教育/專業發展中的資訊安全
計算機網路的管理員和使用者是系統最大的漏洞(Lehtinen、Russell 和 Gangemi,2006)。[1]。針對安全漏洞最強大的防禦措施之一是對機構員工進行培訓和告知。本章將重點關注使用者為何構成重大威脅;還將擴充套件許多可以作為專業發展重點的主題。這些主題包括但不限於用白話解釋機構的可接受使用政策 (AUP),解釋正確的系統訪問禮儀以及描述網路釣魚騙局。
資訊安全中的人為因素被稱為計算機安全中最薄弱的環節(Schneier,2000)[2] 許多安全漏洞發生在社會工程攻擊中。“在這種型別的攻擊中,攻擊者利用人際互動(社交技巧)獲取或洩露有關組織或其計算機系統的機密資訊”(Schneier,2000,第 266 頁)[2]。利用社交技巧攻擊網路的一個例子可能是攻擊者向機構員工傳送電子郵件,告訴他們點選這裡.exe並獲得當地咖啡店 10 美元的優惠券。使用者將開啟電子郵件並下載附件。此時,病毒或蠕蟲可能感染了他們的計算機,由於使用者的計算機已連線到網路,整個網路可能在幾分鐘內被感染。如果使用者接受過如何從外部來源獲取病毒的教育,則可能已儲存下載並導致整個網路癱瘓數小時或數天的連結。
如上圖 1 所示,安全就像一條鏈子,但如果鏈條中的任何一個環節斷裂,整個系統都可能變得脆弱(Schneier,2000)[2] 該領域的專家認為,社會工程攻擊將永遠奏效,因為人類天生就想要信任。如果人類認為“攻擊”來自他們的聯絡人或朋友,他們就會信任。一個很好的例子是“20 世紀 90 年代的 ILOVEYOU 蠕蟲偽裝成來自收件人認識的人的電子郵件”(Schneier,2000,第 268 頁)[2]。未來的攻擊者將想出隱藏病毒和蠕蟲的新方法。騙子將開發新的方法,從數字世界中的人那裡獲取個人資訊。保護系統的關鍵是不斷教育使用者,為他們提供最新的資訊。
在要求工作人員閱讀和簽署機構的 AUP 之前,最好與他們分享現實世界的例子。學年期間的專業發展機會為管理員或演講者提供時間來分享可能發生在附近教育機構的事件。此技巧可以讓工作人員瞭解在建立地區 AUP 時許多政策的來源。
1. 米德爾頓-克羅斯普萊恩斯教師因不當電子郵件而被停職 [1]
2. 老師因在 MySpace 頁面上的不當行為被解僱 [2]
3. 老師因不當行為被停職 [3]
4. 不當的學校計算機使用導致菲比·普林斯死亡 [4]
5. 這不是新聞快訊:老師也使用社交媒體 [5]
6. 不當的師生關係線上 [6]
7. 老師因不當簡訊和接觸被捕 [7]
8. 破碎的信任:不當的師生關係 [8]
一些可接受使用政策使用了一些對使用者來說可能令人困惑的詞彙。以下部分定義了一些令人困惑的術語。
1. 可執行檔案
可執行檔案是指任何以“.exe”為副檔名的檔案。當用戶點選“exe”檔案時,內建例程會自動執行可以啟動多個功能的程式碼。Exe 檔案用於安裝和執行程式和例程(Kayne,2010)。[3] 可執行檔案特別危險,因為病毒或蠕蟲可以透過此應用程式感染您的計算機。
2. 病毒
計算機病毒是一種可以在未經使用者許可或知情的情況下複製自己並感染計算機的程式。計算機病毒具有兩個主要特徵:能夠自我複製和能夠附著到另一個計算機檔案上。每個被感染的檔案或程式也可以充當病毒本身,允許它傳播到其他檔案和計算機(反病毒軟體,2010)。[4]。病毒以不同的方式執行。一些病毒僅在它所屬的應用程式執行時處於活動狀態。關閉計算機,病毒將處於非活動狀態。其他病毒會在您感染系統檔案或網路後每次開機時執行。
以下方法建議用於限制病毒感染計算機 (Myron, n.d.) [5]:
-僅從原始磁碟或 CD 載入軟體。盜版或複製的軟體始終存在病毒風險。(這就是為什麼您學校區的網路管理員可能不允許您載入自己的軟體的原因)。
-僅執行您熟悉其來源的程式。(透過電子郵件傳送的程式始終應受到懷疑)。
-計算機上傳和“系統配置”更改應始終由負責計算機的人員執行。應使用密碼保護。(這通常由地區專業人員完成)。
-使用病毒檢查程式檢查從線上服務下載的所有共享軟體和免費程式。
-購買在啟動或執行計算機時執行的病毒程式。經常更新。(您的學校區已經處理了這一點)。
3. 其他型別的惡意軟體
示例:蠕蟲、間諜軟體和木馬。
-蠕蟲是一種獨立的程式,它透過將自身從一臺計算機複製到另一臺計算機來繁殖,通常透過網路(對學校區而言是一個重大問題)。與病毒一樣,蠕蟲會透過從一個站點快速傳播到另一個站點來加劇其造成的損害。與附著在宿主程式上的病毒不同,蠕蟲保持其獨立性;它通常不會修改其他程式(Lehtinen 等人,2006)。[1]。
-間諜軟體可以檢測和報告使用者對計算機和/或網際網路的活動(Lehtinen 等人,2006)。[1]. 您的學校區很可能使用這些程式來監控區裝置和網際網路的使用。一種稱為鍵盤記錄器的特定間諜軟體可以實際記錄使用者輸入的鍵盤鍵擊。如果落入壞人之手,鍵盤記錄器可以捕獲敏感資訊,包括密碼。
-木馬之所以得名,是因為它透過假裝成有用程式來繞過計算機防禦機制(Lehtinen 等人,2006)。[1]. 當計算機讓程式進入時,它就會釋放其惡意程式碼。
有關更多資訊,請參閱此維基百科中的另一章,惡意軟體
系統訪問禮儀
[edit | edit source]您是否曾經登入過您所在地區的計算機,然後走開去做其他事情?如果您回答“是”,那麼您可能會將您的資訊和/或網路置於風險之中。一旦計算機登入,未經授權的使用者無需經過嘗試猜測密碼的過程。未經授權的使用者可能會更改成績、以授權使用者的名義傳送電子郵件、上傳惡意程式、安裝間諜軟體型別軟體,或者未經授權的使用者可能會從授權使用者的帳戶中刪除重要資訊。
Lehtinen 等人(2006)。[1]. 對使用者如何成為網路的第一道防線提出了一些建議
-保護您的密碼,不要將其顯示出來。
-為密碼建立健康的長度。(有關更多資訊,請參閱此維基百科的另一章,保護當今技術的密碼.
-避免將地區帳戶用於個人用途(社交網路——Facebook、Twitter、MySpace、線上購物、個人通訊等)。
-不允許使用者使用您已經登入的計算機。
-使用完應用程式後登出。
-不在教室時登出計算機。
-避免登入多個站點。
-不要開啟任何副檔名為 (.exe) 的附件,因為它是可執行檔案,可能會損害您的計算機或整個網路。回顧本章詞彙部分中對可執行檔案的定義。
-不要回復任何要求敏感資訊(如您的密碼、電話號碼和/或地址)的電子郵件。有關更多資訊,請參閱本章的網路釣魚部分。
-報告任何可疑電子郵件、受保護資訊的未經授權的更改,並監控學生對系統的使用。
網路釣魚
[edit | edit source]一種特定型別的社會工程攻擊可以透過使用網路釣魚以數字方式發生。“網路釣魚攻擊使用電子郵件或惡意網站,冒充可信賴的組織來索取個人資訊”(McDowell,2004,第 2 段)[6]. 一些可信賴的組織可以包括慈善基金會、教育機構和/或醫療保健機構。地區網路使用者需要特別注意網路釣魚詐騙。網路釣魚詐騙很可能透過電子郵件傳送給使用者。發件人可能會要求提供敏感資訊,例如收件人的使用者名稱、密碼、電話號碼、地址等。使用者絕不應透露這些敏感資訊。所有網路釣魚型別的電子郵件都需要立即報告給您的網路管理員,因為您可能會避免詐騙,但您的同事可能不會。
參考文獻
[edit | edit source]- ↑ a b c d e Lehtinen, R.,Russell, D. 和 Gangemi, G.T. (2006)。計算機安全基礎知識。Sebastopol, CA:O'Reilly Media, Inc。
- ↑ a b c d Schneier, B. (2000)。秘密與謊言。印第安納波利斯,印第安納州:Wiley Publishing, Inc。
- ↑ Kayne, R. (2010)。什麼是 EXE 檔案?。WiseGeeks。檢索自 http://www.wisegeek.com/what-is-an-exe-file.htm
- ↑ Antivirus Ware. (2010)。什麼是計算機病毒?Antivirus Ware。檢索自 http://www.antivirusware.com/articles/computer-virus.htm.
- ↑ Myron, H. (n.d.) 什麼是計算機病毒?Newton。檢索自 http://www.newton.dep.anl.gov/teachers/compvir.htm
- ↑ McDowell, M. (2004)。國家網路警報系統。檢索自 http://www.us-cert.gov/cas/tips/ST04-014.html