社会工程学 信息安全对抗新领域

            信息安全的脆弱性是普遍存在的,任何一个系统都具有潜在的安全风险。 近年来,利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势,成为信息安全保密工作中较脆弱的 一个环节。       社会的与风险的

    社会工程学(Social Engineering)是一种利用人的弱点: 如人的本能反应、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段,获取自身利益的手法。
    近年来,由于信息 安全厂商不断开发出更先进的安全产品,系统安全防范在技术上越来越严密,使得攻击者利用技术上的漏洞变得越来越困难。于是, 更多的人转向利用人为因素的手段----社会工程学来进行攻击。
    许多信息技术从业者都普遍存在着类似的一种观念: 他们认为自己的系统部署了先进、周密的安全设备----防火墙、IDS、IPS、漏洞扫描、防病毒网关、内容过滤、安全审计、身份 和访问控制系统,甚至于较新的UTM和防水墙,以为靠这些安全设施即可保证系统的安全。
    事实上,很多安全行为出 现在骗取内部人员(信息系统管理、使用、维护人员等)的信任,从而轻松绕过所有技术上的保护。信任是一切安全的基础,对于保 护与审核的信任,通常被认为是整个安全链条中较薄弱的一环。为规避安全风险,技术*精心设计的安全解决方案,却很少重视和 解决较大的安全漏洞----人为因素。
    无论是在现实世界还是在虚拟的网络空间,任何一个可以访问系统的人,都有可 能构成潜在的安全风险与威胁。很多较敏感的信息存在于人的头脑当中,各种安全设施要由人来掌控,这意味着如果没有把“人 ”这个因素放进整体安全管理策略中去,仅仅热衷于技术层面的所谓全面解决方案,仍将会存在一个很大的安全“裂缝 ”,或者说是整个安全“木桶”存在着较短的一块木板。
    缺乏对社会工程学防范的信息系统,不管 其安全技术多么先进完善,很可能会成为一种自我安慰的摆设,其投入大笔资金购置的较先进的安全设备,很可能成为一种浪费。 
    Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学是未来10年较大的安全风险,许多破坏 力较大的行为是由于社会工程学而不是黑客或破解行为造成的”。一些信息安全*预言,社会工程学将会是未来信息系统入侵 与反入侵的重要对抗领域。
    新的攻击手段
    社会工程学攻击基本上可以分为两个层次:物理的和心理 的。与以往的入侵行为相类似,社会工程学在实施之前要完成很多相关的前期工作的,这些工作甚至要比后续的入侵行为本身更为繁 重和更具技巧,或者说更为“艺术”。
    这些工作包括:社会工程学的实施者(一般称为社会工程师)必须 掌握心理学、人际关系学、行为学等知识与技能,以便收集和掌握实施入侵行为所需要的相关资料与信息。通常为了达到预期目的, 社会工程学攻击都要将心理的和行为的攻击两者结合运用。其常见形式包括了:
    **,伪装。从早期的求职信病毒、 爱虫病毒、圣诞节贺卡到目前流行的网络钓鱼,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗 信息的用户中,有高达5%的人都会对这些骗局做出响应。攻击者越来越喜欢玩弄社会工程学的手段,把恶件、间谍软件、勒索软件 (ransom-ware)、流氓软件等网络陷阱伪装起来欺骗被害者。
    *二,引诱。社会工程学是现在多数蠕虫病毒进行传 播时所使用的技术,它使计算机用户本能地去打开邮件,执行具有诱惑性同时具有危害的附件。例如,用一些关于某些型号的处理器 存在运算瑕疵的“瑕疵声明”或更能引起人的兴趣的“幸运中奖”、“较新反病毒软件”等说辞, 并给出一个页面连接,诱惑你进入该页面运行下载程序或在线注册个人相关信息,利用人们疏于防范的心理引诱你上钩。
    *三,恐吓。利用人们对安全、漏洞、病毒、木马、黑客等内容会特别敏感,以*机构的面目出现,散布诸如安全警告、系统 风险之类的信息,使用危言耸听的伎俩恐吓欺骗计算机用户,声称如果不及时按照他们的要求去做就会造成致命的危害或遭受严重损 失。
    *四,说服。社会工程师说服目标的目的是增强他们主动完成所指派的任务的顺从意识,从而变为一个可以被信 任并由此获得敏感信息的人。大多数企业咨询帮助台人员一般接受的训练都是要求他(她)们热情待人并尽可能地为来人来电提供帮 助,所以这里就成了社会工程学实施者获取有价值信息的“金矿”。
    *五,恭维。社会工程师通常十分友 善,很讲究说话的艺术,知道如何借助机会去迎合人,投其所好,使多数人会友善地作出回应,恭维和虚荣心的对接会让目标乐意继 续合作。
    *六,渗透。通常社会工程学攻击者都擅长刺探信息,很多表面上看起来豪无用处的信息都会被他们利用来 进行系统渗透。通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID、电话号码 、管理员的IP地址、邮箱等都可能被利用起来,通过这些收集信息来判断目标的网络架构或系统密码的大致内容,从而用口令心理学 来分析口令,而不仅仅是使用暴力破解。
    除了以上的攻击手段,一些比较另类的行为也开始在社会工程学中出现,其 中包括像翻垃圾(dumpster diving)、背后偷窥(shoulder surfing)、反向社会工程学等都是窃取信息的捷径办法。
    催生新型防御手段
    俗话说道高一尺,魔高一丈,面对社会工程学带来的安全挑战,企业必须适应新的防御方法, 主要包括了:
    **,增加网站被假冒的难度。据国际反网络诈骗组织2005年的报告显示,中国已经成为世界上*二大 拥有仿冒域名及网站的国家,占**的12%。银行界人士分析,域名过长是假冒的根源。据悉,为预防不法分子用假域名进行网络钓鱼 ,截至今年上半年国内已有14家银行更改了网银域名,包括更多地使用.CN域名。如建设银行网银域名从升级为,中 国银行域名由变更为。同时,企业需要定期对DNS进行扫描,以检查是否存在与公司已注册的相类似的域名 。此外,一般来说,在网页设计技术上不使用弹出式广告、不隐藏地址栏及框架的企业网站被假冒的可能性较小。
    *二,加强内部安全管理。尽可能把系统管理工作职责时进行分离,合理分配每个系统管理员所拥有的权力,避免权限过分集中。为防 止外部人员混入内部,员工应佩戴胸卡标示,设置门禁和视频监控系统;严格办公垃圾和设备维修报废处理程序;杜绝为贪图方便, 将密码粘贴或通过QQ等方式进行系统维护工作的日常联系。
    *三,开展安全防范训练。安全意识比安全措施重要的多 。防范社会工程学攻击,指导和教育是关键。直接明确地给予*受到攻击的员工一些案例教育和警示,让他们知道这些方法是如何 运用和得逞的,学会辨认社会工程攻击。在这方面,要注意培养和训练企业和员工的几种能力,包括:辨别判断能力、防欺诈能力、 信息隐藏能力、自我保护能力、应急处理能力等。

     

     


    中泰智联(北京)认证中心有限公司长春分公司专注于ISO9001质量管理体系认证,ISO14001环境管理体系认证,ISO45001职业健康安全管理体系认证,IATF16949认证,GB/T27922售后服务认证,GB/T27925品牌认证,GB/T31950诚信管理体系认证,ISO39001道路交通安全管理体系认证,ISO22301业务连续性管理体系认证,GB/T35770合规管理体系认证等

  • 词条

    词条说明

  • 企业做iso9001质量管理体系价格的影响因素

    企业做iso9001质量管理体系价格的影响因素:相信不少人都是直接咨询机构做iso9001质量管理体系多少钱?iso14001环境管理体系多少钱?或是iso45001员工职业健康多少钱?其实这样问,之所以机构一般不会直接回答你,是因为iso9001质量管理体系价格的报价受了几方面的影响的:**, 标数。iso9001质量管理体系通常是指三体系但是还有其他的,一种

  • 长春ISO9001《质量管理体系规则》三

    长春ISO90014.4审核报告4.4.1审核组应对审核活动形成书面审核报告,由审核组组长签字。审核报告应准确、简明和清晰地描述审核活动的主要内容,至少包括以下内容:(1)申请组织的名称和地址。(2)申请组织活动范围和场所。(3)审核的类型、准则和目的。(4)审核组组长、审核组成员及其个人注册信息。(5)审核活动的实施日期和地点,包括固定现场和临时现场;对偏离审核计划情况的说明,包括对审核风险

  • ISO13485 标准的特点

    新标准特别强调的是满足法律法规的要求。ISO13485标准是对产品技术要求的补充。ISO13485标准没有过程模式图。ISO13485标准中关于删减的规定,这在该标准的1.2节“应用”中有较详细的规定。本标准的所有要求是针对提供医疗器械的组织,不论组织的类型或规模。如果法规要求允许对设计和开发控制进行删减,则在质量管理体系中删减它们可认为是合理的。这些法规能够提供另一种安排,这些安排要在质量管理体

  • 厂区设备检修作业安全规程

    1   主题内容与适用范围本标准规定了设备检修作业前的准备、安全教育、安全检查和措施、检修作业中的安全要求和《设备检修安全作业证》的管理。本标准适用于化工企业生产区域的设备大、中修与抢修作业。2   引用标准下列标准包含的条文,通过在本标准中引用而构成本标准的条文,在出版时,所示版本均为有效。所有标准都会被修改,使用本标准的各方应探讨使用下列标准较新版本的可能性。HG 2301

联系方式 联系我时,请告知来自八方资源网!

电 话: 0431-88039001

手 机: 16721989000

微 信: 16721989000

地 址: 吉林长春绿园区普阳街1688号长融大厦A座4单元407室

邮 编:

网 址: hnqyzx.cn.b2b168.com

八方资源网提醒您:
1、本信息由八方资源网用户发布,八方资源网不介入任何交易过程,请自行甄别其真实性及合法性;
2、跟进信息之前,请仔细核验对方资质,所有预付定金或付款至个人账户的行为,均存在诈骗风险,请提高警惕!
    联系方式

公司名: 中泰智联(北京)认证中心有限公司长春分公司

联系人: 陈艳凤

手 机: 16721989000

电 话: 0431-88039001

地 址: 吉林长春绿园区普阳街1688号长融大厦A座4单元407室

邮 编:

网 址: hnqyzx.cn.b2b168.com

    相关企业
    商家产品系列
  • 产品推荐
  • 资讯推荐
关于八方 | 八方币 | 招商合作 | 网站地图 | 免费注册 | 一元广告 | 友情链接 | 联系我们 | 八方业务| 汇款方式 | 商务洽谈室 | 投诉举报
粤ICP备10089450号-8 - 经营许可证编号:粤B2-20130562 软件企业认定:深R-2013-2017 软件产品登记:深DGY-2013-3594
著作权登记:2013SR134025
Copyright © 2004 - 2024 b2b168.com All Rights Reserved