3 提早预防社会工程学攻击

策略

好的规定是安全项目中的重要基石。应该被写进听众的脑海中。换句话说,策略应该使用清晰的,简练的,无IT行话的文字书写。也应该说明在出现问题的时候应该问谁。

策略规定也有自己的生命周期,也应有一个评审日期,因为他们必须与时俱进。为了保持便于管理,作为一种凭经验制定的方法,应该至少每五年被全部审查一次,同时20%的内容应该每年评审。易变的规定,应该更频繁的审查,当问题出现,规定可能会被重写或修改来适应新的需求变更和新的技术。这样可以更新旧规定,清除过时的规定,新需求的加入,策略规定文件就更有活力了。更新后,带有版本号和日期的规定可以公布在企业内部网络中,这样,当前的版本总是易于获取的。

 

用于防范社会工程学攻击的规定可以落实在:

· 信息发布  安全规定应该明确谁可以在什么情况下发布信息。举个例子,好的规定指出所有的审查应该通过哪位指定的工作人员。

· 获得批准  安全规定应该决定:

u       在获得批准之前担保协议需要签字,

u       谁有权赋予访问系统的权限,他们能赋予何种级别的权限,

u       决定建立账户,终结账户所使用的方法,

u       制订具体的建立账户的流程,防止混乱,减少错误。

· 改变密码  规定应该允许使用特殊字符,数字,大小写字母来加强密码的强度。还应指出密码应该经常更换。要在易记性和密码牢固度上取得平衡,否则整个安全系统会因为雇员将密码写在纸上而前功尽弃。

· 调制解调器  规定应该清楚地指出不允许公司内部网络访问调制解调器,因为这将绕过公司设置的防火墙,留下后门。规定的附加条款应该允许IT安全部门员工能够经常地对调制解调器进行审查。

· 咨询台  应该有规定在没有首先核实雇员身份的情况下,禁止咨询台向其提供任何密码。通过以下方式核查:

u       回拨电话给职员验证地点;

u       在拨打电话时使用拨号身份号码;

u       雇员在电子邮件中使用数字签名;

u       雇员亲自来取信息。

4 参考资料

l         Social engineering (computer security)

http://en.wikipedia.org/wiki/Social_engineering_%28computer_security%29

www.wikipedia.org

 

l         A Proactive Defence to Social Engineering

Wendy Arthurs

August 2, 2001

http://www.sans.org/rr/papers/download.php?id=511&c=e6d84633591168825d37aa86392cfe87

 

l         Social Engineering Fundamentals

Sarah Granger

2001-12-18

http://www.securityfocus.com/infocus/1527

http://www.securityfocus.com/infocus/1533