网络安全:人为因素

NBC情景喜剧《唐顿庄园》本季揭幕战的第一个场景之一，办公室，显示公司IT人员坐在帕姆的电脑前，试图清除病毒，而吉姆和帕姆在一旁看着。
IT男:“一般来说，点击任何你没有要求的网上优惠都不是一个好主意。具体的报价是多少?”
帕姆:“是为了一个视频。”
IT男:“什么样的视频?”
潘:(尴尬地)“一段名人性爱录像。”
吉姆:“真的吗?什么样的名人?”
潘:“无关紧要。”
吉姆:“你花了多少钱买的?”
潘:“无关紧要。”
吉姆:“你花钱买的?!?”
潘:“一切都发生得太快了!”
他们的处境虽然幽默，但却是真实的。你的人可能是最薄弱的安全环节。在某些情况下，不开心的员工可能会故意破坏工作，但这种情况比人们做傻事要少得多。或者有时人们会陷入社会工程骗局，为病毒或黑客打开大门。

四个例子:

1号:想象一下你办公室的电话响了。打电话的人说他是IT部门的，让你帮忙修改密码来解决网络问题。如果你接受过网络安全培训，你就知道你真的不应该做这种事情，对吧?美国国税局最近做了一个类似的测试。以下是他们报告的简要摘录:
美国国税局有近10万名员工和承包商，拥有大约240个计算机系统和1500多个数据库。使用社会工程策略，我们确定国税局员工，包括经理，没有遵守基本的计算机安全措施来保护他们的密码。因此，美国国税局面临着向未经授权的人提供纳税人数据的风险，这些数据可能被用于身份盗窃和其他欺诈计划。
“我们给国税局的员工打了102个电话，包括经理和一名承包商，并冒充计算机支持帮助台代表。在这种情况下，我们要求每个员工协助纠正计算机问题，并要求员工提供他或她的用户名，并临时将其密码更改为我们建议的密码。我们能够说服102名员工中的61人(60%)遵守我们的要求。在我们样本中的102名员工中，只有8人联系了美国国税局的计算机安全机构，以确认我们的测试是官方审计的一部分。”

2号:一名黑客因侵入网络电话系统而被捕并被定罪，他说他的工作并没有那么难。使用谷歌搜索字符串在设备上查找Web接口很简单，但他仍然必须通过密码才能做任何事情。正如这名黑客所说，“我们入侵的方法是，大多数电信管理员都使用最基本的密码，‘Cisco’或‘admin’。’他们根本就没有加固他们的盒子。”

3号:黑客入侵公司的一种攻击方式是在目标公司的停车场和场地周围散布u盘。上班的人发现了它们，就忍不住要插上一个。出现的文件名听起来很有趣(比如名人性爱录像带)，所以有人会出于好奇打开一个。一个程序启动，使个人电脑与黑客联系，并允许进入。一切都发生得太快了。
这真的可能吗?“有关蠕虫家族的警告已经发布，这些蠕虫通过复制自己到USB记忆棒等可移动驱动器上传播，然后在设备再次连接到电脑时自动运行。”W32/ silyfd - aa蠕虫会搜寻软盘和USB记忆棒等可移动驱动器，然后创建一个名为“自动运行”的隐藏文件。inf，以确保下次连接到微软Windows PC时运行蠕虫病毒的副本。(IT网络与计算机安全，2007年5月16日)。
在这种情况下，便携u盘被认为是一种严重的威胁，因为它是窃取数据或注入恶意软件的非常有效的媒介。虽然有些人建议禁用u盘和CD光盘的自动运行选项，但其他人认为这远远不够保护。一个更有效但更激进的方法是用环氧树脂填充服务器上未使用的USB端口，或者确保所有计算机端口上都有锁定的盖子。

4号:更可怕的是那些不开心的员工故意制造麻烦。《信息周刊》报道了美可健康解决方案公司(Medco Health Solutions)的一位前系统管理员制作了一枚逻辑炸弹，并将其植入公司网络的故事。炸弹可能会破坏美可科客户数据库中的记录，这些记录允许药剂师在开出新处方之前检查客户现有的药物使用情况。
据称，管理员林永勋(yong - hsun Lin)在2003年10月编写了这段代码，当时他预计自己会被解雇。他将代码设置为次年4月执行。林并没有被解雇，而是把炸弹留在了原地。当那一天到来时，由于编码错误，炸弹失败了。林修复了这个问题，并在2005年4月重置了炸弹。
2005年1月，一位同事偶然发现了恶意代码，IT部门安全删除了它。最终追查到林，他于2006年12月被联邦调查局特工逮捕。美可估计，清理这个问题需要7万到12万美元。如果炸弹成功了，由于药物问题可能对患者造成的物理伤害是无法确定的。林承认有罪，将于明年1月被判刑。
这些故事的寓意是，仅靠技术解决方案无法确保系统的安全。但另一方面，即使是受过最好训练和最认真的人也不能阻止一个坚定的黑客入侵一个薄弱的系统。加固涉及到人和系统。两者必须共同努力，最大限度地减少漏洞。ce
彼得·韦兰德是过程工业编辑。联络他的地址是PWelander@cfemedia.com．

作者信息

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。