请选择 进入手机版 | 继续访问电脑版

电力信息化网

  • 13701278405

搜索
电力信息化网 首页 业界资讯 查看内容

人是信息安全最薄弱一环

2016-10-14 13:52| 发布者: hdm| 查看: 481| 评论: 0|原作者: 徐州华润电力有限公司,魏廉、李曙光

摘要: 但整个信息系统环节中,最脆弱的部分还是电脑的使用者。因为只要是人,就必然有弱点和不可控性,“危险”的人会轻易地让企业几百万的安全投入付之流水。

随着世界信息化的发展,电脑网络已成为社会发展与人们日常生活中不可或缺的重要工具,例如,网络购物、社交网站、订票系统等,都需要电脑网络才能使用。因此,人们的衣食住行等方面已经和电脑网路密不可分。但是电脑网络除了带来便利的生活外,也伴随着各种网络犯罪手法的快速产生,已对个人资料、财产、企业系统等产生极大的威胁。尽管不断有新研发出来的技术加强信息防护,企业也在信息安全方面连年增加投入,但整个信息系统环节中,最脆弱的部分还是电脑的使用者。因为只要是人,就必然有弱点和不可控性,“危险”的人会轻易地让企业几百万的安全投入付之流水。因此近年来社交工程(Social Engineering)成为最常用且难以防范的攻击手法。


社交工程是利用人性的弱点进行犯罪活动,是一种非定向技术性的信息安全攻击方式,利用人际关系的互动和人类的思维惯性进行犯罪行为。例如黑客通常使用电话短信、电子邮件或社交软件等假扮身份,问些看似无关紧要的问题或者诱以小利来进行社交工程。


社交工程攻击者不需要具有高深的黑客技术或攻击工具,只要利用人缺乏警惕心和贪小便宜的弱点,就可以轻松骗取个人资料、系统账号密码等重要资料,令人防不胜防。很多企业员工认为,信息安全防护离我很远跟我没有关系,这种轻视的心态却正是企业信息安全中最常见的漏洞。即使公司增加了投资,安置了各种信息安全防护设备,并制定各类操作说明、规章制度等程序,在社交工程面前,仍有可能不堪一击。因为社交工程避开了信息安全以硬件防护为主的概念,轻易地突破了企业的安全防护,而且突破这些不菲设备的成本可能仅是万分之一。

 

  • 攻击方式

电话短信是最早的社交工程方法。假冒各种身份,利用受骗人容易相信或缺乏警觉性的弱点,诱骗出账号、密码等机密资料。然后利用这些信息进入系统进而来攻击公司的电脑网络。


利用电子邮件假冒同事、领导或厂商等寄件人身份,通过精心设计的由热门新闻、升职加薪或八卦消息相关的标题,引诱收件人开启邮件中所夹带的恶意程序使人落入陷阱。


通过邮件或者是网页伪装等方式,假冒上级单位或银行企业等发来通知,要求收件人打开网页重新验证帐户密码或银行卡号等资料,造成系统密码和个人财产被盗用造成了严重后果,这种钓鱼手法,是近年来造成企业个人损失较多的犯罪手法。


伪装成各类防病毒和系统补丁更新等安全程序,谎称电脑具有风险,迷惑使用者下载安装,实际上是将恶意程序隐藏其中。例如,利用XP停止服务后用户的恐慌心理传播一些“别有用意”的补丁。


通过即时通信软件(QQ、微信、MSN等)或社交网站(人人网、微博、论坛等)假冒或盗用受害人身份主动传送恶意程序、超链接给线上的联络人(好友),或进行点赞送礼品、填表抽奖、健康保健、充值送礼等各项诈骗,造成木马病毒扩散,资料和财务受到损失。


利用电脑或者手机的软件网站(如APP Store、Android Market等)、免费工具、电影音乐和游戏应用等为幌子,诱骗使用者下载或安装,植入恶意程序造成损失。


用户对密码不够重视,长期使用默认或简单密码作为登陆凭据,例如生日、电话、1234等。这让攻击者通过对个人信息搜集后很容易就能猜到密码。密码长时间不更换或多个帐户共用一个密码也会引起被盗的概率。


带有机密信息的纸张、文件随意放置,废弃的资料随意处理没有彻底销毁,离开电脑时没有锁定屏幕或屏幕朝向窗口易被远望偷窥等都需要格外重视,很多隐私都是在无意间被泄露的。


假借、伪冒正规二维码,通过假冒图像二维码隐藏诱骗陷阱降低使用者的戒心,诱骗使用者扫描执行后静默安装恶意程序,造成财物损失和信息外泄。


  • 防范方法

虽然社交工程是利用人性缺乏戒心、好奇、省钱及偷懒的心理实施攻击,也不是不可防范。


不使用来路不明和盗版软件。许多来路不明的软件隐藏有恶意程序,随意使用将可能导致风险发生,使用正版软件不仅尊重了知识产权,更可以保障软件的正常使用和自己的合法权利。


时刻提高警惕。在使用社交网站、即时通讯、浏览网页和电子邮件时,应提高警惕,不随意开启或同意陌生邮件、交友邀请、附件档案、超链接地址等,防止假冒恶意攻击。在网上聊天、填写网站信息等行为时不要轻易透露个人信息。


谨慎使用社交网站。启用社交网站或软件个人隐私和安全性的设置,在相关隐私安全性的功能方面应详细了解,并启用设定;信息谨慎公开,谨防互相流传,在社交网站或软件发布信息前,应该对资料的公开和永久被使用做好心理准备,衡量信息对个人隐私的重要性,不要再网络上暴露重要的个人资料;谨慎使用社交网站以外的第三方应用程序,社交网站或软件朋友圈经常会提供一些应用程序(如心理测试、风水祈福等),此类程序皆需要外联第三方网站。使用此类程序时必须提高警觉,以免受骗;注意社交网站内一些集赞、返利、抢购等促销活动,有些活动可能会要求输入电子银行帐户、信用卡帐户、支付平台帐户等,对于此类活动一定要在电话确认或网站确认后再填写相关信息,否则可能造成财产损失。


注意下载来源。软件一定要到官网进行下载,并使用提供的校验码(MD5,SHA256等)进行校验,使用智能手机或平板电脑,不要随意下载未经验证的或来路不明的第三方软件,避免下载到含有恶意程序的软件。


在机场、车站、会议厅、餐饮店等公共场所使用电脑和网络的时候,应注意不要在公用电脑上登录网上银行、个人邮件、社交程序等重要内容,防止账号密码、个人资料遭到盗用;在公共场所应该选用带有无线网络密码的AP信号,登陆重要网站时应选用Https、POP3s、SMTPs等加密协议,若不得已使用开放AP信号,应避免透露账号、信息等重要资料;关闭不必要的设备和服务,例如摄像头、蓝牙、定位等非必要的设备和服务,以防止扫描和利用。


审慎网址栏的内容。针对假冒网站、DNS劫持、页内跳转等,冒充官方正规网页诱骗他人输入重要资料的行为,需要仔细查看网址是否正确,是否和百度搜索出的官方地址吻合,提高警觉以避免损失。


安装电脑防护软件。电脑防病毒软件、个人防火墙、辅助安全软件不仅要保证安装到位,还要检查代码库更新状态,养成定期杀毒和移动介质预扫描的习惯。


将常用密码进行分级,分为重要和一般。使用不同的邮箱进行网络服务的注册,密码至少8位字母数字混合,重要密码设定不和生日、身份证等相关联并且定期更换。


目前已有多款沙箱和虚拟化工具(360沙箱),可以在此技术上运行具有很高风险的工作,例如打开来路不明的网址或文件,确认安全后在将所需内容另外保存。


工作中应遵守公司相关的工作制度,例如计算机使用管理规定和资料分级制度、信息对外发布披露制度等,应保持公私分开和高职业化的素养。遇到或发现可疑的欺骗攻击行为应及时向上级单位报告。


利用上网行为管理系统进行危害过滤。上网行为管理系统可以有效地对企业内部员工的上网行为进行过滤,它不但可以对网络访问和病毒木马等进行控制,还可以进行网络安全审计,对互联网进行全面的控制,规范企业员工上网行为,强化网络安全,减少网络风险,保护了企业和个人的信息安全。如图1所示。

图1 上网行为管理系统屏幕

 

利用终端桌面安全系统进行控制。终端桌面安全系统能够有效防止员工私装软件、非法拷贝、数据外泄,阻止恶意程序的运行,对U盘和移动存储可以有效控制,防止病毒木马通过移动设备进行扩散传播。如图2所示。

 

图2 终端桌面安全系统架构

 

信息交互技术的发展和移动终端的流行使得获取企业和个人信息更加容易。在企业当中,人员应该是安全防护体系中最关键的部分。如果人员被误导欺骗犯错后,会导致系统被恶意软件感染和企业重要数据资料的丢失。很多企业在硬件防护大量投入后仍然出现安全问题,就是因为企业对于人员安全的关注度不够。员工作为企业的第一道防线,提高安全意识,加强安全技能,让他们参与安全体系的建设,支持他们主动去防范安全问题的发生是企业信息安全工作中的重要一环。


投稿联系人:张小姐 13701278405/010-52257305

新闻投稿咨询QQ:1565227076

投稿邮箱:grzx_zy@163.com

扫描上方的二维,关注更多电力最新资讯

【稿件声明】凡来源出自电力信息化网的稿件,版权均归电力信息化网所有。如需转载请注明出处,想了解 更多精彩内容,请登录网站:www.cpite.cn

1

鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

文热点

主办单位:电力信息化专业协作委员会   《电力信息化用户参考》编辑委员会   瑞电企联咨询(北京)有限公司技术支持
京ICP备13025456号-1
客服电话:010-66186680
反馈建议:13701278405@163.com