按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
嗟庇谛孤┠橙说淖远】罨鶳IN码或者信用卡号,类似的比喻可以增加员工培养安全习惯的积极性。
建立知识与培训程序
负责设计信息安全程序的人必须认识到这不是一个一刀切的项目,培训程序需要适应企业内不同组的特殊需要。在16章描述的许多安全策略都是全体适用的,而很多其它的策略是针对指定员工组的。大部分公司的培训程序都需要适应以下这些组:管理人员、IT职员、计算机用户、非技术人员、行政助理、接待员和安全警卫。(请看第16章,根据工作分配分解策略)
因为公司的商业安全警卫通常并不精通电脑,并且,他们接触公司电脑的几率很小,所以在设计培训程序时通常不会考虑他们。但是,社会工程师可以欺骗安全警卫或其他人放他们进大楼或办公室,或者让他们协助实施计算机入侵。警卫当然不需要像操作电脑的人那样参加全部的培训,但是他们必须了解安全知识程序。
在企业内部或许会有哪些是所有员工都需要培训的重要、固有的安全缺陷,设计优秀的信息安全培训程序必须获知并捕捉学习者的积极性和注意力。
信息安全知识与培训的目标应当包括一次迷人的交互式体验,可以通过角色扮演演示社会工程学攻击,评价最近媒体对那些不幸的公司的攻击报导,讨论这些公司怎样才能避免损失,或者播放既生动又有教育性的安全视频,有几家安全公司销售这些视频和相关的资料。
注释
对于那些没有资源开发内部程序的公司,有几家培训公司提供安全知识培训服务,可以在Secure World Expo (www。shubao2。com)上找到这些公司的信息。
本书中的故事提供了许多材料说明社会工程学方法和策略来加强威胁意识,展示人类行为的弱点,可以考虑使用他们的方案进行角色扮演活动,这些故事同时也提供了有趣的讨论机会,比如受害者可以怎样回应来抵御攻击。
熟练的课程设计者和熟练的讲师会发现很多挑战,但也有很多机会让课堂活跃起来,还可以在此过程中促使人们成为解决方案的一部分。
培训结构
所有员工都必须参加基本的安全知识培训程序,新员工必须参加培训作为他们的初始教育,我建议规定新员工不能接触公司的计算机系统,直到他们完成了基础安全知识课程。
对于初始的安全知识培训,我建议简短一些,但能引起足够的注意力,让员工们记住重要的讯息。当因资料过多而需要长时间培训时,必须提供合理的基本讯息数量,我认为超过半天或全天的培训会让人们因信息过多而变得麻木。
这些课程的重点应当是让员工认识到自己和公司都有可能遭受攻击,除非所有员工都有很好的安全习惯。比学习指定的安全策略更重要的是激发员工对公司安全的责任心。
在员工不愿意参加教室课程的情况下,公司应当考虑进行其它形式的教学,比如录像、基于计算机的培训、在线课程或者编写材料。
在短期的初始培训课程之后,还应当设计长期课程让不同职位的员工了解特殊的漏洞与攻击技术,第二次培训至少要持续一年以上。威胁的种类与攻击的方法都在不停地变换,所以课程的内容应当不断更新,此外,人们的知识和戒心会随着时间的推移而减少,所以培训必须每隔一段时间重复一次,才能不断地加强员工的安全意识。再重申一次,培训不仅要曝光安全威胁和社会工程学策略,还要让员工了解到安全策略的重要性并使他们拥护这些策略。
管理人员必须给他们的下属一段合理的时间熟悉安全策略和程序并参加安全知识培训。员工们不应当指望在非工作时间学习安全策略或参加安全培训,新员工应当有足够的时间熟悉安全策略,在开始他们的工作之前养成良好的安全习惯。
在企业内部更换了工作岗位,涉及到访问敏感信息或计算机系统的员工同样需要完成他们新工作的安全培训程序。比如,当一个电脑操作员成了系统管理员(或者一个接待员成了行政助理)时,就需要新的培训。
培训课程内容
在归纳基本原理的时候,所有的社会工程学攻击都有一个共同元素:欺骗。受害者相信攻击者是同一家公司的员工或者有权访问敏感信息的其他人,或者有权指挥受害者操作一台计算机或计算机相关的设备。只要员工简单地进行以下两个步骤,就可以防范几乎所有的这些攻击:
核实请求者的身份:进行请求的这个人是他所声称的那个人吗?
核实请求者是否已授权:这个人需要知道这些吗?他有没有被授权进行这种请求?
注释:
因为安全知识与培训是不完美的,所以最好在创建防御体系时深入地使用安全技术。技术性的安全措施要比针对员工个体的安全措施有效,比如,可以通过配置操作系统禁止员工从互联网上下载软件或使用简短的弱口令。
如果知识培训课程改变了员工的行为,那么可以用这些标准对员工进行测试请求,相应的社会工程学攻击威胁将大大减少。
一个实用的信息安全知识与培训程序应当包含以下内容:
描述攻击者怎样使用社会工程学技能行骗。
社会工程师实现他们目标的方法。
怎样识别可能的社会工程学攻击。
处理可疑请求的程序。
在哪里报告攻击企图或者成功的攻击。
质疑提出可疑请求的人的重要性,不管他声称自己是何职位。
在现实中,他们不应在没有严格验证的情况下完全相信别人,虽然他们更愿意在拿不准把别人往好处想。
对任何请求信息或操作的人进行身份验证与授权验证的重要性(第16章,“验证与授权程序”,描述了这些验证方式)。
保护敏感信息的程序,包括熟悉所有的数据分类系统。
公司的安全策略与程序的定位,保护信息与企业信息系统的重要性。
关键安全策略与它们的含义汇总。例如,指导每一个员工设定高强度的密码。
每一个员工遵守策略的职责与不服从的后果。
通过解说社会工程学介绍几种交互类型。攻击者为了达到他(或她)的目标,会非常频繁地使用不同的技术和通信方式,因此,一个成熟的培训程序应当包括以下内容的一部分或全部:
涉及到计算机和语音信箱密码的安全策略。
解密敏感信息或资料的程序。
Email使用策略,包括防范恶意代码攻击(病毒、蠕虫和特洛伊木马)的安全措施。
物理安全要求,比如佩戴证件。
在遇到未佩戴证件的人时,有询问质疑的责任。
良好的语音邮件安全习惯。
如何确定信息分类和适当的安全措施。
适当的处理敏感文档和过去存放过机密资料的计算机媒体。
同样,如果公司计划使用渗透测试来确定针对社会工程学攻击的安全措施是否有效,应当警告员工注意这次练习,让员工们知道有时候他们会接到使用了攻击技术的电话或其它通讯,作为测试的一部分。测试的结果不会有任何惩罚,但是可能会需要一定范围内的额外培训。
上述内容的详细资料可以在第16章找到。
测试
你的公司可能需要在员工使用计算机系统之前测试他们是否已经掌握了这些安全知识。如果你想设计一个测试程序,有许多评价设计软件程序能让你轻松地分析测试的结果,锁定需要强化培训的范围。
你的公司可能会考虑提供一张证书作为奖励证明员工完成了安全培训。
作为完成程序的一部分,建议让每一个员工签署一份遵守安全策略和规定的同意书。调查报告显示,签署了同意书的人会更加严格地遵守程序。
持续的培训
如果不周期性的复习,大部分人会把学到的知识(甚至重要的事件)忘掉。为了不让员工忘记如何防范社会工程学攻击,持续的培训程序非常重要。
一种让员工记忆深刻的方法是把安全作为他们特殊的工作职责,这能让员工认为他们在公司安全体系内扮演着至关重要的角色,否则员工会强烈地倾向于安全“不是我的工作”。
当安全部门或信息技术部门的人承担了一个信息安全程序全部的职责时,信息安全培训程序最好的结构是与培训部门协同合作。
持续的培训程序需要创造性地使用所有可能的频道传输安全