计算机安全系列报道之三最薄弱的环节——人

【英国《经济学家》周刊文章】有关阴险的黑客的成见是，他是一个皮肤白皙的小伙子，在一个黑暗的房间里，俯身在计算机键盘上，对与电脑为伍情有独钟，而厌恶与人为伴。但是，最成功的攻击者却是讲起话来喋喋不休的一类，几乎遇到任何情况都能够左右逢源。用安全技术专家施奈尔的话说：“业余的黑客攻击对象是系统，而专业黑客所攻击的是人。”
近年来最臭名昭著的黑客米特尼克主要依靠人的弱点来闯入美国政府机构和技术公司的电脑系统。经过将近5年的牢狱生活之后，2000年他在美国参议院的一个政府电脑安全小组会议上作证时解释说：“当我试图进入这些系统的时候，第一道攻击战线将是我所说的‘社会工程学’袭击。这实际上意味着设法通过电话哄骗某人。我在这方面十分成功，以致我很少需要发动一场技术性的攻击。影响电脑安全的因素中人的方面很容易被利用，而且经常被忽略。各个公司花费数以百万计的美元购买防火墙、加密和安全准入装置，这些钱都白费了，因为这些措施都没有解决安全链条中的最薄弱的环节。”
换句话说，人的弱点甚至能够破坏最巧妙的安全措施。在一项调查中，伦敦维多利亚车站的上下班的人们有三分之二欣然透露了自己的电脑密码，以换取一支圆珠笔。
另外一项调查的结果表明，英国的办公室职工有将近一半使用自己的名字、一位家庭成员的名字或者宠物的名字作为密码。其它常见的失误包括在贴在电脑显示屏上面的不干胶便笺或者附近的白色书写板上写下密码；外出吃午饭的时候仍然使电脑保持登录状态；在公共场所中，在没有安全措施情况下把存储着机密信息的笔记本电脑丢在一边。
管理很重要
根据安全咨询公司梅塔集团的调查，不速之客闯入公司系统的最常用的方法不是技术性的，而仅仅涉及搜寻到一位雇员的姓名和用户名（从一份电子邮件里面就很容易推测出来），谎称自己是该雇员给系统求助台打电话，假装忘记了密码。
寥寥几项防范措施，在阻止病毒传播方面就能起很大作用。许多病毒隐藏在电子邮件内部传播，但用户只有双击它们，它们才会发作。好奇的用户双击，结果似乎什么也没有发生，用户就不再多想了，但是病毒却开始传播。教育用户不要双击可疑的电子邮件附件，这是对付病毒的一项简单但有效的反措施。
如果处理得当，基于管理的、而不是单纯基于技术的安全对策，其成本效益可能会很高。“真正安全”公司的霍斯特说，危险在于“人们购买一大堆崭新的技术，擦一擦额头上的汗水，然后说：‘棒极了，我已经关照了这件事。’而如果节省这笔钱，在政策和办事程序方面做一些简单的事情，他们的境况也许会更好”。
人员防火墙委员会大力提倡这种对策。其主席卡汉说，这个想法就是“使安全成为每个人分内的事情”，制订一项明确的安全政策，规定什么是许可的，什么不许可。然后，政策的实施应当双管齐下，通过指导用户的行为和对防火墙、反病毒软件等进行适当的配置，其方式如同把街道内的严防、报警器和门锁结合起来使用，以便与现实世界中的溜门撬锁的盗贼做斗争。卡汉说，但是，调查结果显示，所有办公室职工当中的一半，从未受过任何安全培训。
传播和执行安全政策的一条途径是在安全软件里面再添加一个层次。英国的一种安全软件能够确保使用者熟悉公司的安全政策，方法是在他们登录时使显示屏上跳出信息和像小测验一类的问题。根据该公司的数字，73%的公司从来都不要求雇员在开始就职以后再次阅读安全政策，还有三分之二的公司从一开始就不叮嘱雇员阅读安全政策。
剑桥大学电脑实验室的安德森是正在把来自经济理论的思想应用到信息安全上的越来越多的电脑科学家之一。他说，不安全“往往是由于邪恶的刺激因素，而不是由于缺乏适当的技术保护机制”。例如，最有条件保护一个系统的人或公司可能没有充分的动机要这样做，因为系统失灵的代价会落在别人头上。安德森争论说，对这种问题的考察最好是利用经济学概念，比如外部性、信息不对称、逆向选择和道德风险。
这种例子充斥因特网。假如一名袭击者闯入甲公司的电脑，利用它们来通过虚假的通信量使乙公司的电脑超载，从而使合法的用户无法使用。乙公司遭受损失部分是由于甲公司系统不安全。但是除非乙公司提出诉讼，甲公司不会受到任何激励要解决这个问题。这种事情的一些例子已经开始出现。在一个案例中，一位得克萨斯法官对三家公司颁布了一项限制令，这些公司的电脑被不速之客用来攻击另外一家公司的系统。这三家公司被迫切断与因特网的联系，直到其能够证明这些袭击者所利用的弱点已经被消除。
家贼难防
虽然外部攻击得到传媒的较多注意，但是咨询公司远景研究公司最近的一份报告说：“大多数与电脑安全相关的犯罪活动仍然是内部的。”该公司估计，在涉及超过10万美元损失的安全措施被挫败的案例中，有70%是内部犯罪，常常是心怀不满的雇员所为。
家贼的偷袭所造成的损失可能远远超过外贼。调查结果显示，内部人员对一家大公司所发动的攻击造成的损失平均为270万美元，而外部攻击平均造成的损失为57000美元。
利用技术手段与家贼作斗争的难处表明，安全主要是一个人的问题。实际上，内部人员袭击的根本原因可能是管理不力。一名雇员可能会对被降职或者没有得到提升感到不满，或者感觉薪酬太少或者自我价值没有得到实现。改善管理是比技术希望大得多的方法。
防范内部人员的犯罪活动的最佳途径是使其难以实施。关键的事情之一是使责任分散，以便没有任何一个人掌管一切。另外一项简单的措施是确保所有雇员都在某一时刻外出度假，以阻止他们维持作弊的系统或程序。公司系统的准入特权必须与雇员的职权范围相称，以便例如只有人事部门的人员能够进入雇员记录档案。当雇员离开公司或者其角色改变的时候，其准入特权必须立即收回或者更改。