在第十六章中,你将看到详细的身份验证策略,以应对请求信息或者执行某项操作的陌
生人,我们已经在这本书里讨论过很多次身份验证的必要性了:在第十六章你将了解应该如
何去做。
203
第十五章 信息安全知识与培训
一个社会工程师已经关注你的新产品发布计划两个月了。
有什么能阻止他?
你的防火墙?不行。
强大的验证设施?不行。入侵检测系统?不行。加密?不行。
限制调制解调器的访问?不行。
编码服务器名称,使入侵者无法确定产品计划所在的服务器?不行。
事实上,没有任何技术能防范社会工程学攻击。
安全技术、培训和程序
许多公司在他们的安全渗透测试报告中说,他们对客户公司计算机系统实施的社会工程
学攻击几乎可以百分之百成功。使用安全技术的确可以让这些攻击更难实施,但唯一真正有
效的办法是,将安全技术和安全策略结合起来,规范员工行为并适当地进行培训。
只有一种方法能让你的产品计划安全,那就是接受过安全培训的负责任的员工。这不仅
涉及到安全策略和安全程序的培训,还包括了安全知识的培训。一些权威人士建议把公司
40%的安全预算用在安全知识的培训上。
第一步是让企业的每一个人都认识到那些能操纵他们心理的人的存在,员工们必须了解
信息需要哪些保护与如何保护。当人们了解了操纵的细节时,他们便能在攻击初期更好地处
理。
安全培训也意味着让企业的所有员工了解公司的安全策略与程序,就像在第17 章所讨
论的那样,策略是指导员工行为保护企业信息系统与敏感信息所必须的规则。
本章和下一章提供了一张把你从可怕的攻击中解救出来的安全蓝图。如果你没有培训并
警告员工遵循谨慎考虑过的程序,这也许没什么大不了的,在你被社会工程师窃取贵重信息
之前。不要等到攻击发生才制定这些策略:这对你的事业和你的员工福利将是毁灭性的。
了解攻击者是怎样利用人的天性的
为了制定一套成功的培训程序,首先你必须了解为什么人们容易遭受攻击,在你的培训
中识别这些倾向——比如,通过角色扮演讨论引起他们的注意——你能帮助你的员工了解为
204
什么我们都能被社会工程师轻易地操纵。
社会科学家对心理操纵的研究至少已经有 50 年了,罗伯特〓B〓西奥迪尼(Robert B
Cialdini)在科学美国人(2001 年2 月)杂志中总结了这些研究,介绍了6 种“人类天性基
本倾向”。
这6 种倾向正是社会工程师在他们的攻击尝试中所依赖的(有意识的或者无意识的)。
权威
当请求来自权威人士时,人们有一种顺从的倾向。就像本书其它地方所讨论的那样,如
果人们相信请求者是权威人士或有权进行这样的请求的人,他(或她)便会毫不怀疑地执行
请求。
在西奥迪尼博士写的一篇论文中,一个声称是医院医师的人打电话给三家中西部医院的
22 个独立护士站要求她们为病房的一个病人送去处方药,收到这些命令的护士们根本不认
识呼叫者,她们甚至不知道他是否真的是医师(他不是),她们是从电话里收到处方药的命
令的,这显然违背了医院的策略。她们被要求送给病人的药物是未授权,并且剂量是每日最
大剂量的两倍,这足够危及病人的生命了。然而在95%的案例中,西奥迪尼写道,“护士从
病房医药箱中取出了足够的剂量并把它给了病人。”之后观察者阻止了护士并解释这是一次
实验。
攻击举例:一个社会工程师试图伪装成IT 部门的权威人士,声称他是公司的主管(或
者为主管工作的人)。
爱好
当作出请求的人很可爱或者与被请求者有相同的爱好、信仰和意见是,人们总是倾向于
顺从。
攻击举例:通过交谈,攻击者设法了解了目标的兴趣或爱好,并声称他也有相同的兴趣
或爱好,或者来自于同一个州或学校,或者有相似的目标。社会工程师还会尝试模仿目标的
行为创造相似性。
报答
205
当我们被给予(或者许诺)了一些有价值的东西时,我们可能会自动地同意请求。礼物
可以是资料、建议、或帮助,当有人为你做了一些事情时,你会倾向于报答他。这种强烈的
报答倾向甚至在你收到了并不需要的礼物时依然存在。让人们“帮忙”(同意请求)的最有
效的方法之一就是给予一些礼物形成潜在的债务。
哈瑞奎师那教徒善于此道,他们会送书籍或者鲜花作为礼物,然后等待回报。如果收到
礼物的人想要归还礼物,给予者便会拒绝并说明,“这是我们给你的礼物。”这一回报行为法
则被奎师那教徒们用在了增加捐款上。
攻击举例:一个员工接到了自称是IT 部门的人的电话,呼叫者解释说公司的一些电脑
感染了还没有被杀毒软件识别的破坏电脑文件的新病毒,并建议他进行一些步骤来防御病
毒。在这之后,呼叫者让他测试了一个允许用户更改密码的加强版软件程序,这名员工很难
拒绝,因为呼叫者是在帮助他防御病毒,他的回报就是响应呼叫者的请求。
守信
当人们公开承诺了或者认可了一些事情时,会倾向于顺从。一旦我们承诺了一些事情,
为了避免自己成为不可信赖或者不受欢迎的人,我们会倾向于坚持我们的立场或承诺。
攻击举例:攻击者联系上了一个新员工并提醒她遵守某些安全策略与程序,比如允许使
用公司信息系统的情况。在讨论了一些安全规定之后,呼叫者向用户请求她的密码进行“灵
活度检查”以选择高强度的密码。一旦用户说出了她的密码,呼叫者便会提出一些创建密码
的建议使攻击者无法猜测密码。受害人顺从了,因为她之前已经答应遵守公司的策略,并且
她认为呼叫者只不过是在帮她检查密码是否合适。
社会认可
当要做的事情看上去和别人所做的事情一样的时候,人们会倾向于顺应请求。当其他人
也这样做时,人们就会认为这些(值得怀疑的)行为是正确的。
攻击举例:呼叫者说他正在进行一次调查并说出了部门中的其他人的名字,他声称这些
人已经和他合作过了。受害人相信其他人已经确认了这一请求的合法性,于是呼叫者问了一
系列的问题,其中一项引导受害人说出他的计算机用户名和密码。
206
短缺
当人们相信物品供应不足并且有其他竞争者(或者只在短时间内有效)时,便会倾向于
顺应请求。
攻击举例:攻击者发送了一封email 声称在公司的新网站上注册的前500 个人将赢得一
部热门电影的电影票。当一名毫不怀疑的员工在该网站上注册时,他会要求提供他的公司
email 地址并选择一个密码。有很多人为了方便,总是倾向于在他们使用的每一个计算机系
统上使用相同或相似的密码,利用这一点,攻击者便能使用此用户名和密码(在网站注册过
程中填写的)攻击目标的工作或家庭计算机系统。
创建培训程序
发行一本安全策略手册或者让员工关注企业内网上的安全策略资料,这些都不会单独减
少你面对的威胁。每一家商业公司都必须写下这些策略详细地制定规则,而且必须对涉及企
业信息或计算机系统的每一个人进行额外的引导,让他们学习并遵循这些规则。此外,你还
必须确保他们理解了每一条策略的制定原因,这样他们才不会为了方便而绕过这些规则。另
外,员工的借口永远都是“不了解”,而这正是社会工程师所利用的弱点。
任何安全识别程序的首要目标都是影响人们改变他们的行为和态度,鼓励员工参与到企
业信息资产的保护中来。在这种情况下的一种很好的激励方式是向员工解释他们的行为不仅
能让公司受益,对他们个人也很有好处。如果公司对每一位员工都保留了一些隐私信息,那
么当员工们尽职保护信息或信息系统时,他们事实上也保护了他们自己的信息。
安全培训程序需要覆盖允许访问敏感信息或企业计算机系统的每一个人,必须正在实
施,还必须不断地修订与更新以应对新的威胁和攻击,员工们必须看到高级管理人员完全遵
守了程序规定,承诺必须是真实的,而不是橡皮盖章的“我们承诺”备忘录,并且程序还必
须有足够的资源支持其发展、通信与测试。
目标
发展信息安全知识与培训程序的基本原则是让所有员工意识到他们的公司在任何时候
都有可能遭受攻击。他们必须认识到每一个员工都扮演着保护计算机系统或敏感数据的重要
角色。
207
因为信息安全在很多方面都涉及到了技术,所以员工会轻易地认为问题已经被防火墙或
其它安全工具处理了。培训的一个主要目标就是让每一个员工认识到他们处在保护企业整体
安全的最前沿。
安全培训必须要有一个深入的、较大的目标,而不是简单地制定规则。培训程序设计者
必须认识员工所面对的巨大的诱惑,为了完成工作而忽略他们的安全职责。了解社会工程学
策略和怎样防范攻击非常重要,但这只在培训程序激发了员工使用这些知识的情况下才有
效。
公司可以用一个类似于会议基本目标的概念来判断培训程序是否有效:在结束培训之
后,他(或她)是否认为信息安全是他(或她)的工作之一。
员工们必须认识到来自社会工程学的威胁是真实的,敏感企业信息的损失会危及到公司
和他们自己的个人信息。在某种意义上说,忽视信息安全相当于泄漏某人的自动取款机PIN
码或者信用卡号,类似的比喻可以增加员工培养安全习惯的积极性。
建立知识与培训程序
负责设计信息安全程序的人必须认识到这不是一个一刀切的项目,培训程序需要适应企
业内不同组的特殊需要。在16 章描述的许多安全策略都是全体适用的,而很多其它的策略
是针对指定员工组的。大部分公司的培训程序都需要适应以下这些组:管理人员、IT 职员、
计算机用户、非技术人员、行政助理、接待员和安全警卫。(请看第16 章,根据工作分配分
解策略)
因为公司的商业安全警卫通常并不精通电脑,并且,他们接触公司电脑的几率很小,所
以在设计培训程序时通常不会考虑他们。但是,社会工程师可以欺骗安全警卫或其他人放他
们进大楼或办公室,或者让他们协助实施计算机入侵。警卫当然不需要像操作电脑的人那样
参加全部的培训,但是他们必须了解安全知识程序。
在企业内部或许会有哪些是所有员工都需要培训的重要、固有的安全缺陷,设计优秀的
信息安全培训程序必须获知并捕捉学习者的积极性和注意力。
信息安全知识与培训的目标应当包括一次迷人的交互式体验,可以通过角色扮演演示社
会工程学攻击,评价最近媒体对那些不幸的公司的攻击报导,讨论这些公司怎样才能避免损
失,或者播放既生动又有教育性的安全视频,有几家安全公司销售这些视频和相关的资料。
208
注释
对于那些没有资源开发内部程序的公司,有几家培训公司提供安全知识培训服务,可以
在Secure World Expo (www.secureworldexpo.com)上找到这些公司的信息。
本书中的故事提供了许多材料说明社会工程学方法和策略来加强威胁意识,展示人类行
为的弱点,可以考虑使用他们的方案进行角色扮演活动,这些故事同时也提供了有趣的讨论
机会,比如受害者可以怎样回应来抵御攻击。
熟练的课程设计者和熟练的讲师会发现很多挑战,但也有很多机会让课堂活跃起来,还
可以在此过程中促使人们成为解决方案的一部分。
培训结构
所有员工都必须参加基本的安全知识培训程序,新员工必须参加培训作为他们的初始教
育,我建议规定新员工不能接触公司的计算机系统,直到他们完成了基础安全知识课程。
对于初始的安全知识培训,我建议简短一些,但能引起足够的注意力,让员工们记住重
要的讯息。当因资料过多而需要长时间培训时,必须提供合理的基本讯息数量,我认为超过
半天或全天的培训会让人们因信息过多而变得麻木。
这些课程的重点应当是让员工认识到自己和公司都有可能遭受攻击,除非所有员工都有
很好的安全习惯。比学习指定的安全策略更重要的是激发员工对公司安全的责任心。
在员工不愿意参加教室课程的情况下,公司应当考虑进行其它形式的教学,比如录像、
基于计算机的培训、在线课程或者编写材料。
在短期的初始培训课程之后,还应当设计长期课程让不同职位的员工了解特殊的漏洞与
攻击技术,第二次培训至少要持续一年以上。威胁的种类与攻击的方法都在不停地变换,所
以课程的内容应当不断更新,此外,人们的知识和戒心会随着时间的推移而减少,所以培训
必须每隔一段时间重复一次,才能不断地加强员工的安全意识。再重申一次,培训不仅要曝
光安全威胁和社会工程学策略,还要让员工了解到安全策略的重要性并使他们拥护这些策
略。
管理人员必须给他们的下属一段合理的时间熟悉安全策略和程序并参加安全知识培训。
209
员工们不应当指望在非工作时间学习安全策略或参加安全培训,新员工应当有足够的时间熟
悉安全策略,在开始他们的工作之前养成良好的安全习惯。
在企业内部更换了工作岗位,涉及到访问敏感信息或计算机系统的员工同样需要完成他
们新工作的安全培训程序。比如,当一个电脑操作员成了系统管理员(或者一个接待员成了
行政助理)时,就需要新的培训。
培训课程内容
在归纳基本原理的时候,所有的社会工程学攻击都有一个共同元素:欺骗。受害者相信
攻击者是同一家公司的员工或者有权访问敏感信息的其他人,或者有权指挥受害者操作一台
计算机或计算机相关的设备。只要员工简单地进行以下两个步骤,就可以防范几乎所有的这
些攻击:
核实请求者的身份:进行请求的这个人是他所声称的那个人吗?
核实请求者是否已授权:这个人需要知道这些吗?他有没有被授权进行这种请求?
注释:
因为安全知识与培训是不完美的,所以最好在创建防御体系时深入地使用安全技术。技
术性的安全措施要比针对员工个体的安全措施有效,比如,可以通过配置操作系统禁止员工
从互联网上下载软件或使用简短的弱口令。
如果知识培训课程改变了员工的行为,那么可以用这些标准对员工进行测试请求,相应
的社会工程学攻击威胁将大大减少。
一个实用的信息安全知识与培训程序应当包含以下内容:
描述攻击者怎样使用社会工程学技能行骗。
社会工程师实现他们目标的方法。
怎样识别可能的社会工程学攻击。
处理可疑请求的程序。
在哪里报告攻击企图或者成功的攻击。
210
质疑提出可疑请求的人的重要性,不管他声称自己是何职位。
在现实中,他们不应在没有严格验证的情况下完全相信别人,虽然他们更愿意在拿不准
把别人往好处想。
对任何请求信息或操作的人进行身份验证与授权验证的重要性(第16 章,“验证与授
权程序”,描述了这些验证方式)。
保护敏感信息的程序,包括熟悉所有的数据分类系统。
公司的安全策略与程序的定位,保护信息与企业信息系统的重要性。
关键安全策略与它们的含义汇总。例如,指导每一个员工设定高强度的密码。
每一个员工遵守策略的职责与不服从的后果。
通过解说社会工程学介绍几种交互类型。攻击者为了达到他(或她)的目标,会非常频
繁地使用不同的技术和通信方式,因此,一个成熟的培训程序应当包括以下内容的一部分或
全部:
涉及到计算机和语音信箱密码的安全策略。
解密敏感信息或资料的程序。
Email 使用策略,包括防范恶意代码攻击(病毒、蠕虫和特洛伊木马)的安全措施。
物理安全要求,比如佩戴证件。
在遇到未佩戴证件的人时,有询问质疑的责任。
良好的语音邮件安全习惯。
如何确定信息分类和适当的安全措施。
适当的处理敏感文档和过去存放过机密资料的计算机媒体。
同样,如果公司计划使用渗透测试来确定针对社会工程学攻击的安全措施是否有效,应
当警告员工注意这次练习,让员工们知道有时候他们会接到使用了攻击技术的电话或其它通
讯,作为测试的一部分。测试的结果不会有任何惩罚,但是可能会需要一定范围内的额外培
训。
上述内容的详细资料可以在第16 章找到。
211
测试
你的公司可能需要在员工使用计算机系统之前测试他们是否已经掌握了这些安全知识。
如果你想设计一个测试程序,有许多评价设计软件程序能让你轻松地分析测试的结果,锁定
需要强化培训的范围。
你的公司可能会考虑提供一张证书作为奖励证明员工完成了安全培训。
作为完成程序的一部分,建议让每一个员工签署一份遵守安全策略和规定的同意书。调
查报告显示,签署了同意书的人会更加严格地遵守程序。
持续的培训
如果不周期性的复习,大部分人会把学到的知识(甚至重要的事件)忘掉。为了不让员
工忘记如何防范社会工程学攻击,持续的培训程序非常重要。
一种让员工记忆深刻的方法是把安全作为他们特殊的工作职责,这能让员工认为他们在
公司安全体系内扮演着至关重要的角色,否则员工会强烈地倾向于安全“不是我的工作”。
当安全部门或信息技术部门的人承担了一个信息安全程序全部的职责时,信息安全培训
程序最好的结构是与培训部门协同合作。
持续的培训程序需要创造性地使用所有可能的频道传输安全讯息,因为记忆的可存储
性,员工们会不时地想起好的安全习惯。除了使用所有传统的频道之外,还要加上许多能够
想到的非传统方式,就像传统的广告一样,幽默、灵活地提供帮助。灵活多变的讯息可以让
员工更加熟悉安全策略而无法忽视。
持续的培训程序可能包括以下内容:
提供本书的复印件给所有员工。
在公司的新闻通讯中添加以下内容:文档,封装的提示(简短、引人注目的内容),比
如漫画。
张贴当月的安全员工照片。
在员工区域张贴海报。
张贴公告牌通知。
为支票信封提供打印的外壳。
212
发送email 提示。
使用安全相关的屏幕保护程序。
通过语音信箱系统广播安全提示。
打印电话贴纸,“你的呼叫者是他所声称的那个人吗?”
设置电脑登录时的提示信息,比如“如果你要发送机密信息到email,把它加密。”
把安全知识作为员工财政报告和年度评价的标准内容。
在 intranet(企业内网)上提供安全知识提示,可以使用漫画或者幽默文字,或者其它
能吸引员工阅读的方式。
在自助餐厅使用电子讯息显示板,频繁地更换安全提示。
分发传单或小册子。
还有一些小花招,比如在自助餐厅提供带有安全提示的免费饼干。
威胁总是存在,安全提示最好也总是存在。
“我能得到什么?”
除了安全知识与培训程序之外,我强烈推荐宣传并推行奖励程序。你必须答谢成功阻止
了社会工程学攻击、或者在其它方面对信息安全程序作出了杰出贡献的员工。应当在所有培
训课程上告知员工奖励程序的存在,并在企业范围内公布违反安全规定的人的名单。
从另一方面讲,人们必须认识到遵守信息安全策略的重要性是无法忽视或反抗的。虽然
我们都会犯错误,但是重复的违反安全规定是不能容忍的。
213
第十六章 推荐的信息安全策略
由FBI 主导的调查结果显示,超过90%的大企业和政府机构遭受过计算机入侵者的攻
击,美联社在2002 年4 月对其进行了报导。有趣的是,只有大约三分之一的公司报导或公
开了这些攻击,沉默意味着他们学到了很多东西,为了避免失去客户的信任,为了防止更多
入侵者的出现,大部分的商业公司不会公开报导计算机安全事件。
似乎没有任何社会工程学攻击的统计,就算有,数据也很不可靠,在大部分情况下一家
公司永远也不会知道社会工程师已经“偷走了”信息,因此许多攻击都没有记录。
有效的策略能针对大多数的社会工程学攻击类型进行防范,但是让我们现实——除非企
业里每一个人都认识到安全的重要性并把它作为他(或她)的职责(遵守公司的安全策略),
否则社会工程学攻击将永远是企业面临的严重威胁之一。
事实上,针对安全攻击的技术手段一直在进步,通过社会工程学途径获取私有的公司信
息或渗透企业网络,这种攻击将越来越频繁并引起信息窃贼的关注。商业间谍通常会选择使
用最简单同时也是最隐蔽的方法来达到他(或她)的目标。事实上,那些使用了最先进的安
全技术保护计算机系统和网络的公司,可能会面对更多来自于使用社会工程学策略和方法的
攻击。
本章介绍了防范社会工程学攻击的详细策略,这些策略除了针对基于技术漏洞的攻击,
还涉及到几种引导信任的员工提供信息或执行操作的骗局,阻止攻击者访问敏感商业信息或
企业计算机系统与网络。
什么是安全策略?
安全策略是指导员工行为、保护信息安全的明确指南,是安全体系中防范潜在威胁的重
要组成部分,这些策略在察觉并防范社会工程学攻击时尤其有效。
有效的安全管理需要培训员工精心设计的策略和程序,然而,即使每一个员工都严格地
遵守了安全策略,也无法保证防御所有的社会工程学攻击。相反,合理的目标总是能用可接
受的标准减小威胁。
在这里介绍的这些策略包括了一些与社会工程学攻击无关的防范措施,之所以放在这
里,是因为它们涉及到了一些攻击者常用的技术。例如, ema il 附件攻击——可以安装特洛
伊木马软件让攻击者控制受害者的电脑——就被定义为计算机入侵者频繁使用的方法。
214
制定程序的步骤
一个全面的信息安全程序通常从威胁评估开始:
需要保护哪些企业信息资产?
有哪些针对这些资产的具体威胁?
如果这些潜在的威胁成为现实会对企业造成哪些损失?
威胁评估的主要目标是对需要立即保护的信息资产按优先次序排列,而不是对安全措施
进行成本效益分析。首先想一想,哪些资产需要首先保护,保护这些资产需要花多少钱。
高级管理人员的支出和对安全策略和信息安全程序的大力支持非常重要。正如其它的企
业程序一样,如果一个安全程序成功了,管理层可以对其进行推广,前提是要有个人案例证
明其有效性。员工们需要意识到信息安全和保护公司商业信息的重要性,每一个员工的工作
都依赖于这一程序的成功。
设计信息安全策略蓝图的人需要以非技术员工也能轻松理解的通俗方式书写安全策略,
并解释为什么这些是重要的,否则员工可能会认为一些策略是在浪费时间而对其忽略。策略
书写者应当创建一份介绍这些策略的文档,并把它们分开来,因为这些策略可能会在执行的
时候有小范围的修改。
另外,策略的书写者应当了解哪些安全技术能被用来进行信息安全培训。例如,大部分
的操作系统都能用指定的规则(比如长度)限制用户密码。在一些公司,可以通过操作系统
的本地或全局策略阻止用户下载程序。在允许的情况下,策略应当要求使用安全技术代替人
为的判断。
必须忠告员工不遵守安全策略与程序的后果,应当制定并宣传违反策略的处罚。同样,
要对表现优异或者发现并报告了安全事件的员工进行奖励。当一名员工受到奖励时,应当在
公司范围内广泛地宣传,比如在公司时讯中写一篇文章。
安全培训程序的一个目标是传达安全策略的重要性和不遵守这些规则的后果。拜人性所
赐,员工们有时候会忽略或绕过那些看上去不合理或者太费时间的策略。管理层有责任让员
工们了解其重要性与制定这些策略的原因,而不是简单地告诉他们绕过策略是不允许的。
值得注意的是,信息安全策略不是固定不变的,就像商业需要变化一样,新的安全技术
和新的安全漏洞使得策略在不断的修改或补充。应当加入常规的评估与更新程序,可以通过
215
企业内网或公共文件夹让企业安全策略与程序不断更新,这增加了对策略与程序频繁审核的
可能性,并且员工可以从中找到任何与信息安全有关的问题和答案。
最后,使用社会工程学方法与策略进行的周期性渗透测试与安全评估应当暴露出培训或
公司策略和程序的不足。对于之前使用的任何欺骗渗透测试策略,应当告知员工有时候可能
会进行这种测试。
怎样使用这些策略
本章中介绍的详细策略是我认为对减轻所有安全威胁非常重要的信息安全策略子集,因
此,这些策略并不是一个完整的列表,更确切的说,它们是创建合适的安全策略的基础。
企业的策略书写者可以基于他们公司的独特环境和商业目的选择适合的策略。每一家有
不同安全需求(基于商业需要、法律规定、企业文化和信息系统)的企业都能在这些介绍找
到所需的策略,而忽略其它的内容。
每一种策略都会提供不同的安全等级选择。大部分员工都互相认识的小型公司不需要担
心攻击者会通过电话冒充员工(当然攻击者还可以伪装成厂商)。同样,一家企业文化轻松
休闲的公司可能会希望只用这些策略中的一部分来达到它的安全目标,虽然这样做会增加风
险。
数据分类
数据分类策略是保护企业信息资产、管理敏感信息存取的基础。这一策略能让所有员工
了解每一种信息的敏感等级,从而提供了保护企业信息的框架。
没有数据分类策略的操作——几乎所有公司的现状——使得的大部分的控制权掌握在
少数员工手里。可想而知,员工的决定在很大程度上依赖于主观判断,而不是信息的敏感性、
关键程度和价值。如果员工不了解被请求信息的潜在价值,他们可能会把它交到一名攻击者
手里。
数据分类策略详细说明了信息的贵重程度。有了数据分类,员工就可以通过一套数据处
理程序保护公司安全,避免因疏忽而泄漏敏感信息,这些程序降低了员工将敏感信息交给未
授权者的可能性。
216
每一个员工都必须接受企业数据分类策略培训,包括那些并不经常使用计算机或企业通
信系统的人。因为企业中的每一个人——包括清洁工、门卫、复印室职员、顾问和承包人,
甚至是实习医生——都有可能访问敏感信息,任何人都能成为攻击的目标。
管理层必须指定一个信息所有者负责公司目前正在使用的任何信息,信息所有者的职责
之一就是保护信息资产。通常,所有者负责确定基于信息保护需要的分类等级,周期性地评
估分类等级,并在必要的时候对其进行修改,信息所有者可能还会负责指定管理人员或其他
人员来保护数据。
分类类别与定义
应当基于敏感程度将信息分成不同的分类等级。一旦建立了详细的分类系统,重新分类
信息将十分昂贵和费时。在我们的策略范例中,我选择了4 个适合几乎所有大中型企业的分
类等级。依靠敏感信息的编号和分类,商业公司可以选择增加更多分类以适应将来的特殊类
型。在小型商业公司,三个等级的分类方案可能就够了。记住——分类方案越复杂,企业培
训员工和执行方案的费用就越高。
机密是最敏感的信息分类,机密信息只能在企业内部使用。在大多数情况下,机密信息
只能让少数有必要知道的人访问。机密信息的泄漏会严重影响到公司(股东、商业伙伴和(或)
客户)。机密信息通常包括以下内容:
商业机密信息、私有源代码、技术或规格说明书、能被竞争者利用的产品信息。
