人力资源-2022F 第十五章 信息安全知识与培训VIP免费

第1页共7页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共7页第十五章信息安全知识与培训(中文完整版)一个社会工程师已经关注你的新产品发布计划两个月了。有什么能阻止他？你的防火墙？不行。强大的验证设施？不行。入侵检测系统？不行。加密？不行。限制调制解调器的访问？不行。编码服务器名称，使入侵者无法确定产品计划所在的服务器？不行。事实上，没有任何技术能防范社会工程学攻击。安全技术、培训和程序许多公司在他们的安全渗透测试报告中说，他们对客户公司计算机系统实施的社会工程学攻击几乎可以百分之百成功。使用安全技术的确可以让这些攻击更难实施，但唯一真正有效的办法是，将安全技术和安全策略结合起来，规范员工行为并适当地进行培训。只有一种方法能让你的产品计划安全，那就是接受过安全培训的负责任的员工。这不仅涉及到安全策略和安全程序的培训，还包括了安全知识的培训。一些权威人士建议把公司40%的安全预算用在安全知识的培训上。第一步是让企业的每一个人都认识到那些能操纵他们心理的人的存在，员工们必须了解信息需要哪些保护与如何保护。当人们了解了操纵的细节时，他们便能在攻击初期更好地处理。安全培训也意味着让企业的所有员工了解公司的安全策略与程序，就像在第17章所讨论的那样，策略是指导员工行为保护企业信息系统与敏感信息所必须的规则。本章和下一章提供了一张把你从可怕的攻击中解救出来的安全蓝图。如果你没有培训并警告员工遵循谨慎考虑过的程序，这也许没什么大不了的，在你被社会工程师窃取贵重信息之前。不要等到攻击发生才制定这些策略：这对你的事业和你的员工福利将是毁灭性的。了解攻击者是怎样利用人的天性的为了制定一套成功的培训程序，首先你必须了解为什么人们容易遭受攻击，在你的培训中识别这些倾向——比如，通过角色扮演讨论引起他们的注意——你能帮助你的员工了解为什么我们都能被社会工程师轻易地操纵。社会科学家对心理操纵的研究至少已经有50年了，罗伯特•B•西奥迪尼（RobertBCialdini）在科学美国人（2001年2月）杂志中总结了这些研究，介绍了6种“人类天性基本倾向”。这6种倾向正是社会工程师在他们的攻击尝试中所依赖的（有意识的或者无意识的）。权威当请求来自权威人士时，人们有一种顺从的倾向。就像本书其它地方所讨论的那样，如果人们相信请求者是权威人士或有权进行这样的请求的人，他（或她）便会毫不怀疑地执行请求。在西奥迪尼博士写的一篇论文中，一个声称是医院医师的人打电话给三家中西部医院的22个独立护士站要求她们为病房的一个病人送去处方药，收到这些命令的护士们根本不认识呼叫者，她们甚至不知道他是否真的是医师（他不是），她们是从电话里收到处方药第2页共7页第1页共7页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共7页的命令的，这显然违背了医院的策略。她们被要求送给病人的药物是未授权，并且剂量是每日最大剂量的两倍，这足够危及病人的生命了。然而在95%的案例中，西奥迪尼写道，“护士从病房医药箱中取出了足够的剂量并把它给了病人。”之后观察者阻止了护士并解释这是一次实验。攻击举例：一个社会工程师试图伪装成IT部门的权威人士，声称他是公司的主管（或者为主管工作的人）。爱好当作出请求的人很可爱或者与被请求者有相同的爱好、信仰和意见是，人们总是倾向于顺从。攻击举例：通过交谈，攻击者设法了解了目标的兴趣或爱好，并声称他也有相同的兴趣或爱好，或者来自于同一个州或学校，或者有相似的目标。社会工程师还会尝试模仿目标的行为创造相似性。报答当我们被给予（或者许诺）了一些有价值的东西时，我们可能会自动地同意请求。礼物可以是资料、建议、或帮助，当有人为你做了一些事情时，你会倾向于报答他。这种强烈的报答倾向甚至在你收到了并不需要的礼物时依然存在。让人们“帮忙”（同意请求）的最有效的方法之一就是给予一些礼物形成潜在的债务。哈瑞奎师那教徒善于此道，他们会送书籍或者鲜花作为礼物，然后等待回报。如果收到礼物的人想要归还礼物，给予者便会拒绝并说明，“这是我们给你的礼物。...