修复“人为漏洞”

David Emm
Senior Regional Researcher, UK
Global Research & Analysis Team

当今的各种复杂威胁

        当今的网络威胁情况非常复杂。网络罪犯利用各种不同的网络威胁劫持用户的计算机，借机大肆非法敛财。这些威胁包括多种类型的木马、蠕虫、病毒以及可以利用系统或应用程序漏洞的攻击代码。不仅如此，网络罪犯还采用了多种复杂的恶意软件编写技术，隐藏恶意软件的活动痕迹，使得反病毒研究人员很难发现和分析这些恶意代码。

        如果仅从技术角度来看，很容易发现网络犯罪所带来的问题，而且有相应的解决方案。但我们相信处理好网络犯罪中人为因素的问题也是十分重要的。

安全链中最薄弱的一环：人

        尽管当今恶意软件所使用技术的复杂程度已经相当高，但网络罪犯还是经常会利用人类本身的弱点来加大恶意程序的传播范围。这不足为奇，因为人确实是安全系统中最薄弱的一环。以房屋防盗为例，假设你为了防盗，购买了世界上最好的防盗设备，但是却不进行安装，那么对于整个房屋来说则无法起到一点保护作用。互联网安全所面临的情况也是一样的。网络罪犯正在广泛地利用社交网站，诱使计算机用户进行一些会破坏用户在线安全的操作。

        从钓鱼诈骗手段的屡获成功就能够看出这一点。通过这种诈骗手段，网络罪犯将用户引诱到假冒的网站，用户会泄漏自己的各种隐私包括用户名、密码、个人身份识别密码以及其它所有可能被网络罪犯所利用的个人信息。最常见的钓鱼诈骗通过发送垃圾邮件实施，网络罪犯会向数百万个电子邮件地址发送大量垃圾邮件，希望收到的人会点击垃圾邮件中的链接，从而落入诈骗圈套。目前，这种攻击方式仍然在广泛使用中。

        此外，在线诈骗者就像现实中的扒手一样，会在人群密集处实施犯罪行为。所以，随着社交网站如Facebook、MySpace、LinkedIn、Twitter等的用户数量急剧增多，网络罪犯也开始加大对这些服务的攻击力度，这不足为奇。网络罪犯会利用窃取到的Facebook账号发送大量包含指向恶意程序的链接信息，或者通过Twitter发送包含链接的信息，并利用URL短服务来隐藏链接的真实地址。网络罪犯甚至只需要在社交网站上伪装成受害用户的朋友，声称自己受困异国，急需现金返回国内，即可骗取到钱财。其实上述诈骗手段并非特别针对社交网络，只是网络罪犯将以往常用的诈骗手段重新换了平台，继续实施。

        此外，“恐吓软件”的增多也从另一方面显示出了社会工程式诈骗的流行程度。此类诈骗由网站的弹出式信息开始，通过提示信息来警告用户计算机已被病毒感染，建议用户下载一个免费的反病毒软件清除感染。但是，当用户下载并运行所谓的“反病毒软件”后，软件会提示要清除计算机的感染，需要使用此软件的“完整”版，即用户必须付费注册。通过这种诈骗手段，网络罪犯可以获得双重收益：因为他们不仅以所谓的感染诈骗到用户钱财，还可以获取到受害用户的信用卡详情。

        基于社会工程学的攻击还有一个特点，即攻击方式多样并且多变。高明的诈骗者从来不会使用相同的伎俩。这使得人们很难识别这些伎俩，无法判断这些信息是否安全。

        当然，很多人并不是由于缺乏警惕性而成为网络攻击的受害者。因为网络罪犯有时会利用一些内容如音频或视频资料，或者最新的名人裸照等诱使计算机用户点击他们发送的链接。如果不是因为这些诱惑信息，相信人们不会理会这些恶意链接。通常，人们的常识是如果某件事好得令人难以置信，那往往都是假的。但是，这种常识似乎在网络上行不通，很多人都没有意识到点击某些链接会造成很大危害。

        有时候，人们为了使生活更为轻松，往往不会太多注意和了解信息安全领域的各方面知识。举例来说，人们对于密码的态度即如此。现在，越来越多的业务开始在网上进行，比如在线购物、网上银行、账单支付、人际交往等等。所以，一个用户拥有10个、20个甚至更多的在线账号并不稀奇。但如果为每一个账号都选择不同的密码，记忆（甚至区分）这些密码将变得非常困难。所以，人们倾向于每一个账号都使用相同的密码，或者以小孩的名字、配偶的名字或者地名等同用户个人相关性很强的信息作为密码，主要是便于记忆。此外，人们还经常使用循环密码，例如使用“myname1”、“myname2”、“myname3”这种连贯性的账号密码。使用上述密码都会造成密码被网络罪犯猜出,或者通过破解其中一个密码，从而获取其他密码。但是，对于非技术人员或者普通大众来说，他们对上述风险的认识还不够。即使他们已经认识到这种潜在的风险，也想不出有效的解决办法，因为让他们记住10个、20个或者更多密码简直不可能。

        针对密码问题，有一个解决方法。我们不必单独记忆每个密码，而可以对某个固定的内容实施简单的打乱公式。下面，我么举一个简单的例子：首先，密码可以采用该在线资源的名称，比如“mybank”，然后根据下列公式将其打乱：。

        1. 将第四个字母大写

        2. 将倒数第二个字母挪动到首位

        3. 在第二个字母后添加一个数字

        4. 在密码末尾添加一个非字母特殊字符

        这样，得出的密码即为“nm1ybAk;”。遵循以上四步，就可以为每个在线账号设置唯一的不同密码。

应该采取的措施

        当然，技术是所有恶意软件防御方案中的核心部分。但是，我们认为如果仅重视技术，而忽略了安全问题中的人为因素，将是非常不明智的。在现实世界中，防盗报警器、窗锁以及大门的门链能够有效保护我们的财产不被窃。但是，如果有人将门打开，让陌生人进入房间，这些措施将不能保障我们的安全。

        同样地，如果企业安全策略不注重人为因素的话，其整体安全性也将大大降低。所以，为了保证数字资源的安全，我们还需要寻找创新的方法来弥补人本身具有的“漏洞”。

        这不仅是一个商业问题。很多在家里使用互联网的用户也面临同样的难题。所以，从社会的角度，我们应该想办法提高人们对于在线活动相关风险的认识，找出有效的办法最大程度地最小化这种风险。

向“在线安全常识”目标前进

        对于网络以外的风险，人们的认识似乎都非常到位。比如，我们有一套完整的“常识”系统，用以教育孩子横穿马路时的潜在危险：我们教育孩子穿越马路要走指定的人行横道，如果没有人行横道，在穿过之前必须仔细观察两个方向，确保安全。此外，我们还会通过电视节目、印刷品以及电台广告向公众普及安全常识，例如醉酒驾车或驾车不系安全带的安全隐患。

        当然，我们教给孩子的这些“常识”或者政府关于醉酒驾车的警告都无法完全保证我们的安全。但是，这些信息却能够帮助我们最大程度地减少风险。今天，人们已经普遍意识到醉酒驾车的危害。同40年前相比，现在由于醉酒驾车引起的事故少了许多。

        不幸的是，在网络世界中并没有类似的“常识”。对此，我们不应该感到奇怪，因为相对于延续了几代人的汽车驾驶或者横穿马路等行为，互联网是一个崭新的事物。目前，人们仅仅开始意识到互联网可以方便我们的生活，并没有意识到互联网潜在的危险。

        我们所面临的是一个进退两难的情况。虽然孩子可以从父母那里学习网络世界外的常识，但对于在线安全，今天的父母知识似乎还不够，毕竟他们对互联网这项“新”技术还不够熟悉。相反地，孩子们可能更倾向于使用新技术，但他们对于潜在的网络 威胁却知之甚少。

        所以，我们非常有必要集思广益，增强人们的在线安全常识。如果我们能够做到这一点，那么今天的孩子在将来保护自己的孩子们的在线安全时，就可以做到更好。

员工教育的重要性

        首先很重要的一点，即不能混淆员工教育和员工培训。试图将员工培训成计算机安全专家也是不现实的。所以，我们应该增强员工的安全意识，让他们意识到潜在的在线威胁，并且告知他们保护自身安全的具体方法。

        对于企业以及各种组织来说，员工教育应该成为建立有效安全策略的核心构件。我们应该使用简单、明确的语言告知员工可能面临的威胁。员工需要了解组织内部所部属的安全措施，以及这些安全措施为何以及如何影响他们执行自己的工作职责。如果员工理解并且支持该安全策略，那么这个安全策略的有效性将大大增加。另外，建立开放坦诚的企业文化同样重要。应该鼓励员工及时上报发现的可疑行为，而不是让他们害怕受惩罚而隐瞒不报。如果员工感觉害怕或者被愚弄，他们的合作积极性肯定会大打折扣。

        安全包含多个方面，员工教育也不能仅仅就起草一个安全策略，让所有员工签字，然后放任不管。有效的安全策略应该紧随不断变化的威胁形势进行调整，定期对安全策略进行回顾和总结。此外，需要注意的是，人们接受信息的方式不同，有些人擅于通过话语掌握知识，而有些人则对文本内容或演示内容敏感。所以，最好采用一系列多元的教育策略加强和巩固传递给员工们的信息安全知识。这些教育策略包括在员工引导课程上使用演示，在企业或组织内部张贴宣传海报，举办安全知识测试，卡通漫画宣传，或者在员工登录企业网络时显示“每日提示”等等。

        同样，值得注意的是，不应该将安全知识以及培训视作是IT 部门的事，而应当看作是整个人力资源范畴，因为其涉及到员工的健康、安全以及适宜的行为准则等。有效的员工教育项目必须得到人力资源部门、培训部门以及其他相关部门的全力支持。

工作场所之外的安全

        其实，工作和家庭生活之间也存在交集。在工作中使用计算机的用户也经常利用计算机在家在线购物、访问网上银行或者进行网上社交。对于同工作不相关的计算机使用常识也可以结合到员工的安全意识教育项目中去，例如指导员工如何保护自己的计算机以及路由器安全等。通过这些项目，可以从整体提高员工对培训项目的兴趣和支持度。此外，还可以确保那些在家办公的员工的计算机安全，避免他们泄漏企业资源，造成不必要的风险。

        当然，有些人在工作时并不使用计算机（或者已退休），但却会在家里使用计算机。所以，安全知识的教育应该不仅局限于工作场所，应该也扩展到我们日常生活中。

        有一些公共资源网站会提供一些关于互联网安全的建议。这些网站包括Get Safe Online, identitytheft.org.uk 以及 Bank Safe Online. 此外，大部门信息安全解决方案厂商都会向用户提供关于在线安全的指南，例如卡巴斯基实验室的Guide to stopping cybercrime. 上述这些资源都可以指导计算机用户避免成为网络犯罪的受害者。当然，要获取上述资源，读者必须处于在线的状态。

        我们认为，在线下将这些安全知识传达给计算机用户同样重要。例如可以利用电视广告，这种广告以往用于鼓励人们开车要系安全带，或者不要醉酒驾车等，现在则可以传授人们计算机安全知识。考虑到此类广告在过去取得了很好的效果，相信在宣传对抗网络犯罪以及网络安全方面也能够获得良好的效果。举例来说，2005年，Capital One集团在英国投放了一系列广告，广告主角是著名的印象派喜剧演员Alistair McGowan. 这些广告是为了推广Capital One集团的身份盗窃援助服务，但广告同时也突出一个重要的安全问题，即任何个人信息在丢弃前，一定要使用碎纸机粉碎。

未来前瞻

        网络犯罪已然存在，它是互联网时代以及整个犯罪领域的共同产物。所以，我们认为想要“赢得这场战争”是不现实的。我们能做的是找到合适的方法最大限度地降低其带来的风险。

        立法以及执法部门会加强针对网络犯罪的立法，加大处罚力度。而技术以及教育的目的是尽量减少网络犯罪对社会的影响。今天，由于很多网络攻击都是针对人类自身弱点而实施的，所以我们在想尽办法增强计算机设备本身安全性的同时，还应当想办法修补人为的各种漏洞。安全教育就好像做家务，你不可能一次将任务全部完成。而是需要不断的定期进行，从而保证我们拥有清洁、安全的环境。