弱点:攻击者可以伪装成一个可信员工,让另一个员工为他担保。
4、接头暗号。在企业范围内使用接头暗号,比如每日密码。
弱点:如果有很多人知道这个接头暗号,攻击者也可以轻易地知道。
5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
弱点:如果请求者提供了他(或她)的上司的电话号码,员工联系上的也许是攻击者的同谋。
6、安全Email。请求数字签名信息。
弱点:如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码,他便可以像普通员工一样发送数字签名email。
7、个人语音识别。通过声音判断请求者的身份。
弱点:这是相当安全的方法,攻击者无法轻易突破,但是如果没有见过请求者(或者和请求者说过话),这一方法就没有任何用处。
8、动态密码方案。请求者通过一个动态的密码方案(比如安全ID)识别自身。
弱点:攻击者可以获取其中的动态密码设备和相应的员工PIN码,或者欺骗员工读出PIN设备上显示的信息。
9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
弱点:攻击者可以偷窃员工证件,或者直接伪造一张。然而,攻击者通常会避免这样做,以减小被发现的可能性。
第二步:验证员工身份
最大的信息安全威胁并不是专业的社会工程师,也不是熟练的计算机入侵者,而是刚刚解雇想要报复或者偷窃公司商业信息的员工。(注意,这一步骤的另一个版本可用于和你的公司有另一种商业关系的人,比如厂商、顾问或契约工人)
在提供敏感信息给另一个人或者接受计算机或计算机相关的设备指示操作之前,使用下面这些方法验证请求者是否仍是公司的员工:
查看员工目录。如果公司有一份活动员工目录,可以查看请求者是否仍在列表中。
请求者的上司核对。用公司目录上列出的电话号码打电话给请求者的上司,而不是使用请求者提供的号码。
请求者的部门或工作组验证。打电话给请求者的部门或工作组,从该部门或工作组的任何人那里确认请求者仍是公司的员工。
第三步:验证权限
除了验证请求者是否为活动员工或者与公司有关联之外,仍然有必要确认确认请求者已被授权访问所请求的信息,或者已被授权指导指定的计算机或计算机相关的设备操作。
可以使用以下这些方法进行验证:
职位/工作组/职责列表。企业可以使用一张列表说明指定的员工可以访问哪些指定信息,并通过员工的职位、部门、工作组、职责或者综合这些进行分类。这一列表需要不断更新并提供授权信息的快捷访问方式。通常,信息所有者应当负责创建并维护这一列表,监控信息的访问。
注释
值得注意的是,维护这种列表是在邀请社会工程师,试想一下,如果攻击者将一家公司作为目标,就会知道这一列表的存在,并有足够的兴趣获取一份,这一列表能为攻击者打开方便之门,使公司陷入严重的危机之中。
获得上司授权。员工联系他(或她)自己的上司,或者请求者的上司,请求授权同意这一请求。
获得信息所有者或指定人员的授权。信息所有者可以决定是否允许访问,基于计算机的访问控制程序可以让员工联系他(或她)的顶头上司申请访问基于工作任务的信息,如果这一任务不存在,管理人员有责任联系相关的数据所有者请求许可。这一管理系统的实施应当保证信息所有者不会拒绝常用信息的请求。
获得专业软件程序授权。对于高竞争性产业的大公司,可以使用专业软件程序进行授权。这种软件的数据库中存储了员工的姓名和机密信息访问权限,用户无法查看每个人的访问权限,但可以输入请求者的名字,并找到相关的权限信息。这种软件提供了响应标志,可以判断员工是否已被授权访问这一信息,并用独立的权限信息消除了创建个人列表的危险性。
(完)