九 人員因素

2.9 人員因素

2.9.1七大管理問題
    所有的信息系統都要由人去開發，所有的信息安全措施和協議最後要由人去實施，所
以人員的因素在信息系統中不可忽略。信息安全不論攻或防，其關鍵的因素是人。而且系
統特別容易受到內部人士影響，很多安全措施都是防外不防內。
根據SANS 99，1850位信息安全專家的總結導致安全漏洞的七大管理問題爲：
  錯誤的人事安排，指派未經訓練的人員維護安全，缺乏充分的時間與培訓；
  錯誤地理解信息安全與業務問題的關係，認爲信息安全不影響業務；
  不規範的實施安全操作；
  完全依靠防火牆，靠安全隔離來解決所有安全問題；
  忽視聲譽，沒有認識到信息與組織聲譽的價值，在數字化社會中，信息系統被破
壞會對企業的形象與業務產生巨大的影響；
  頭痛醫頭、腳痛醫腳，採用反覆、短期的措施，相同安全問題一再迅速重複出現
；
  安全無用論，忽略安全問題，假裝它並不存在。

    一個關鍵的安全原則是使用有效的但是並不會給那些想要真正獲得信息的合法用戶增
加負擔的方案，尋找出一條實際應用此原則的途徑經常是一個困難的尋找平衡的舉動。使
用過於繁雜的安全技術使得合法用戶厭煩和規避你的安全協議是非常容易的。總是需要考
慮安全政策給合法用戶帶來的影響。在很多情況下，如果用戶所感受到的不方便大於所產
生的安全上的提高，則政策實際上降低了系統的安全有效性。

2.9.2一個例子
    一個能說明問題的例子就是合法用戶的密碼。密碼的隨機性與容易記憶性是矛盾的，
如果密碼的隨機性比較好，那麼就難以記憶；如果容易記憶，那麼隨機性就差。從系統安
全的角度來說，合法用戶的密碼應該保持足夠的隨機性，然而從用戶本身來說，他們寧可
選擇一個容易記憶的密碼。問題就這樣產生了，容易記憶的密碼導致對系統密碼的暴力探
測成功的機率大增。一些自動化的工具都帶有足夠大的字典，其中一部分所謂的弱密碼放
在字典的最前面，按照通常的統計結果按密碼的可能性大小排列，比如123、password這樣
的密碼很可能在探測的一開始就成功了。
    “與密碼一樣不理想的事，用戶還特地使這種情況變得更糟了。如果你要求他們選擇
一個密碼，他們會選一個差的。如果你強行要求他們選一個好的，他們會把它寫在一便利
貼上，然後粘在計算機顯示器邊上。如果你要求他們改變密碼，他們就把密碼改回他們上
個月改過的密碼。對密碼的實際研究發現，16%的密碼是3個字符或更少，86%的密碼易於破
譯。其他研究已經證實了上述統計數字。在操作試驗中，LOphtcrack可以在不到一天的時
間內發現全部密碼的90%，並能在幾分鐘內發現全部密碼的20%。”

Nsun 2004

2.9.3社會工程
    另一個有趣的問題是社會工程。
    “1994年，名爲Anthony Zboralski的法國黑客打電話給華盛頓的美國聯邦調查局，假
冒是工作於美國駐巴黎大使館的FBI代表。他說服了電話另一端的人，要求另一端的人解釋
瞭如何連接到FBI的電話會議系統上。結果他在7個月內使FBI的電話費上漲到250，000美元
。類似的，打電話給輕信的員工，假裝是網絡系統管理員或安全經理，這是黑客常用的手
段。如果黑客非常瞭解公司網絡，使他聽起來令人信服，那麼他能夠從員工那裏獲得口令
、帳戶名稱和其他機密信息。”
    在2000年，Kevin Mitnick在美國國會之前證實了社會工程，他談到：“我採用的那種
攻擊方法獲得了成功，結果是幾乎不必利用技術型的攻擊方法，”他說，“公司可能針對
技術保護花費幾百萬美元，但是如果有人主要通過給某些員工打電話，並且說服員工在計
算機上進行操作，降低計算機的防禦能力，或者說服員工泄漏機密信息：那麼這些花費就
是浪費。”
    計算機世界中的社會工程隨處可見。電子郵件附帶病毒或者蠕蟲採用富有欺騙性的標
題誘使沒有戒心的用戶打開。I LOVE YOU蠕蟲藏匿於接收者認識的人發過來的電子郵件中
，欺騙接受者打開假扮爲文本文件的VBScript附件。木馬程序在用戶運行之後，跳出一個
無關的但是看上去很正常的系統提示，使得用戶對此不加防備。高波病毒的一種變種的可
執行程序名字爲explored與windows的系統外殼程序explorer只有一個字母之差，一般的用
戶不會注意到這個差別。
    社會工程方法也極難防禦。技術方法只能對這個問題有部分作用。要改變計算機採用
的安全技術容易，要使人們改變他們的習慣很難。

2.9.4一些對策
    確保公司的職員保護他們的工作站，對於一個系統來說並不是所有的損害都來自於帶
有惡意的用戶的操作或黑客攻入系統。經常，計算機僅僅是被簡單的用戶操作失誤所損害
。例如，很多僱員並沒有意識到下載ActiveX文件和使用Java小程序所涉及的危險，還有很
多人當他們離開辦公室（甚至很短的時間）他們並不使用屏幕密碼保護程序，以防止偷窺
用戶。也常常不知不覺地下載病毒和特洛伊木馬因此損害了網絡的正常功能。教育每名使
用者早期應用的安全技術很重要的一點是保護本地資源。
    另外必須考慮的是系統的管理員。一般而言，設計精良的安全措施也必須通過正確配
置才能達到預期的效果。以安全操作系統爲例，默認的配置可能無法滿足系統的具體需求
，需要系統管理員重新配置。在這種情況下，管理員對於系統配置的相關知識顯得尤爲重
要，錯誤的配置就像配備了銅牆鐵壁卻忘記了給大門加鎖，一切安全技術都有可能失去應
有的作用。另外系統管理員除了正確配置系統，還需要定期察看相關的安全公告，及時修
補已經發現的系統漏洞。