教育/专业发展中的信息安全
计算机网络的管理员和用户是系统最大的漏洞(Lehtinen、Russell 和 Gangemi,2006)。[1]。针对安全漏洞最强大的防御措施之一是对机构员工进行培训和告知。本章将重点关注用户为何构成重大威胁;还将扩展许多可以作为专业发展重点的主题。这些主题包括但不限于用白话解释机构的可接受使用政策 (AUP),解释正确的系统访问礼仪以及描述网络钓鱼骗局。
信息安全中的人为因素被称为计算机安全中最薄弱的环节(Schneier,2000)[2] 许多安全漏洞发生在社会工程攻击中。“在这种类型的攻击中,攻击者利用人际互动(社交技巧)获取或泄露有关组织或其计算机系统的机密信息”(Schneier,2000,第 266 页)[2]。利用社交技巧攻击网络的一个例子可能是攻击者向机构员工发送电子邮件,告诉他们点击这里.exe并获得当地咖啡店 10 美元的优惠券。用户将打开电子邮件并下载附件。此时,病毒或蠕虫可能感染了他们的计算机,由于用户的计算机已连接到网络,整个网络可能在几分钟内被感染。如果用户接受过如何从外部来源获取病毒的教育,则可能已保存下载并导致整个网络瘫痪数小时或数天的链接。
如上图 1 所示,安全就像一条链子,但如果链条中的任何一个环节断裂,整个系统都可能变得脆弱(Schneier,2000)[2] 该领域的专家认为,社会工程攻击将永远奏效,因为人类天生就想要信任。如果人类认为“攻击”来自他们的联系人或朋友,他们就会信任。一个很好的例子是“20 世纪 90 年代的 ILOVEYOU 蠕虫伪装成来自收件人认识的人的电子邮件”(Schneier,2000,第 268 页)[2]。未来的攻击者将想出隐藏病毒和蠕虫的新方法。骗子将开发新的方法,从数字世界中的人那里获取个人信息。保护系统的关键是不断教育用户,为他们提供最新的信息。
在要求工作人员阅读和签署机构的 AUP 之前,最好与他们分享现实世界的例子。学年期间的专业发展机会为管理员或演讲者提供时间来分享可能发生在附近教育机构的事件。此技巧可以让工作人员了解在创建地区 AUP 时许多政策的来源。
1. 米德尔顿-克罗斯普莱恩斯教师因不当电子邮件而被停职 [1]
2. 老师因在 MySpace 页面上的不当行为被解雇 [2]
3. 老师因不当行为被停职 [3]
4. 不当的学校计算机使用导致菲比·普林斯死亡 [4]
5. 这不是新闻快讯:老师也使用社交媒体 [5]
6. 不当的师生关系在线 [6]
7. 老师因不当短信和接触被捕 [7]
8. 破碎的信任:不当的师生关系 [8]
一些可接受使用政策使用了一些对用户来说可能令人困惑的词汇。以下部分定义了一些令人困惑的术语。
1. 可执行文件
可执行文件是指任何以“.exe”为扩展名的文件。当用户点击“exe”文件时,内置例程会自动执行可以启动多个功能的代码。Exe 文件用于安装和运行程序和例程(Kayne,2010)。[3] 可执行文件特别危险,因为病毒或蠕虫可以通过此应用程序感染您的计算机。
2. 病毒
计算机病毒是一种可以在未经用户许可或知情的情况下复制自己并感染计算机的程序。计算机病毒具有两个主要特征:能够自我复制和能够附着到另一个计算机文件上。每个被感染的文件或程序也可以充当病毒本身,允许它传播到其他文件和计算机(反病毒软件,2010)。[4]。病毒以不同的方式运行。一些病毒仅在它所属的应用程序运行时处于活动状态。关闭计算机,病毒将处于非活动状态。其他病毒会在您感染系统文件或网络后每次开机时运行。
以下方法建议用于限制病毒感染计算机 (Myron, n.d.) [5]:
-仅从原始磁盘或 CD 加载软件。盗版或复制的软件始终存在病毒风险。(这就是为什么您学校区的网络管理员可能不允许您加载自己的软件的原因)。
-仅执行您熟悉其来源的程序。(通过电子邮件发送的程序始终应受到怀疑)。
-计算机上传和“系统配置”更改应始终由负责计算机的人员执行。应使用密码保护。(这通常由地区专业人员完成)。
-使用病毒检查程序检查从在线服务下载的所有共享软件和免费程序。
-购买在启动或运行计算机时运行的病毒程序。经常更新。(您的学校区已经处理了这一点)。
3. 其他类型的恶意软件
示例:蠕虫、间谍软件和木马。
-蠕虫是一种独立的程序,它通过将自身从一台计算机复制到另一台计算机来繁殖,通常通过网络(对学校区而言是一个重大问题)。与病毒一样,蠕虫会通过从一个站点快速传播到另一个站点来加剧其造成的损害。与附着在宿主程序上的病毒不同,蠕虫保持其独立性;它通常不会修改其他程序(Lehtinen 等人,2006)。[1]。
-间谍软件可以检测和报告用户对计算机和/或互联网的活动(Lehtinen 等人,2006)。[1]. 您的学校区很可能使用这些程序来监控区设备和互联网的使用。一种称为键盘记录器的特定间谍软件可以实际记录用户输入的键盘键击。如果落入坏人之手,键盘记录器可以捕获敏感信息,包括密码。
-木马之所以得名,是因为它通过假装成有用程序来绕过计算机防御机制(Lehtinen 等人,2006)。[1]. 当计算机让程序进入时,它就会释放其恶意代码。
有关更多信息,请参阅此维基百科中的另一章,恶意软件
系统访问礼仪
[edit | edit source]您是否曾经登录过您所在地区的计算机,然后走开去做其他事情?如果您回答“是”,那么您可能会将您的信息和/或网络置于风险之中。一旦计算机登录,未经授权的用户无需经过尝试猜测密码的过程。未经授权的用户可能会更改成绩、以授权用户的名义发送电子邮件、上传恶意程序、安装间谍软件类型软件,或者未经授权的用户可能会从授权用户的帐户中删除重要信息。
Lehtinen 等人(2006)。[1]. 对用户如何成为网络的第一道防线提出了一些建议
-保护您的密码,不要将其显示出来。
-为密码创建健康的长度。(有关更多信息,请参阅此维基百科的另一章,保护当今技术的密码.
-避免将地区帐户用于个人用途(社交网络——Facebook、Twitter、MySpace、在线购物、个人通信等)。
-不允许用户使用您已经登录的计算机。
-使用完应用程序后注销。
-不在教室时注销计算机。
-避免登录多个站点。
-不要打开任何文件扩展名为 (.exe) 的附件,因为它是可执行文件,可能会损害您的计算机或整个网络。回顾本章词汇部分中对可执行文件的定义。
-不要回复任何要求敏感信息(如您的密码、电话号码和/或地址)的电子邮件。有关更多信息,请参阅本章的网络钓鱼部分。
-报告任何可疑电子邮件、受保护信息的未经授权的更改,并监控学生对系统的使用。
网络钓鱼
[edit | edit source]一种特定类型的社会工程攻击可以通过使用网络钓鱼以数字方式发生。“网络钓鱼攻击使用电子邮件或恶意网站,冒充可信赖的组织来索取个人信息”(McDowell,2004,第 2 段)[6]. 一些可信赖的组织可以包括慈善基金会、教育机构和/或医疗保健机构。地区网络用户需要特别注意网络钓鱼诈骗。网络钓鱼诈骗很可能通过电子邮件发送给用户。发件人可能会要求提供敏感信息,例如收件人的用户名、密码、电话号码、地址等。用户绝不应透露这些敏感信息。所有网络钓鱼类型的电子邮件都需要立即报告给您的网络管理员,因为您可能会避免诈骗,但您的同事可能不会。
参考文献
[edit | edit source]- ↑ a b c d e Lehtinen, R.,Russell, D. 和 Gangemi, G.T. (2006)。计算机安全基础知识。Sebastopol, CA:O'Reilly Media, Inc。
- ↑ a b c d Schneier, B. (2000)。秘密与谎言。印第安纳波利斯,印第安纳州:Wiley Publishing, Inc。
- ↑ Kayne, R. (2010)。什么是 EXE 文件?。WiseGeeks。检索自 http://www.wisegeek.com/what-is-an-exe-file.htm
- ↑ Antivirus Ware. (2010)。什么是计算机病毒?Antivirus Ware。检索自 http://www.antivirusware.com/articles/computer-virus.htm.
- ↑ Myron, H. (n.d.) 什么是计算机病毒?Newton。检索自 http://www.newton.dep.anl.gov/teachers/compvir.htm
- ↑ McDowell, M. (2004)。国家网络警报系统。检索自 http://www.us-cert.gov/cas/tips/ST04-014.html