从“轮渡”和“摆渡”看信息安全文化

对比中外信息安全意识宣教内容,发现一个有意思的现象:关于网络骗局,西方国家有很多专业性的词汇,并且详细解释不同名称的骗局之间的差别。而中国除了“钓鱼”、“诈骗”之外,几乎没有什么对应的专业名称。

反思一下,从计算机病毒的命名方法开始,中国就一直是西方强国的追随者,如同西医一样,西方强国讲科学,为什么在人员安全领域,很多学术方面的新词引进不来呢?分析原因,昆明亭长朗然科技有限公司网络安全分析师董志军说:如同中医中的疾病名称数量远不如西医多一样,万“骗”不离其宗,在国人眼中,反正都是骗,没必要给不同的骗术取名以区分。

这不见得就完全是一种文化落后,举例讲,病人在看病的时候,问医生是什么病,如果被告知一个拗口的疾病名称,那病人的心理负担可能会加重。当然,病人可以花更多时间和精力去各种渠道了解相关疾病的真相。同样,在网络攻击和网络诈骗领域,很多专业新名词也会让一些非专业人士懵逼,不过笔者认为这不应该是在信息安全意识领域止步,不引进西方强国定义的很多名词的理由。就如同一个老师想:这些都是笨孩子,不要给他们新知。

这种“落后”,原因在于保守的传统,化解方法其实很简单,一方面要积极开放,通过引进西方强国的新知,另一方面要果断摈弃落后的传统,也是常说的传统文化中的糟粕。

说到传统文化中的糟粕,不仅仅是愚忠愚孝和封建迷信,更应该注意“语言腐败”,张维迎教授对这点有深刻的阐述。笔者最近看到近几年信息安全保密领域里有一些新词,比如“轮渡”和“摆渡”,这两个词其实是一个意思,正如同一条大河阻隔了河两岸百姓的生活,但老渔民为方便乡亲们的生活,利用渔船在两岸“轮渡”或“摆渡”接送人过河。当然,这是善意的,计算机领域的“轮渡”或“摆渡”攻击却是恶意的,但原理与之类似。

政府机构、军队、银行金融、能源电力等关键部门的信息系统,首要的防护措施便是隔离,内部网络与外部网络之间实行严格的物理隔离。但是泄密事件仍时常发生,这是什么原因呢?就是因为“轮渡”或“摆渡”攻击。这词的发明是多么的生动形象呀!我们不得不叹服造词者深厚的传统文化底蕴。

造词者对“轮渡”或“摆渡”攻击给出了如下案例描述、步骤讲解,以及防范之道:

攻击的实例

张某,某大学知名教授。其白天使用办公电脑工作,晚上使用个人电脑上互联网查阅资料。为了方便工作,其用U盘将互联网资料拷贝到办公电脑,并将办公电脑中未完成的工作拷贝到个人电脑,造成办公电脑内几百份涉密资料泄露到互联网上。事后,张某受到严重的行政和党纪处分。

典型攻击步骤

“轮渡”或“摆渡”攻击利用移动载体比如U盘作为“渡船”,达到间接从内部网络中秘密窃取文件、资料的目的。

  1. 黑客首先攻击该涉密人员连接互联网的私人计算机,在该计算机中植入木马。
  2. 当涉密人员在私人计算机上使用U盘拷贝资料时,木马将自身打包存储到U盘内。
  3. 该涉密人员将U盘插入内网计算机,木马将自身拷贝到内网计算机。
  4. 木马窃取内网计算机中的文件、资料并存储到U盘中。
  5. 当涉密人员再次将U盘插入到私人计算机上时,木马将从内网中窃取的文件、资料拷贝到私人计算机中。
  6. 涉密人员使用私人计算机上网时,涉密文件、资料被发送到互联网上。

这样,通过U盘这个“渡船”,在“轮渡”或“摆渡”木马的控制下,就完成了内部网络与互联网之间的“轮渡”或“摆渡”攻击。

攻击的防范

“轮渡”或“摆渡”木马与正常软件没有本质的区别,杀毒软件也无能为力,普通用户更加难以防范。U盘等移动载体在摆渡攻击中承担重要角色,因此,禁止在两个信息系统之间交叉使用移动载体,已成为最重要的安全保密规定。

关于信息安全保密文化的反思

前述部分看上去比较科学严谨吧?不要高兴太早,因为在两个系统之间有交换数据的需求!接下来,各种奇葩的保密产品、技术和管控制度就出台了,当然,伴随而来的是各种企图突破或超过这些保密控制措施的奇怪招数。比如,不让交叉使用移动存储载体,那我用条网线或无线收发器连接成局域网行不行?不要混合内外网?用个单向数据传输设备行不行?

这些解决问题的方法简单说总是拿一个新东西来补救一个旧东西,真是让人啼笑皆非。董志军说:通过使用似是而非的“新词”来推动信息安全保密“改革”工作,真是在当前环境下的一种无奈之举。不过这正体现了我们很多组织机构信息安全文化的“落后”,不承认落后不行,只有认识到落后了,才能奋起直追向强者学习。那么,请我们仔细分析问题的根源,木马怎么来!电脑本身不安全!涉密人员使用电脑的行为不安全!为什么会这样?公私不分!工作用计算机没有得到必要的安全加固!涉密人员的信息安全意识缺乏,计算机安全操作技术不过关!

说到底,很多涉密机构的信息安全保密管理人员不懂基本的计算机安全原理、技术和方法,即使有一些懂的,也没能让涉密人员掌握必要的信息安全保密知识和技能。

人太傻,只好使用技术控管措施、更多的保密产品和更多的保密检查,花钱事小,效果不佳,泄密失密频发,违纪人员被一波一波整肃,信息安全保密工作岗也受到牵连才真正事大。当然,事后也还要来点模板式的总结,比如“此事泄密事件暴露了部分涉密人员保密观念淡薄、信息技术知识特别是网络安全防范知识欠缺、单位网络管理不规范等问题。”

国内很多机构保密人员“人浮于事”,其实那些信息安全保密人员都是聪明人,只是聪明才智得不到发挥。为什么呢?表面上看是事儿太多,忙不过来,只有拆东墙补西墙般救火。其实是信息安全保密文化的落后使然,您一个人再能干,在那个环境下,也是不足够的。因为信息安全保密工作是全员性的,至少要让所有涉密人员都变强大。

当所有涉密人员都在信息安全保密意识方面强大了,信息安全文化便真正建立起来,失密泄密事件即使发生,局势也会在控制之下,失泄密责任清晰明了,信息安全保密工作人员自然不会因工作不到位而受影响。

如何把信息安全保密从业人员的知识理念和安全技能传输给其他涉密人员呢?昆明亭长朗然科技有限公司创作了数百部信息安全保密教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益,形成了一道强有力的安全人员防线,对建立良好的信息安全保密文化进到了良好的促进作用。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898

浅淡网络安全管理中的人性善恶

关于“人性善”还是“人性恶”的探讨争论了几千年,尽管没有一个很好的结论,但是相信性善的往往都是颇具恻隐之心的好人们,而相信性恶的也并非都是些恶由心生的坏人们。至少在网络安全领域里,在保障信息安全和业务成功方面,人性的善与恶是值得玩味的。

当野蛮的欧洲人经历过海外掠夺、工业革命和全球贸易变得文明起来之后,人性似乎变得向善起来。当文明的中国人经历了列强入侵、文化革命和改革开放之后,人性似乎变得向恶了。昆明亭长朗然科技有限公司的网络安全分析师董志军说,肯定会有不少人赞同这种说法,也有不少人反驳这种说法,其实拿区域文化和历史来区分人性的好坏本身就很不科学。其实争论这个没有意义,不管一个群体的位置和大小,都有善人与恶人。即使是同一个人,也并非完全的好或坏,圣人都会有善念与恶念的。欧美国家将网络安全科技文明向外输出的同时,似乎也在输出他们的霸权,无休止无底线的网络监控,无疑是在借助维护网络空间和平及全球反恐的借口,通过信息科技优势进行赤裸裸的文化入侵和经济掠夺。

美国人说:我是在帮助你建立自由民主的网络社会,这样的话你就会和我一样富裕了,至少你能在这全球化的分工协作中分得一份利益。中国人说:我要像你那样富裕,但是别在这儿蛊惑人心,我这里的秩序不能被你搞乱,我们家里的事儿你别管。于是就出现了国家层面的网络意识形态安全保障措施和强大的信息内容过滤系统。说到这儿,我们就恍然大悟,国家层面的网络安全产业,原来是美中两国政府及人民的“性善”和“性恶”所决定的,虽然这“性善”还是“性恶”并没有一个定论。

小型组织机构网络信息安全的管理,如同社会和国家网络的治理一样,说到底是要解决人们的认识问题。可是人和人是有差别的,我们可以通过一些人的一些很小的动作看到他们的信任、真诚、博爱和悲悯,同样也可以通过一些人的小的动作看到他们的疑心、狡诈、残忍和冷酷。那么,我们该假设员工的“坏”还是相信员工的“好”呢?我们应该让人们有更多的善念还是更多的相信人性之恶呢?

文化革命的流毒破坏了几代人之间的信任关系,再加上“不要相信陌生人”的古训,让我们的社会信任体系变得脆弱不堪。说交易只限定在熟人圈,一手交钱一手交货有些夸大其辞。总是提防着他人,并且把别人想得太坏,显然让交易达成的可能性大为降低,甚至是在鼓励别人的恶行。不过这也种不信任也有一个好处,让心存不正的骗子不是那么容易得逞。我们说防范电信诈骗、防范支付诈骗、防范社交工程攻击、防范网络钓鱼,我们不轻信对方,对方如何实施骗术呢?话说回来,文革流毒能给网络安全方面带来的好处,要远少于一个信用体系完善的社会中信息化的发达能给带来的整体好处,这或许也是高层将网络安全与信息化纳为“一体之两翼,驱动之双轮。统一谋划、统一部署、统一推进、统一实施。”大战略的缘故吧!

你要鼓励人们的善心吧,那可正中了网络犯罪分子们的下怀。要说,即使不谈网络安全,在现实世界中,常常有“马善被人骑,人善被人欺”的情形,在利益面前,有善心的文明人往往会吃亏,还被人骂着傻。网络犯罪分子们肯定希望全世界的人都能傻傻的轻易将帐户和密码告知,那怎么办呢?害人之心不可有,防人之心不可无,我们应该把他人都想像得很坏吗?我要告诉你实施电信网络的犯罪分子其实是个找了很长时间工作但没有一家意愿接受的残疾人,或许你会有不同的想法和看法,毕竟人家也要生存啊。

你可能要说那广西电信诈骗村儿里都是奔驶宝马什么的豪华轿车呢!的确,那么多巧取豪夺的开发商和拖欠民工血汗钱的包工头都住别墅呢!说到底别人追求上进就是贪婪的欲望,是我们眼中的恶吗?那些搞网络安全渗透入侵和漏洞测试的工程师们,为什么不把高薪职位让给广西电信村儿的初中生呢?大家做同样的事情,都是在促进网络安全行业的发展,都是在让金钱自由流动,人家自学成材自谋生路,却受着来自同行的法律大棒的无情压制,这不显得有些不公平么?

不否认有些富足的公司推出了巨额的系统漏洞悬赏计划,但是能挑战这些漏洞的绝顶聪明的人物毕竟是少之又少,显然不能让更多的网络安全爱好者们去喝西北风。要让这些“邪恶”的黑客力量转变为网络社会中的积极分子并造福于人类,需要我们不拘一格降人才,改变僵化的人才任用体系制度。而要达成这一点,无疑更需要我们改变我们的网络安全管理理念,给失足的“黑客”们改良从善、重新获得社会认可的机会。在正义的社会中,使用“黑客”出生的人来制服“黑客”无疑是最佳的网络安全战略,这并不是黑吃黑,而是让更懂黑客心理学的转型“白帽黑客”来从源头上遏制黑客滋生的土壤。

不少公司都会假定员工们在信息安全方面的性本“恶”,因为看到有员工有工作时间浏览与工作无关的互联网,便认为员工们在“偷懒”,所以就制定了苛刻的互联网安全管理制度,只允许在休息时间也只能访问特定类别的网站甚至切断互联网访问。即使这些苛刻的信息安全规定的出发点是好的,比如为了提升生产力、防止员工们沉迷于网络和防范来自互联网的安全威胁等等,这种假定人性“恶”的网络安全管理制度给员工们带来的是企业管理文化的冰冷之感,进一步的影响不是偷偷翻墙、非法外联便是消极怠工,甚至用脚投票一走了之。

如何能够通过网络安全管理来激发员工们的工作热情,又能创建活跃的企业文化氛围呢?亭长朗然公司董志军表示:我们要假定员工们的“人性善”,要教育员工们防范“人性恶”。不管是在安全管理流程的定制,还是安全控制手段的配置上,还是在与员工们的沟通互动方面,都应该在大前题上默认员工们是“善”的,是积极向上的好人们;同时我们还需要让“好人们”认识到来自外部的和潜伏于内部的“坏人们”,比如黑客、商业间谍、疏忽大意和恶意软件等等网络安全威胁。

当职工们认识到网络信息安全政策和制度有前提假定了人性之善,便会在心理上认同这些政策和制度,更会自发地表现出保护信息安全的行动。昆明亭长朗然科技有限公司专注于帮助大中型组织机构强化职员们的信息安全意识沟通,欢迎和我们联系洽谈业务合作事宜。

在网络安全管理实践中,需要多多注意人性的善恶,并且灵活利用,方能充分发挥员工们参与信息安全工作的活力,更能凝聚企业人心,充分展示网络安全责任共担的主人翁精神,共同对抗各类信息安全威胁。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898