九 人员因素

原创 2004年10月23日 13:13:00
2.9 人员因素

2.9.1七大管理问题
    所有的信息系统都要由人去开发,所有的信息安全措施和协议最后要由人去实施,所
以人员的因素在信息系统中不可忽略。信息安全不论攻或防,其关键的因素是人。而且系
统特别容易受到内部人士影响,很多安全措施都是防外不防内。
根据SANS 99,1850位信息安全专家的总结导致安全漏洞的七大管理问题为:
  错误的人事安排,指派未经训练的人员维护安全,缺乏充分的时间与培训;
  错误地理解信息安全与业务问题的关系,认为信息安全不影响业务;
  不规范的实施安全操作;
  完全依靠防火墙,靠安全隔离来解决所有安全问题;
  忽视声誉,没有认识到信息与组织声誉的价值,在数字化社会中,信息系统被破
坏会对企业的形象与业务产生巨大的影响;
  头痛医头、脚痛医脚,采用反复、短期的措施,相同安全问题一再迅速重复出现

  安全无用论,忽略安全问题,假装它并不存在。

    一个关键的安全原则是使用有效的但是并不会给那些想要真正获得信息的合法用户增
加负担的方案,寻找出一条实际应用此原则的途径经常是一个困难的寻找平衡的举动。使
用过于繁杂的安全技术使得合法用户厌烦和规避你的安全协议是非常容易的。总是需要考
虑安全政策给合法用户带来的影响。在很多情况下,如果用户所感受到的不方便大于所产
生的安全上的提高,则政策实际上降低了系统的安全有效性。

2.9.2一个例子
    一个能说明问题的例子就是合法用户的密码。密码的随机性与容易记忆性是矛盾的,
如果密码的随机性比较好,那么就难以记忆;如果容易记忆,那么随机性就差。从系统安
全的角度来说,合法用户的密码应该保持足够的随机性,然而从用户本身来说,他们宁可
选择一个容易记忆的密码。问题就这样产生了,容易记忆的密码导致对系统密码的暴力探
测成功的机率大增。一些自动化的工具都带有足够大的字典,其中一部分所谓的弱密码放
在字典的最前面,按照通常的统计结果按密码的可能性大小排列,比如123、password这样
的密码很可能在探测的一开始就成功了。
    “与密码一样不理想的事,用户还特地使这种情况变得更糟了。如果你要求他们选择
一个密码,他们会选一个差的。如果你强行要求他们选一个好的,他们会把它写在一便利
贴上,然后粘在计算机显示器边上。如果你要求他们改变密码,他们就把密码改回他们上
个月改过的密码。对密码的实际研究发现,16%的密码是3个字符或更少,86%的密码易于破
译。其他研究已经证实了上述统计数字。在操作试验中,LOphtcrack可以在不到一天的时
间内发现全部密码的90%,并能在几分钟内发现全部密码的20%。”

Nsun 2004

2.9.3社会工程
    另一个有趣的问题是社会工程。
    “1994年,名为Anthony Zboralski的法国黑客打电话给华盛顿的美国联邦调查局,假
冒是工作于美国驻巴黎大使馆的FBI代表。他说服了电话另一端的人,要求另一端的人解释
了如何连接到FBI的电话会议系统上。结果他在7个月内使FBI的电话费上涨到250,000美元
。类似的,打电话给轻信的员工,假装是网络系统管理员或安全经理,这是黑客常用的手
段。如果黑客非常了解公司网络,使他听起来令人信服,那么他能够从员工那里获得口令
、帐户名称和其他机密信息。”
    在2000年,Kevin Mitnick在美国国会之前证实了社会工程,他谈到:“我采用的那种
攻击方法获得了成功,结果是几乎不必利用技术型的攻击方法,”他说,“公司可能针对
技术保护花费几百万美元,但是如果有人主要通过给某些员工打电话,并且说服员工在计
算机上进行操作,降低计算机的防御能力,或者说服员工泄漏机密信息:那么这些花费就
是浪费。”
    计算机世界中的社会工程随处可见。电子邮件附带病毒或者蠕虫采用富有欺骗性的标
题诱使没有戒心的用户打开。I LOVE YOU蠕虫藏匿于接收者认识的人发过来的电子邮件中
,欺骗接受者打开假扮为文本文件的VBScript附件。木马程序在用户运行之后,跳出一个
无关的但是看上去很正常的系统提示,使得用户对此不加防备。高波病毒的一种变种的可
执行程序名字为explored与windows的系统外壳程序explorer只有一个字母之差,一般的用
户不会注意到这个差别。
    社会工程方法也极难防御。技术方法只能对这个问题有部分作用。要改变计算机采用
的安全技术容易,要使人们改变他们的习惯很难。

2.9.4一些对策
    确保公司的职员保护他们的工作站,对于一个系统来说并不是所有的损害都来自于带
有恶意的用户的操作或黑客攻入系统。经常,计算机仅仅是被简单的用户操作失误所损害
。例如,很多雇员并没有意识到下载ActiveX文件和使用Java小程序所涉及的危险,还有很
多人当他们离开办公室(甚至很短的时间)他们并不使用屏幕密码保护程序,以防止偷窥
用户。也常常不知不觉地下载病毒和特洛伊木马因此损害了网络的正常功能。教育每名使
用者早期应用的安全技术很重要的一点是保护本地资源。
    另外必须考虑的是系统的管理员。一般而言,设计精良的安全措施也必须通过正确配
置才能达到预期的效果。以安全操作系统为例,默认的配置可能无法满足系统的具体需求
,需要系统管理员重新配置。在这种情况下,管理员对于系统配置的相关知识显得尤为重
要,错误的配置就像配备了铜墙铁壁却忘记了给大门加锁,一切安全技术都有可能失去应
有的作用。另外系统管理员除了正确配置系统,还需要定期察看相关的安全公告,及时修
补已经发现的系统漏洞。

PMP备考(二)- 项目管理五大过程组的任务和知识技能点

PMP备考(二)- 项目管理五大过程组的任务和知识技能点       PMP考试题库更新后的PMP试题分布情况   序号 过程组 分布情况 ...
  • sz_bdqn
  • sz_bdqn
  • 2014年05月04日 15:14
  • 2554

九切片技术

九切片的技术:  ( 改变UIImage 的大小)      目的:  解决不同尺寸同样设计风格的样式.      用途:   消息框,对话框...      原则:         ...
  • lk972105
  • lk972105
  • 2014年06月29日 10:29
  • 2763

九乘九数独

输入第一行有一个数n(0输出            输出一个9*9的九宫格,为这个数独的答案    #include    #include    int  map[9]...
  • u014800094
  • u014800094
  • 2016年10月26日 14:59
  • 429

第六届蓝桥杯A组C/C++ 第五题 九数组分数

1,2,3…9 这九个数字组成一个分数,其值恰好为1/3,如何组法?下面的程序实现了该功能,请填写划线部分缺失的代码。#include void test(int x[]) { int a =...
  • wugufeng0220
  • wugufeng0220
  • 2015年04月13日 17:15
  • 2030

因素分析的基本原理&对SPSS因素分析结果的解释

因素分析的基本原理●因素分析就是将错综复杂的实测变量归结为少数几个因子的多元统计分析方法。其目的是揭示变量之间的内在关联性,简化数据维数,便于发现规律或本质。●因素(因子)分析(Factor Anal...
  • ysuncn
  • ysuncn
  • 2008年01月05日 21:16
  • 9297

补肾传奇赞地黄,九蒸九晒熟地黄

古时候的中原大地、黄河中下游的三百里怀川,有那么四样神奇的物种一直被人们奉为稀世珍品。经过了三千年的流传繁衍,这四样物种在当今依然为人们所珍视和厚爱,这就是产于河南焦作的四大怀药——山药、地黄、牛膝、...
  • hanjianwen
  • hanjianwen
  • 2015年07月16日 10:38
  • 1538

九蒸九晒熟地黄 ——孙思邈长寿的故事

熟地是一味常用中药,中医认为熟地有滋阴补血、益精填髓的功效,民间也常用熟地益智、抗衰老、增强免疫力、抗辐射、养颜、补肾,治疗腰腿痛、糖尿病、焦虑症、更年期综合症等。世人都知熟地好,但九蒸九晒熟地黄的传...
  • hanjianwen
  • hanjianwen
  • 2015年07月14日 08:25
  • 1365

SPSS——方差分析(Analysis of Variance, ANOVA)——多因素方差分析(无重复试验双因素)

简介当遇到两个因素同时影响结果的情况,需要检验是一个因素起作用,还是两个因素都起作用,或者两个因素的影响都不显著场景某公司某种茶饮料的调查分析数据统计了该茶饮料两种不同的包装(新设计的包装和旧的包装)...
  • liuyuan_jq
  • liuyuan_jq
  • 2016年08月21日 14:44
  • 8151

目前双因素认证厂商有哪些?该怎么选?

目前双因素行业国内做的寥寥几家,专业能力上不分上下,国外比较NB的国家又禁止,我该怎么选啊...
  • CSDN_Adrian
  • CSDN_Adrian
  • 2016年12月10日 11:19
  • 370

线性回归介绍之十——多因素分析策略

在多重线性回归中,许多人都会碰到这样的情形:单因素分析有统计学意义,而多因素分析则无统计学意义了。这种情况令很多人头疼,不知道到底该相信哪一个结果。今天就这种情况进行以下阐述,使大家对此有些了解。 比...
  • shahaizimxm
  • shahaizimxm
  • 2014年03月28日 15:01
  • 1334
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:九 人员因素
举报原因:
原因补充:

(最多只允许输入30个字)