保护个人信息
曾和一位攻防
技术高超的
黑客聊天,他认为SQL入住和跨站两大攻击方法虽然是目前国内最为流行的黑客攻击手段,但从国际黑客攻防
技术发展趋势看,未来“
社会工程学”无疑将成为最持久的也是有效的攻击手段。
黑客无论处于什么目的,若要使用
社会工程学必先要了解目标对象的相关信息,作为网络管理者,保护好单位领导以及员工的信息是你不可推卸的责任。当然在保护他人信息不被窃取之时,也要注意这些人在无意识的状态下,主动泄露自己的信息。社交网站无疑是无意识泄露信息最好的地方,它也成为黑客们最喜欢光顾的地方。
本文就是提醒用户如何方法在社交网络网站上不要透露过多的个人信息,希望能对你的IT运维工作有所帮助。
由于身份失窃案不断增多、个人信息越来越宝贵,没有什么事比提防在网上透露个人信息更重要的了。
像Facebook这些社交网络网站已经基本上取代了网上聊天室和论坛——至少在成年人圈子里是这样,成了在网上转悠、消磨时间的好玩去处。遗憾的是,它们同样取代聊天室,成了通俗小报中恋童癖者选择下手目标的去处。
但尽管我们有意识地监控孩子们的网络使用,并对他们可以访问哪些网站以及允许上网多长时间进行了限制,我们还是有可能面临其他各种威胁。
身体力行
你在教育孩子只能与熟悉的人聊天、并且对他们透露多少个人信息进行限制时,还要考虑自己是否身体力行、说到做到。
你要是通过在Facebook的个人档案向外人宣布在某某峡谷体验了一把蹦极跳,这表明你在人家眼里仍是个笑料。如果你的个人档案上面除了当前和昔日雇主的推介评语,还写明了出生日期、家乡、住址和电话号码,实际上向盗用你身份的不法分子敞开了大门,根本就没有设防。
在过去,录音表明你外出度假的应答电话留言无异于泄露了秘密,这对伺机作案的窃贼来说是再好不过的消息了。如今,粗心大意的个人状况最新信息或者没有得到保护的网上个人档案也带来了这样的隐患,使网络骗子得以把你的个人资料偷来卖掉。
限制透露
许多社交网络网站上的隐私选项并不总是在默认情况下启用的,不过Facebook已采取了一些措施,大大提高了用户当前
安全设置的透明度。即便如此,你还是应当检查一下谁可以查看哪些信息。Facebook主页右上方的“隐私”(Privacy)选项让你可以限定谁可以浏览你的详细资料、谁可以对你进行搜索。
今年2月,Facebook达成了一项交易,可以通过搜索引擎来搜索发布信息和个人档案。骗子们甚至不必成为Facebook的成员,就可以查明你的下落、找出你的个人信息。
尽管有许多人强烈抗议,但这依然是事实:Facebook的
注册条款允许它可以这么做——尽管你的个人档案可能就是你的一切、充当你的网上身份,但这全部归Facebook所有。这里的关键在于,确保你在注册之前认真阅读了相关条款和条件。
允许朋友浏览自己的电子邮件地址、照片、状态和音乐爱好完全可以,不过我们建议你还是禁用搜索部分。另外,如果你允许朋友的朋友和“我网络中的任何人”浏览你在网上的一举一动,你其实已经暴露在成千上万的观众面前——如果你的其中一个网络是伦敦交友网,更是如此。你网络中的任何人都有可能利用从你的个人档案获取的信息对你造成不利。
要提防那些貌似“共同的”朋友企图把你添加到好友列表。他们可能只是想与别人比一比谁的网上朋友更多;或者他们希望成为你的朋友可能只是企图通过你的个人档案获取更详细的个人资料。
虽然这听上去不太可能会发生,但还是有许多媒体报道了这种案例:有人就通过这种方式来利用公开及半公开发布的个人信息。
知己知彼
同样,就因为某人似乎认识你的其中一个朋友,就想当然地以为对方值得信赖,这恐怕是个错误。去年,三名少女在Bebo留言板上结识了一名中年男子,结果却被该男子“特别关照”,后来又在现实生活中被对方尾随追踪。每个女孩都很信任他,因为他显然是另外两个女孩的网上朋友。
正如该男子被捕后其中一个女孩叙述的那样,他继续对自己的其中一个校友很友好,这让她忽视了对方的古怪行为——包括他经常有板有眼地讲述她们几个人上超市购物以及在网上讨论过的其他活动。
后来这名网上尾随追踪者出现在泰特现代美术馆时终于被逮住了。他事先得知,这些女孩要去该美术馆、参加学校组织的旅游;就在他偷拍网上结识的其中一个女孩时,被认了出来。她们在他还没有溜掉就报告了保安和警方。
虽然这是一起特别严重、特别具有戏剧性的案例,但反映了另一个问题。你的朋友相信别人是出于对方的声誉和信任,这是我们当面和网上人际交流关系的一个重要因素。而LinkedIn和Plaxo等商业网络也恰恰利用了这一点。
在LinkedIn,声誉排名和反馈的重要性如今已取代了此类网站的原来目标:建立一个商业伙伴圈子,并在他们不断更换雇主的过程中与对方保持联系。所以要确保你随时关注谁透露了自己的个人信息。
如果要说服某人人在网上向你购买商品,你的声誉就显得至关重要。《InfoWorld》杂志的“个人电脑顾问”(PC Advisor)论坛显示,如今在网上购物之前,打听一下其他客户对某家公司有什么评价,这已成了一种惯例——如果这家公司是小型零售商,就显得更重要。
浪漫插曲
还是让我们回到原来的那个警告:不要随意透露自己的个人信息,还要为不仅仅是普通朋友的网上异性着想。这是成年人所要关注的地方:说到保护隐私,网上异性与孩子们一样重要。
网上交友名声不佳,因为谁都可以借此掩饰自己的真实年龄、职业、身高、性别和目的——这就是为什么它如此流行。如果你想利用网络来结识朋友,那么首先要确保
安全、放心。通过一家监管严格、信誉良好又正规的交友介绍所,调查一下享受过服务的别人对它有什么样的评语,就能弄清楚这家介绍所在介绍双方相识之前采取了什么样的核查措施。
预计介绍所会向你提一些深入的个人问题,证实你是不是就是你所说的那个人。传统的交友介绍所经常要求你出示护照、驾驶证、地址证明、出生证和离婚证等证件。
声誉良好的网上介绍所应该会坚持提供类似的保证。如果它们没有全面核查你的身份,谁又知道它们在核查你下一会约会对象的身份呢?
凭冲动行事以及对潜在约会对象提供的信息信以为真十分愚蠢:不管从什么意义上说这都是很危险的。
教育培训
“人”是在整个网络
安全体系中最薄弱的一个环节,按照木桶理论,网络
安全的水平有最低的木块决定的。我国从事专业
安全的
技术人员不多,很多小型企业的网管等都是半途出家,对
安全方面的知识本身懂的不多,加之
安全教育以及
安全防范措施都需要成本,对于国内企业来讲,注重
技术技能的培训,而轻于网络
安全方面的培训,只有在接受严重的损失以后,才会意识网络
安全的重要性。网络
安全的重要意义就在于积极防御,将风险降到最低,网络
安全重在意识,只有
安全的意识,才能铸就
安全的铜墙铁壁。在
安全培训上面可以从以下两个方面着手:
网络
安全意识的培训
在进行
安全培训时要注重
社会工程学攻击以及反
社会工程学攻击防范的培训,无论是老员工还是新员工都要进行网络
安全意识的培训,培养员工的保密意识,增强其责任感。在进行培训时,结合一些身边的案例进行培训,例如
qq账号的盗取等,让普通员工意识到一些简单
社会学攻击不但会给自己造成损失,而且还会影响到公司利益。
网络
安全技术的培训
虽然目前的网络入侵者很多,但对于有着
安全防范意识的个人或者公司网络来说,入侵成功的几率很小。因此对员工要进行一些简单有效的网络
安全技术培训,降低网络
安全风险。网络
安全技术培训主要从系统
漏洞补丁、应用程序漏洞补丁、杀毒
软件、防火墙、运行可执行应用程序等方面入手,让员工主动进行网络
安全的防御。
只有提高了整体的防范意识和水平,在教育培训方面并不需要投入太多的精力就可以在降低网络
安全风险方面取得很大的成效。
安全审核
安全审核工作是
社会工程学攻击防范主要手段之一,对在
安全教育培训后的有力保障措施。
安全审核重在执行,发现一起问题处理一起问题。
安全审核一般有以下几个方面。
身份审核
身份审核是指在需要进出的关口核查身份,判断是否应该放行。身份审核一定要认真仔细,层层把关,只有在真正的核实身份之后并进行相关登记后才能给予放行。在某些重要
安全部门,还应根据实际情况需要,采取指纹识别、视网膜识别等方式进行身份核定,以确保网络的
安全运行。
操作流程审核
操作流程审核要求在操作流程的各个环节进行认真的审查,杜绝违反操作规程的行为。一般情况下,遵守操作流程规范,进行
安全操作,能够确保信息
安全;但是如果个别人员违规操作就有可能泄漏敏感信息,危害网络
安全。
安全列表审核
针对公司的实际情况,做一个
安全列表检查单(checklist),定期对公司个人电脑进行
安全检查,这些
安全检查主要包括计算机的物理
安全检查和计算机操作系统
安全检查。计算机物理
安全是指计算机所处的周围环境或计算机设备能够确保计算机信息不被窃取或泄漏。计算机操作系统
安全是指从操作系统层面着手,维护计算机信息
安全,计算机操作系统
安全的内容比较多,主要从杀毒
软件定期升级、操作系统漏洞补丁及时升级、安装防火墙、U盘杀毒、不运行不明程序和禁止打开来历不明的附件等方面进行考虑。
建立完善的
安全响应应对措施
应当建立完善的
安全响应措施,当员工受到了
社会工程学的攻击或其它攻击,或者怀疑受到了
社会工程学和反
社会工程学的攻击,应当及时报告,相关人员按照
安全响应应对措施进行相应的处理,降低
安全风险。
表面上,
社会工程学看似只是简单的欺骗,但是在网络
安全中,它的攻击效果往往是最显著的。究其原因是它包含了极其复杂的心理学因素,所以危害性比其它入侵更加难以防范。只要我们时刻提醒自己攻击随时有可能在身边发生,全面了解
社会工程学的攻击方法或手段,具备一定的
安全防范知识和防范措施,在面对
社会工程学攻击的时候就能识别其真面目,处于主动地位,将攻击的风险性降至最低。
