网络安全更应关注管理问题和人为问题

传统上,不法分子使用电信诈骗手法针对网银用户,比如架设一个用于套取密码的假冒网站,通过海量发送“您的账户需要验证”、“点击链接领取退款”等诈骗短信,来吸引缺乏警惕或粗心大意的用户上钩。经过银行、公安、电信等多部门的联合反制,包括意识宣教、诈骗监测以及转账限制等手段,近年来这种骗术明显少了许多。不过,从人民银行一名工作人员那里得知,最近几大国有银行遭遇了新型的网络攻击,具体情况是很多用户的身份信息,包括姓名、支付卡号码、身份证号码、手机号码、密码等等被不法分子通过含有恶意软件的假冒网银APP给窃取了。

几大国有银行立即采取排查行动,及时通报受影响的用户,提醒其立即修改密码。令人意外的是,“官方”银行发出的不少提醒消息,包括电话和短信,大部分都被智能手机判定为“疑似”诈骗。即使接到电话或短信,很多用户也把其当是诈骗,并采取了立即删除短信、挂掉电话或与对方进行调侃等行为。从这类事件我们可以看出,网络安全问题的核心已经从技术问题转移到人为问题,而人为因素是非常复杂的,解决起来要比预想中的困难很多。

回顾很多网络安全入侵,包括近年来让各类机构损失惨重的勒索软件泛滥之源,都是包括操作系统在内的应用程序没有得到及时的漏洞修补,进而被勒索软件利用。然而,继续深挖会发现,应用程序的安全补丁没有得到及时安装,是因为对该工作负责的人员比如用户和IT管理员出现了疏忽大意。而且,很多机构的数据被加密之后损失惨重,因为他们没有行之有效的数据备份程序,更别谈什么高可靠性、灾备、业务持续性和灾难恢复计划了。对此,昆明亭长朗然科技有限公司网络安全管理专员董志军说:网络安全需要稳健可靠的技术控制措施,更需要行之有效的管理控制措施。有很多技术方案听起来很简单,做起来也不难,然而大规模的数据泄露和损毁事件却经常发生,网络安全问题仍然不时登上头条新闻。问题何在呢?再多的技术解决方案,没有人员参与工作流程的执行,就没有真正的实效。因此,网络安全本质上更多的是管理问题和人为问题,必须从管理的角度,从人员的角度加以考量和解决。

比如,针对桌面型终端设备,有些机构使用自动化的安全补丁修复方法,以便以最快速度安装安全修复程序,但最终用户却并不及时点击安装,更不愿在工作时间重启电脑,这就造成了一定的时间差,给“零日漏洞”攻击带来机会。问题不在技术,而在于管理流程的缺失和人员安全意识的不足。而针对重要的信息系统如服务器等,补丁修复的流程可能包含测试、备份、回滚预案、审批等等控制点,管理员和审批领导如果正好不在岗,或者稍一懈怠,等流程还没跑完,已经给“零日漏洞”攻击带来了巨大的时间窗口机会。重要的信息系统稳定可靠是第一位的,打补丁是重要的变更,相关的控制要严格,这是可以理解和认可的。但是安全漏洞也得及时修复,不然系统的稳定可靠也会受到影响,这两个问题看似矛盾,实则非常统一。解决之道是根据漏洞的紧要级别,设置修复相关工作流程的时间限制。这个道理很简单,操作起来却还需要很多系统管理员、IT经理和最终用户们强化规范操作意识、安全意识,并谨慎对待。

让我们再想一想,从技术操作来讲,安装应用程序的补丁,就运行一两个命令,或者点击“安装”、“重启”按钮而已,而在管理和人为因素方面来说,问题就很复杂。补丁有没有能够及时安装,问题不在技术,而在管理和人员。让我们跳出“应用程序”补丁的范围,从更广阔的“安全漏洞”来看,各行各业各种机构都会有各种安全漏洞,如果被恶意(有意)利用,甚至只是无意的失误,都可能带来严重的灾难,造成巨大的损失。在安全漏洞面前,人们可能无知或忽视,可能选择视而不见或者躲避绕行。而为安全负责的管理者必须做出行动,制定强有力的管理措施,推进安全漏洞的发现、报告和修复行动,提升人们的安全意识和觉悟,让人们重视并谨慎对待安全,进而改变人们的安全行为。

建立可靠的网络安全管理流程,让安全制度和规范成为可重复性的运维工作,是网络安全工作的关键。如果一家机构经常测试和上线各式各样的网络安全系统或设备,那无疑是管理失败的或者借机搞钱腐败的。在网络安全的人为因素方面,要让人们拥有基本的网络安全知识不难,要纠正人们的粗心大意,要让人们拥有足够的安全敏感度,可不容易。需要在安全意识方面不断加强,培养用户良好的网络安全行为习惯。对此,董志军补充说:我们应该有足够的信心,人们既然能够养成外出关家门的习惯,也必然可以养成离开座位清桌锁屏的习惯,以及看到安全补丁修复的提示,就立即安装并配合重启的习惯。

总之,在网络安全领域,技术措施必不可少。同时,技术的创新解决不了复杂的管理问题和人为问题。在当下,组织机构应该从管理和人员因素入手,一步步解决网络安全问题。昆明亭长朗然科技有限公司专注于帮助各类型的客户加强对职工们的安全意识提升工作,我们理解客户面对的网络安全管理问题和人为问题,通过我们的作品和服务,帮助客户提升网络安全价值。欢迎有兴趣的客户及合作伙伴联系我们,预览作品和进行商务采购。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898