教你如何保护企业数据安全

由于技术方面的可乘之机已是不多，黑客们开始寻找其他的方法潜入。黑客们于是通过缺乏密码防护经验的员工下手。这些员工通常会写错误密码，当然无法安全地分享数据。

谈及安全密码，境况同样堪忧。6月，剑桥大学Joseph Bonneau对Yahoo 公司7000万用户密码研究分析，用以评估破解密码的难度。Bonneau总结称，人们往往将密码设得过于简单。

撇开安全知识，以及保护资产安全的资源不谈，只有将重心放在公司最薄弱的一环：你的员工上，你的公司才能够取得很大的成功。

“现在的电脑防御比过去15年都坚固，而员工的安全防护意识相对比较薄弱。”系统网络安全协会（SANS Institute）人类防御计划培训主管Lance Spitzner称，“系统中最薄弱的一环已不是其他任何东西，正是人类自己。”

人为因素，系统安全的七寸

“我们将社会工程定义为一种认知过程，了解是什么因素触发了人类思考，习惯，以及反应，然后运用这些情绪反应，促使人们做出你想要的反应，”安全教育机构共同创始人Chris Hadnagy表示。

Hadnagy不仅是Social-Engineer机构创始人，曾经出版了《社会工程学：解析人心的艺术》一书。

2010年第18届DEF CON黑客会议上，Social-Engineer机构组织了第一次社会工程“夺旗比赛”，演示社会工程师如何瓦解企业的防御体系。

DEF CON会议召开之前2周，组织者给每位参与竞赛的业余社会工程师一个公司名（真实存在的）。在这两周内，工程师们需使用“正统的”技术（如Google搜索），填写一张所指派公司的资料档案。他们不能与公司进行接触，无论是通过邮件，电话或其他任何途径。不过在网络上，这些人不受任何限制。在公平竞争原则下，工程师们可以放开手脚大干一场。档案用于创建公司的配置文件，绘制“攻击路线”，使目标公司的员工自己暴露“旗帜”以及公司信息。

Social-Engineer机构负责整理参赛者的胜利成果，比如谁掌握了公司磁带备份，谁查出员工使用的浏览器及其版本，或这个公司是否有自助食堂，食堂谁开的等等。FBI将对成果列表，以及竞赛规则进行审核，严禁参赛者窃取公司密码，IP地址，或其他机密数据。“若你能让员工透露那些信息，那你就有办法让他透露更多。”Hadnagy称。

会议上，当着现场观众面，每位参赛者都有25分钟时间，打电话给目标公司，获取尽可能多的信息。参赛者们共打出140通电话，与目标公司员工进行对话。其中只有5位员工拒绝透露参赛者询问的信息。社会工程师不仅仅通过电话撒网。使用看似来源正规的邮件，进行钓鱼欺诈，是社会工程学最好的一个例证。

常见诱因----低系数安全密码

谈及安全密码，境况同样堪忧。6月，剑桥大学Joseph Bonneau发布对Yahoo 7000万用户密码研究分析结果，以评估破解密码的难度。Bonneau总结称，人们往往将密码设得过于简单。

“评估难度时，我们惊讶的发现少许变化；每一组类似的用户，生成的密码强弱分布图大致相同，”Bonneau写到，“进行类似支付卡登记等安全防范时，如年龄及国籍之类的人口因素，对密码设定产生的影响最大。甚至，我们努力推荐用户选择更安全的图像记忆法的努力，然而收效甚微。更出乎意料的是，语言完全不相同的两组用户，选择了相同的低系数密码，破解不同族群的密码时，只需突破一个族群即可，黑客甚至无需再费心改选多国词典的语言选项。”

培养安全意识，制定训练计划

“我们建议的对策是安全意识培养，以及安全教育，事实证明这些方法确实有用，”Spitzner称。不过机构内的安全意识培养计划少有完整实现的。原因在于，这些计划根本从设计上就不符合实际。事实上，公司可以建议安全指导委员会，用于以培养员工的安全意识。委员会可由5至10名志愿者组成，但志愿者需来自不同部门不同职位，以策划，执行，并维持安全培养计划的正常运作。Spitzner建议，志愿者范围最好从审计到律师都囊括。他指出，委员会成员要做的不仅是指导，还需使公司安全培养计划进入正轨。

多问自己“谁”，“什麽”和“为什麽”

指导委员会一旦建立，就需要制定计划，回答三个问题：谁，什麽，为什麽。首先回答“谁”。 Spitzner称，他见过最常见的错误是，公司妄图建立统一的安全意识，建立单一的培养计划。

“不少培养计划制定得简单而草率，”他表示，“一项切实的计划，能帮助你明确目标和范围。”

许多时候，针对不同的员工/合约商，IT工作人员，客服人员，高级主管，需要拟定不同的培养计划。“机构内无论是谁，所有人，哪怕接触一丁点数据的，你都要进行安全意识教育。”Spitzner称。

目标确定后，指导委员会需要为每一目标划分学习内容。Spitzner建议称，与其涉猎广泛，却只得皮毛，不如挑选会产生重大影响的主题。每一机构的需求，所面对的风险各不相同，因此，对每一主题进行风险评估，也许会有所帮助。常见主题包括：密码，社会工程，顺从性，邮件和即时通讯，网页浏览及浏览器，社交网络，移动设备的安全问题，数据保护，以及数据销毁。

之后，指导委员会需要制定方法，确保员工参与其中。“你会怎样说？你必须将安全意识视作一件商品，”Spitzner称，“若想员工配合，不要仅仅关注企业利益，还要重点放在员工的利益上。多数情况下，通过安全意识教育，不仅员工收获良多，企业也有所获益。”同时，Spitzner建议，应规避统一的，长时间密集训练。相反，他表示，应将主题化整为零。每一主题保持在3至5分钟内。训练前期，最好视频短片及内训穿插进行，辅以时事通讯，甚至可以评估钓鱼实例巩固培训效果。最后，安全意识培养计划需制定标准，以测量员工对计划的积极性，以及培训后他们行为改变了多少。陪养计划至少1年更新1次，根据制定的标准，对计划再次评估。