RSA Conference 2020
美国时间2月24日至28日,RSA Conference 2020(RSAC2020)信息安全大会将在旧金山Moscone Center召开。此次会议参会人数预计达5万+,参展商达700多家,大会包含:研讨会、沙箱创新大赛、培训和教程、主题演讲、课堂等多种不同的活动。
从1991年成立至今,RSAC已成功召开29届,RSA信息安全大会对全球信息安全建设发挥着非常重要的作用,它提供了安全市场中组织、厂商、合作伙伴以及客户联系的机会。
作为全球顶级的权威安全会议,RSA已成为快速了解世界安全趋势的风向标,更是影响安全产业转型与持续发展的重要平台。不同于往年的主题更多的是一种技术理论探讨,今年我们将看到的是一种管理理念——“HUMAN ELEMENT(人为因素)”在安全领域的探讨与落地实践。这里,在信息安全中所指的“人为因素”,不仅是信息安全人员和管理员,还有受安全决策影响,在企业和组织中的所有最终用户。
人为因素对信息安全的影响
接下来,我们看下2019年几起由于人为因素引起的数据泄露事件。
2019年1月10日,HackenProof安全研究员BobDiachenko发现,MongoDB数据库中有超过2.02亿中国求职者的详细简历信息已在网上被公布,疑似第三方应用泄露。据悉,这份数据库存储的2.02亿简历中包含202730434条记录,信息非常详细,总计854GB。
2019年3月7日,SecurityDiscovery安全研究人员BobDiachenko披露一个可公开访问的MongoDB数据库,包含982864972条记录。据悉,这些记录包含7.98亿的电子邮件记录、超过400万备注了电话号码的E-mail地址、以及超过600万条被识别为‘商业线索’的信息。
以上两起泄漏原因均是内部人员将数据库配置错误,从而把数据暴露于网上。同样,就在19年12月底,一个Elasticsearch数据库泄露,包括27亿个电子邮件地址,其中10亿个密码是以简单的明文存储,涉及了国内多家互联网公司。
从国外的情况来看, 美国相关安全部门一项最新研究显示,大部分黑客入侵事件都是由于计算机使用者的人为因素造成的。在研究过程中,研究人员发现,有50%会的人会打开不明来源的网站或邮件链接,60%的人会使用来历不明的光盘或U盘,如果光盘和U盘上带有官方标志,那么有90%的人都会这么做。
计算机科学公司网络安全和私人咨询主管马克·拉什(Mark Rasch)表示:“没有一种设备可以阻止人们的这种愚蠢行为。”测试结果验证了计算机安全专家长期以来的看法:人为因素是网络安全问题中最弱的一环,成功的攻击和信息犯罪往往利用了人性的弱点。
在现实中,各类国有企业和高新技术企业的高管成为攻击目标,收到了含有链接陷阱的电子邮件。而这些人员在毫不知情的情况下将重要信息发布到了互联网中。根据信息安全公司McAfee的说法,此类问题每年会造成数千亿美元的损失。
截止目前,仍有大量的网络安全事故没有被曝光。企业防火墙、防病毒软件等投入,通常能够阻止病毒和其他恶意软件感染计算机,窃取关键信息和用户密码等数据,然而内部人为的错误往往使这样的努力白费。
人为因素管理的目的和意义
企业和组织的网络运行安全与否,直接会影响到其自身的经济效益,更关系到与之相关的客户、成员、协作商和所处商业环境的安全保护。
随着信息化技术的不断发展和应用,企业和组织网络正向大型化、高速化和高度复杂化发展。在此期间,各类人工智能和机器学习技术的不断发展,网络和信息管理已经由人工运维处置逐渐向平台综合管控和无人模式发展,给企业网络运行和管理节省了大量的人力资源。
企业和组织中系统构造、功能越来越全面而精化,科技含量和自动化越来越高,对网络使用、运维和管理等相关人员在理论知识、技术应用、控制和维护管理等方面提出更高的标准和要求。同时,高科技产品的不可靠性以及内在难以发现的不足和隐患,常导致网络突发性故障、系统运作的混乱,给网络运行安全带来一定的危害。
在当前很多信息网络中的安全防护,仅仅是对该网络进行设备或产品是否符合“规范”要求的检验,而没有进行该类项目中所涉及的人为因素方面的检验。如产品或系统在设计时是否考虑了满足人员管理和安全维护的相关要求?系统的结构是否适于人员对其进行管理和安全维护?需要人员重点管理的系统是否考虑了在人和系统之间,“人”能够最高效发挥自己的能动性?而通过对人为因素的管理和研究,可以有效地解决信息安全管理中的以上问题。
当前,及时发现网络和系统的不正常情况,掌握隐患点,并进行有效调整,及时采取安全应变措施,才能更加有效的进行信息安全建设和管理工作。其中,良好的人员素质是安全的必要条件,最好的管理体系也只有通过人员的积极响应才会取得预期效果。
如何进行人为因素的安全管理
从以上分析可以看出,人为因素是当前影响信息安全故障的一大主要原因。因此要想减少信息安全事故,首先要做的工作是加强人员的培训及管理。
01
提高人员素质
知识、技能和经验组合在一起,构成了安全操作与避免安全事故发生的基础。如果这个基础达不到应有的专业水准,那么网络安全事故将会不断发生。
02
技术训练
信息安全管理人员的业务水平,对于保证企业和组织网络安全营运的可靠性具有头等重要的意义。统计表明,许多安全事件是由于内部人员采取了不正确的决策和违反技术操作规程所造成。同时,业务水平高的人员,还可以保证网络内部设备的利用和维护的质量处于完好状态,能正确执行操作规程,正确判断系统的状态,还可迅速发现和排除安全事件和故障,用较短时间完成维修工作。
03
知识更新训练
知识更新训练主要与新知识、新技术有关。如在移动互联、工业物联网、大数据、云计算环境下对安全管理的要求更高。信息系统日趋复杂,对人员业务水平、熟练程度、操作技能、处置安全事件的能力要求越来越高,其完成任务的职责也在加强。
04
心理素质训练
人为因素的故障中,属于责任心不强(工作不仔细、检查不及时和违规操作)造成的事故,以及属于管理水平低(维护不良、指挥命令不当、判断错误、操作错误等)所造成的事故几乎各占一半,而低技能人员的人为事故所占比例高于高技能人员。这些事实说明了提高人员管理水平的重要性和迫切性,并应从思想作风教育和业务能力提高两方面去努力。
05
改善人与系统关系
合理分配人与系统的功能。人与系统的能力是有明显的差别的,两者有各自的特征和局限性,应采用两者之长,使综合效果最佳。比如从监控能力讲,人难以监控偶然发生的事件,但系统的监控能力很强。因此可以让系统对网络中某些安全变量进行监控和分析。
结束语
可以看出,随着企业和组织中信息网络的不断发展,为了进一步加强安全防护等级,保证企业和组织的网络安全,企业应重视网络信息安全建设和管理中的人为因素,加强对内部员工、运维人员的安全意识和技能管理培训,并利用安全技术和平台实施对内部人员的检测和管控,降低内部人员有意无意地通过拷贝、外发、上传和危险命令等操作带来的泄露和破坏风险。
