信息安全管理

从“轮渡”和“摆渡”看信息安全文化

admin

对比中外信息安全意识宣教内容,发现一个有意思的现象:关于网络骗局,西方国家有很多专业性的词汇,并且详细解释不同名称的骗局之间的差别。而中国除了“钓鱼”、“诈骗”之外,几乎没有什么对应的专业名称。

反思一下,从计算机病毒的命名方法开始,中国就一直是西方强国的追随者,如同西医一样,西方强国讲科学,为什么在人员安全领域,很多学术方面的新词引进不来呢?分析原因,昆明亭长朗然科技有限公司网络安全分析师董志军说:如同中医中的疾病名称数量远不如西医多一样,万“骗”不离其宗,在国人眼中,反正都是骗,没必要给不同的骗术取名以区分。

这不见得就完全是一种文化落后,举例讲,病人在看病的时候,问医生是什么病,如果被告知一个拗口的疾病名称,那病人的心理负担可能会加重。当然,病人可以花更多时间和精力去各种渠道了解相关疾病的真相。同样,在网络攻击和网络诈骗领域,很多专业新名词也会让一些非专业人士懵逼,不过笔者认为这不应该是在信息安全意识领域止步,不引进西方强国定义的很多名词的理由。就如同一个老师想:这些都是笨孩子,不要给他们新知。

这种“落后”,原因在于保守的传统,化解方法其实很简单,一方面要积极开放,通过引进西方强国的新知,另一方面要果断摈弃落后的传统,也是常说的传统文化中的糟粕。

说到传统文化中的糟粕,不仅仅是愚忠愚孝和封建迷信,更应该注意“语言腐败”,张维迎教授对这点有深刻的阐述。笔者最近看到近几年信息安全保密领域里有一些新词,比如“轮渡”和“摆渡”,这两个词其实是一个意思,正如同一条大河阻隔了河两岸百姓的生活,但老渔民为方便乡亲们的生活,利用渔船在两岸“轮渡”或“摆渡”接送人过河。当然,这是善意的,计算机领域的“轮渡”或“摆渡”攻击却是恶意的,但原理与之类似。

政府机构、军队、银行金融、能源电力等关键部门的信息系统,首要的防护措施便是隔离,内部网络与外部网络之间实行严格的物理隔离。但是泄密事件仍时常发生,这是什么原因呢?就是因为“轮渡”或“摆渡”攻击。这词的发明是多么的生动形象呀!我们不得不叹服造词者深厚的传统文化底蕴。

造词者对“轮渡”或“摆渡”攻击给出了如下案例描述、步骤讲解,以及防范之道:

攻击的实例

张某,某大学知名教授。其白天使用办公电脑工作,晚上使用个人电脑上互联网查阅资料。为了方便工作,其用U盘将互联网资料拷贝到办公电脑,并将办公电脑中未完成的工作拷贝到个人电脑,造成办公电脑内几百份涉密资料泄露到互联网上。事后,张某受到严重的行政和党纪处分。

典型攻击步骤

“轮渡”或“摆渡”攻击利用移动载体比如U盘作为“渡船”,达到间接从内部网络中秘密窃取文件、资料的目的。

  1. 黑客首先攻击该涉密人员连接互联网的私人计算机,在该计算机中植入木马。
  2. 当涉密人员在私人计算机上使用U盘拷贝资料时,木马将自身打包存储到U盘内。
  3. 该涉密人员将U盘插入内网计算机,木马将自身拷贝到内网计算机。
  4. 木马窃取内网计算机中的文件、资料并存储到U盘中。
  5. 当涉密人员再次将U盘插入到私人计算机上时,木马将从内网中窃取的文件、资料拷贝到私人计算机中。
  6. 涉密人员使用私人计算机上网时,涉密文件、资料被发送到互联网上。

这样,通过U盘这个“渡船”,在“轮渡”或“摆渡”木马的控制下,就完成了内部网络与互联网之间的“轮渡”或“摆渡”攻击。

攻击的防范

“轮渡”或“摆渡”木马与正常软件没有本质的区别,杀毒软件也无能为力,普通用户更加难以防范。U盘等移动载体在摆渡攻击中承担重要角色,因此,禁止在两个信息系统之间交叉使用移动载体,已成为最重要的安全保密规定。

关于信息安全保密文化的反思

前述部分看上去比较科学严谨吧?不要高兴太早,因为在两个系统之间有交换数据的需求!接下来,各种奇葩的保密产品、技术和管控制度就出台了,当然,伴随而来的是各种企图突破或超过这些保密控制措施的奇怪招数。比如,不让交叉使用移动存储载体,那我用条网线或无线收发器连接成局域网行不行?不要混合内外网?用个单向数据传输设备行不行?

这些解决问题的方法简单说总是拿一个新东西来补救一个旧东西,真是让人啼笑皆非。董志军说:通过使用似是而非的“新词”来推动信息安全保密“改革”工作,真是在当前环境下的一种无奈之举。不过这正体现了我们很多组织机构信息安全文化的“落后”,不承认落后不行,只有认识到落后了,才能奋起直追向强者学习。那么,请我们仔细分析问题的根源,木马怎么来!电脑本身不安全!涉密人员使用电脑的行为不安全!为什么会这样?公私不分!工作用计算机没有得到必要的安全加固!涉密人员的信息安全意识缺乏,计算机安全操作技术不过关!

说到底,很多涉密机构的信息安全保密管理人员不懂基本的计算机安全原理、技术和方法,即使有一些懂的,也没能让涉密人员掌握必要的信息安全保密知识和技能。

人太傻,只好使用技术控管措施、更多的保密产品和更多的保密检查,花钱事小,效果不佳,泄密失密频发,违纪人员被一波一波整肃,信息安全保密工作岗也受到牵连才真正事大。当然,事后也还要来点模板式的总结,比如“此事泄密事件暴露了部分涉密人员保密观念淡薄、信息技术知识特别是网络安全防范知识欠缺、单位网络管理不规范等问题。”

国内很多机构保密人员“人浮于事”,其实那些信息安全保密人员都是聪明人,只是聪明才智得不到发挥。为什么呢?表面上看是事儿太多,忙不过来,只有拆东墙补西墙般救火。其实是信息安全保密文化的落后使然,您一个人再能干,在那个环境下,也是不足够的。因为信息安全保密工作是全员性的,至少要让所有涉密人员都变强大。

当所有涉密人员都在信息安全保密意识方面强大了,信息安全文化便真正建立起来,失密泄密事件即使发生,局势也会在控制之下,失泄密责任清晰明了,信息安全保密工作人员自然不会因工作不到位而受影响。

如何把信息安全保密从业人员的知识理念和安全技能传输给其他涉密人员呢?昆明亭长朗然科技有限公司创作了数百部信息安全保密教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益,形成了一道强有力的安全人员防线,对建立良好的信息安全保密文化进到了良好的促进作用。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898

化解信息安全管理中的沟通不畅难题

admin

很多IT人无疑被赋予了参与内部信息安全管理的重任,可是不少信息安全专业人员老是觉得不受高阶管理层的重视。昆明亭长朗然科技有限公司企业安全管理顾问董志军说:组织机构的管理高层往往并不了解太多安全技术行业术语,显然不能轻易放下面子、也没有太多时间来了解这些术语的含义。所以,IT背景的信息安全人员在与高层沟通时,要注意避免讲纯“技术话”。

了解一家组织机构的信息安全问题并不太难,特别对于那些有审计相关工作经验的人来讲。在工作区域走一走,看一看,便能粗略了解该单位的信息安全管理大致现状及治理水平,更何况那些在职场环境中常期工作的信息安全专业人员呢!实际上,我们不需要太多系统层面的安全漏洞扫或脆弱性描评估报告,就能找出一家组织机构最需要迫切解决的信息安全问题。

知道深层次的信息安全问题并不一定就能很好的解决掉,即使有不少专业信息安全从业人士知道该怎么解决这些问题,但并不一定能够解决好。其实,很多企业级别的信息安全问题,并非能够从技术层面有效解决。人们常说:信息安全管理中最薄弱的环节是人员。要从“人员”的层面解决信息安全问题,毫无疑问,需要从信息安全认知沟通开始。

不少信息安全从业人员以为信息安全沟通就是把自己所懂的安全知识和能力都传授给他人,这显然不符合有效沟通的目标,再说对于管理层和常规用户来讲,他们并不需要了解太深入的信息安全知识,或者成为IT人一样的专家。

很多企业安全管理团队根本无法吸引高层领导们的重视,不能单向面认为是高层领导们的工作失误或者认识欠缺,安全管理人员要学会业务语言,并且扩大传统的安全认知范围。高管们最不喜欢的是安全人员一来就滔滔不绝地谈论如防火墙、黑客入侵防范等安全技术,所以我们要使用商业语言——从业务信息风险开始是很好的切入之道。可是我们也不能只将目光局限在IT安全这一个小领域,我们的安全管理团队需要站得高,看到全局,就需要将更大更广的安全治理架构纳入的话题中来。

跨部门的安全协作可以帮助我们扩展“大安全”视野,财务部门关注较多的是业务流程比如交易的安全、财产的安全、欺诈防范、风险控管和内部审计。在信息化的过程中,显然信息系统和信息数据的保护也会成为重要的一块儿。传统的物理安全如工作环境、生产安全、职业健康、消防安全等等也是保障信息安全的重要支撑。了解得越多,越有利于探讨出合适的全面的信息安全问题解决方案和计划。

在很多信息安全问题解决方案中,仅仅得到了高管们的支持和赞助还不够,因为很多信息安全决议都会影响到最终用户,也就是常规用户。常规用户往往并不如高管们那么“识大体”,所以对不同岗位群体的用户要有针对性的沟通方案。不过,常规用户虽然不那么“识大体”,但是更容易受到上司和周边同事们的影响,所以紧紧抓住各部门领导和沟通协调人员,通过他们来促进信息安全沟通才是正确的方法。

由上我们可以看到,一种有效的化解沟通不畅的方法是将用户按角色进行划分,对不同岗位的人员设定不同的沟通战略和内容。亭长朗然公司董志军举例说:对中、高阶管理层,通过面谈和会议为主,在线的信息安全意识培训课程为辅。对于常规用户,以在线的信息安全意识培训课程为主,同时要求部门负责人,即中阶管理层强化本部门相关安全流程相关的宣传。

信息安全所面临的最大威胁不是外部黑客,而是内部员工。更准确地说,信息安全管理中的最大问题是内部人员的安全意识沟通问题,安全管理及员工培训负责人需要用受众能够接受的语言和形式,需要通览全局站在“大安全”的角度,又需要兼顾不同为不同角色和职位的员工们制定不同的信息安全意识教育计划。

corporate-communication-system-and-people

欢迎您联系我们,探讨更多这个话题相关的内容。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898