国防大学 卢凡博士
信息安全也需要做到“以人为本”,充分认识到社会工程学威胁非传统信息安全的危害和方式,做到先入为主的教育和培训,技术和管理手段相结合,达成一定程度上的非传统信息安全。
“非传统安全”(Nontraditional Security),这一词见于冷战后西方国际安全与国际关系研究界。冷战后,特别是“9.11事件”发生以后,包括中国在内的世界各国纷纷把由于恐怖主义、能源、经济、文化、信息安全等问题引起的非传统威胁提升到战略高度,纳入国家安全战略范畴。近些年来,信息安全问题已经成为非传统安全领域中最突出、最核心的问题之一。
在信息安全这一非传统安全领域,也出现了类似的情况。传统的信息安全观主张“三分技术,七分管理”,但无论是技术还是管理的核心都是围绕那些不断发展的物质技术因素和外在行为因素,而忽视了处于核心地位的人的内在心理因素。因此,当先进的技术和严密的管理也不能保证信息安全时,信息安全专家们意识到还要研究传统信息安全之外的东西。
这就是所谓的“非传统信息安全”,它是传统信息安全的延伸,主张信息安全防护采取“先发制人”的战略,突破传统信息安全在观念上的指导性被动,主动地分析人的心理弱点,提高人们对欺骗的警觉,同时改进技术体系和管理体制存在的不足,从而改变信息安全“头痛医头,脚痛医脚”的现状。实现传统和非传统的信息安全,要做到“三分技术、七分管理和十分警觉”。
随着不断开发出更好的安全技术,利用技术弱点进行攻击变得越来越困难,攻击者更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵检测系统和杀毒软件的“老三样”产品方案上,还有行为审计、授权认证、数据加密等先进的技术管理手段,使得信息安全在一定程度上产生了对技术手段的依赖。这本身并没有问题,但运用“社会工程学”的方式产生的信息安全事件,越来越强力地挑战了传统的信息安全观念。突破“人”这道防火墙常常是容易的,甚至不需要很多投资和成本,冒的风险也很小。
“社会工程学”(Social Engineering)是一种通过对受害者本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已经呈现迅速上升甚至滥用的趋势。它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕、最小心的人,一样会受到高明的社会工程学手段的损害。因为“社会工程学”主导着非传统信息安全,所以通过对它的研究可以提高应对非传统信息安全事件的能力。
凯文米特(Kevin Mitnick) 2002年出版的书——《欺骗的艺术》(The Art of Deception)堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法,这些方法并不需要太多的技术基础,但可怕的是,一旦懂得如何利用人的弱点(轻信、健忘、胆小、贪婪等),就可以轻易地潜入防护最严密的网络系统。他曾经在很小的时候就能够把这一天赋发挥到极致。像变魔术一样,不知不觉地进入了包括美国国防部、IBM等几乎不可能潜入的网络系统,并获取了管理员特权。
“网络钓鱼”是近来社会工程学的代表应用——利用欺骗性的电子邮件和伪造的网络站点来进行诈骗,专门骗取电子邮件接收者的个人资料,例如身份证号、银行密码、信用卡卡号等信息。
非传统信息安全的风险来源于攻击者能够运用社会工程学的方法,利用人们工作时的本能反应和弱点得到所需要的信息,因此,决定了这种风险是不可能百分之百被防范的,事实上,人们对此只能是希望减少攻击的数量而不是完全消灭。
