(zhǔn);?(2)OHSAS18001體系試運行滿3個月?在滿足上述兩個重要前提下,OHSAS18001職業(yè)健康與安全管理體系流程大致上分為以下四個階段:?一、受理申請方的申請:?申請的組織首先要綜合考慮各機構(gòu)的*性、
ISO20000管理體系在企業(yè)應(yīng)用與過程改進(jìn)
隨著國內(nèi)外IT 外包業(yè)務(wù)競爭趨勢的加強及**的相關(guān)部門的高度重視,使得國內(nèi)IT 服務(wù)外包產(chǎn)業(yè)逐漸走向輝煌。然而,軟件外包占據(jù)整個IT 服務(wù)外包市場的重要份額,由于軟件外包的重要程度,產(chǎn)品與服務(wù)質(zhì)量的好壞將直接影響到國家或企業(yè)的外在形象及收益,如何提供較好的過程持續(xù)改進(jìn)質(zhì)量,成為企業(yè)及**重點關(guān)注的問題。(如:由商務(wù)部新近發(fā)起的“千百十工程”,重點強調(diào)大力加強過程改進(jìn))整合后的體系準(zhǔn)則在企業(yè)應(yīng)用中具
一、CE簡介CE標(biāo)志是一種產(chǎn)品安全標(biāo)志, CE代表歐洲統(tǒng)一(Conformite Europeenne)。在歐盟市場CE屬強制性,符合CE的產(chǎn)品就可在歐盟各成員國自由流通。CE適用國家及地區(qū)包括奧地利、比利時、丹麥、芬蘭、法國、德國、希臘、冰島、愛爾蘭、意大利、盧森堡、荷蘭、挪威、葡萄牙、西班牙、瑞典。此外,其他部分國家也承認(rèn)CE。二、CE意義? ?
公司名: 中泰智聯(lián)(北京)認(rèn)證中心有限公司長春分公司
聯(lián)系人: 陳艷鳳
電 話: 0431-88039001
手 機: 16721989000
微 信: 16721989000
地 址: 吉林長春綠園區(qū)普陽街1688號長融大廈A座4單元407室
郵 編:
網(wǎng) 址: hnqyzx.cn.b2b168.com
公司名: 中泰智聯(lián)(北京)認(rèn)證中心有限公司長春分公司
聯(lián)系人: 陳艷鳳
手 機: 16721989000
電 話: 0431-88039001
地 址: 吉林長春綠園區(qū)普陽街1688號長融大廈A座4單元407室
郵 編:
網(wǎng) 址: hnqyzx.cn.b2b168.com
¥500.00
¥100.00
¥1.00
電子后視鏡陜汽Q/SQ 102084可靠性測試-專注汽車零部件DVP試驗
¥99999.00