“社會工程學(xué)”主導(dǎo)非傳統(tǒng)信息安全
國防大學(xué) 盧凡博士
信息安全也需要做到“以人為本”,充分認(rèn)識到社會工程學(xué)威脅非傳統(tǒng)信息安全的危害和方式����,做到先入為主的教育和培訓(xùn),技術(shù)和管理手段相結(jié)合,達(dá)成一定程度上的非傳統(tǒng)信息安全���。
“非傳統(tǒng)安全”(Nontraditional Security)�����,這一詞見于冷戰(zhàn)后西方國際安全與國際關(guān)系研究界��。冷戰(zhàn)后���,特別是“9.11事件”發(fā)生以后,包括中國在內(nèi)的世界各國紛紛把由于恐怖主義���、能源���、經(jīng)濟(jì)、文化�����、信息安全等問題引起的非傳統(tǒng)威脅提升到戰(zhàn)略高度�����,納入國家安全戰(zhàn)略范疇�����。近些年來���,信息安全問題已經(jīng)成為非傳統(tǒng)安全領(lǐng)域中最突出�、最核心的問題之一�����。
在信息安全這一非傳統(tǒng)安全領(lǐng)域�����,也出現(xiàn)了類似的情況����。傳統(tǒng)的信息安全觀主張“三分技術(shù),七分管理”��,但無論是技術(shù)還是管理的核心都是圍繞那些不斷發(fā)展的物質(zhì)技術(shù)因素和外在行為因素���,而忽視了處于核心地位的人的內(nèi)在心理因素��。因此����,當(dāng)先進(jìn)的技術(shù)和嚴(yán)密的管理也不能保證信息安全時(shí),信息安全專家們意識到還要研究傳統(tǒng)信息安全之外的東西��。
這就是所謂的“非傳統(tǒng)信息安全”���,它是傳統(tǒng)信息安全的延伸���,主張信息安全防護(hù)采取“先發(fā)制人”的戰(zhàn)略,突破傳統(tǒng)信息安全在觀念上的指導(dǎo)性被動(dòng)�����,主動(dòng)地分析人的心理弱點(diǎn)�����,提高人們對欺騙的警覺���,同時(shí)改進(jìn)技術(shù)體系和管理體制存在的不足���,從而改變信息安全“頭痛醫(yī)頭��,腳痛醫(yī)腳”的現(xiàn)狀。實(shí)現(xiàn)傳統(tǒng)和非傳統(tǒng)的信息安全��,要做到“三分技術(shù)���、七分管理和十分警覺”���。
隨著不斷開發(fā)出更好的安全技術(shù),利用技術(shù)弱點(diǎn)進(jìn)行攻擊變得越來越困難��,攻擊者更多地轉(zhuǎn)向利用人的弱點(diǎn)����。傳統(tǒng)的信息安全集中于防火墻、入侵檢測系統(tǒng)和殺毒軟件的“老三樣”產(chǎn)品方案上��,還有行為審計(jì)��、授權(quán)認(rèn)證��、數(shù)據(jù)加密等先進(jìn)的技術(shù)管理手段�����,使得信息安全在一定程度上產(chǎn)生了對技術(shù)手段的依賴�����。這本身并沒有問題,但運(yùn)用“社會工程學(xué)”的方式產(chǎn)生的信息安全事件�����,越來越強(qiáng)力地挑戰(zhàn)了傳統(tǒng)的信息安全觀念����。突破“人”這道防火墻常常是容易的,甚至不需要很多投資和成本�,冒的風(fēng)險(xiǎn)也很小。
“社會工程學(xué)”(Social Engineering)是一種通過對受害者本能反應(yīng)�����、好奇心���、信任�����、貪婪等心理陷阱進(jìn)行諸如欺騙���、傷害等危害手段���,取得自身利益的手法,近年來已經(jīng)呈現(xiàn)迅速上升甚至濫用的趨勢�。它并不能等同于一般的欺騙手法��,社會工程學(xué)尤其復(fù)雜��,即使自認(rèn)為最警惕��、最小心的人����,一樣會受到高明的社會工程學(xué)手段的損害。因?yàn)椤吧鐣こ虒W(xué)”主導(dǎo)著非傳統(tǒng)信息安全�����,所以通過對它的研究可以提高應(yīng)對非傳統(tǒng)信息安全事件的能力��。
凱文米特(Kevin Mitnick) 2002年出版的書――《欺騙的藝術(shù)》(The Art of Deception)堪稱社會工程學(xué)的經(jīng)典�����。書中詳細(xì)地描述了許多運(yùn)用社會工程學(xué)入侵網(wǎng)絡(luò)的方法,這些方法并不需要太多的技術(shù)基礎(chǔ)�����,但可怕的是�,一旦懂得如何利用人的弱點(diǎn)(輕信、健忘����、膽小、貪婪等)����,就可以輕易地潛入防護(hù)最嚴(yán)密的網(wǎng)絡(luò)系統(tǒng)。他曾經(jīng)在很小的時(shí)候就能夠把這一天賦發(fā)揮到極致��。像變魔術(shù)一樣�,不知不覺地進(jìn)入了包括美國國防部、IBM等幾乎不可能潛入的網(wǎng)絡(luò)系統(tǒng)���,并獲取了管理員特權(quán)����。
“網(wǎng)絡(luò)釣魚”是近來社會工程學(xué)的代表應(yīng)用――利用欺騙性的電子郵件和偽造的網(wǎng)絡(luò)站點(diǎn)來進(jìn)行詐騙,專門騙取電子郵件接收者的個(gè)人資料��,例如身份證號���、銀行密碼�����、信用卡卡號等信息��。
非傳統(tǒng)信息安全的風(fēng)險(xiǎn)來源于攻擊者能夠運(yùn)用社會工程學(xué)的方法�����,利用人們工作時(shí)的本能反應(yīng)和弱點(diǎn)得到所需要的信息,因此����,決定了這種風(fēng)險(xiǎn)是不可能百分之百被防范的,事實(shí)上����,人們對此只能是希望減少攻擊的數(shù)量而不是完全消滅。
