企业如何避免人为因素的安全威胁

[摘要] 为了对抗社会工程攻击，必须组建“由人组成的防火墙”，同时抛弃网络架构刀枪不入之类的幻想。 　　为了对抗社会工程攻击，必须组建“由人组成的防火墙”，同时抛弃网络架构刀枪不入之类的幻想。

　　对员工进行培训，使一部分企业能够预防和识别社会工程攻击的企图。

　　这比对员工进行防火墙系统培训的难度要小得多。

　　因此，只要组织措施得当，“人”将不再成为信息安全链中最薄弱的一环，而是成为最安全的后盾。

　　现实中发生的许多网络安全案例，破坏者使用的手法并不是十分高明，仅仅是通过一些非常简单的技术对系统进行破解。比如口令的暴力猜测，这些攻击并不需要太高深的技术，仅仅使用一些现成的软件和一点耐心就能实现。甚至还有一种技术含量更低的破解网络安全防御系统的方法，它通过种种手段骗取操作网络内部的人员提供必要的信息（如管理员口令），从而获取网络的访问权。这种方法称为“社会工程学”（Social Engineering）。

　　社会工程的黑客陷阱

　　社会工程学其实就是一个陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密，例如：用户名单、用户密码及网络结构。还比如，只要有一个人抗拒不了本身的好奇心看了邮件，病毒就可以大行肆虐。

　　大家熟知的Mydoom与Bagle都是利用社会工程学陷阱得逞的病毒。如果您从事网络安全工作已经有了一段时间，就能说出这位最“臭名昭著”的黑客名字：Kevin Mitnick——他曾被媒体作为新闻标题、被电视节目作为评说对象。有人曾用这样的语句形容他:“他旁若无人地站在白宫走廊的一角，目光深邃。一台笔记本电脑与他寸步不离，他不时在键盘上敲下某些神秘的指令……”。我们可以引用他最著名的黑客理论：“赢得别人的信任，然后利用这种信任取乐或取利，在现实世界中此类现象比比皆是，在网络世界中也同样存在。人是一种社会动物，希望被喜欢、被信任，一旦这种天性被我们利用……”

　　e时代的信任危机

　　在2000--2003年的时候，如果你利用漏洞扫描软件在10分钟内就能轻易地发现100台以上的脆弱主机。在网络安全技术不断发展的今天，各种安全防护设备与措施使得网络和系统本身的漏洞已经较少了。然而黑客入侵事件却总在不断上演，这是为什么?网络使用者的安全防护意识起着关键作用。我们可以将服务器系统安全加固交给网络安全服务商完成；可以将网络安全的常识通过培训介绍给企业的每一个员工，但是，任意设置简单易猜的口令、随处留下自己的邮箱行为还是比比皆是，这都使得善于利用社会工程学的黑客能够很轻易地完成对某些目标的入侵。

　　可以说现在CIO们最怕的不是系统灾难，因为完整的灾难恢复机制已经让他们可以坦然面对。最近流行的“网络钓鱼”，其实并不是一种新的入侵方法，而是入侵者通过技术手段伪造出一些以假乱真的网站yh受害者根据指定方法操作的Email等，使得受害者“自愿”交出重要信息或被窃取重要信息（例如银行账户密码）。入侵者并不需要主动攻击，他只需要静静等候这些钓竿的反应，就像是“姜太公钓鱼，愿者上钩”。我们可以将它归纳为有一定技术含量的、被动的社会工程入侵。那么，没有任何黑客技术含量的主动入侵存在吗？回答当然是肯定的。

　　我们举一个例子：对方公司的销售人员想获得你的客户信息，他会通过电话、Mail或者QQ等了解到贵公司销售人员的通信方式。在通过冒充客户咨询的电话中，你都可能透露出真实的个人信息，然后以你的身份再次打进电话来，询问其他员工来获取网管员的电话。剩下的事情只需要向网管员申诉自己的邮箱出现问题了，要求将密码更改过来，如果网管员稍有疏忽，这一入侵行为就已成功结束了。

　　还有一种攻击也最为常见，那就是胁迫攻击。攻击者假装成权威人士，要么是组织内的高层人员，要么是执法人员。攻击者会选择其职位之下的几个不同层次的人作为目标。攻击者会制造一个借口来要求重设口令、改变账号、访问系统或敏感信息。如果遇到抵制，攻击者会利用职权胁迫这些员工就范。社会工程学基于最基本的生活常识，最简单的心理学原理：越简单的东西越不容易出错，而越复杂的事物越可能出现漏洞，世界上最复杂的就是人和人的思想，利用人们的信息信任——这就是“社交工程学”被信息安全专业人员所恐惧的主要原因。