科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道借《孙子兵法》保护企业安全

借《孙子兵法》保护企业安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2000年前,中国的军事策略大师孙子写出了他的经典著作《孙子兵法》,虽然这本书非常古老,但它至今还备受人们推崇。实际上,这本书对于如何抵御和反击“社会工程学”有非常中肯的建议。

作者:ZDNet China 2008年4月14日

关键字: 社会工程学 安全管理

  • 评论
  • 分享微博
  • 分享邮件

早在1978年,加利福尼亚的Security Pacific银行因受一个员工的诡计诱骗而将钱汇入其在瑞士银行的户头,损失了1000万美金。而前段时间,HP公司又因调查“董事会向主要媒体泄露消息”的事件而爆出巨大丑闻。该公司雇用私人调查员来对付电话公司。通过伪称是董事会的相关成员,私人调查员向电话公司要求获取公司秘密,该成员的电话通话记录,并最终得到了这些信息。

这些事件有些共同点。它们都属于因受到攻击而导致财产受损,无论该攻击是来自一把枪或是一台电脑。在具体个例中,财产的损失是因为有人受骗,有人不遵守规程,或者有人忽视了安全措施。而攻击者用于使公司职员吐露机密信息,或执行某些行为危及公司安全的方法,则被称为“托辞学”或“社会工程学”。而对“社会工程学”,安全顾问Kevin Mitnick给出的定义是:“诱使人们完成来自陌生人的指令,而该陌生人指令在正常情况下人们不会听从”(Kevin Mitnick本身是一个著名的计算机黑客,后来成立了自己的安全公司)。

对今天的公司来说,“社会工程学”提出了一个严峻的挑战。因为数据的损失不仅会伤害一个公司的竞争力,同时也可能会导致公司负上法律责任,或导致公司背负巨大的负面社会影响。不幸的是,即使是先进的硬件和软件所组成的安全系统对此依旧会败下阵来,而败阵的关键却出在公司员工的身上。

这个问题揭示了当公司和他们的员工遇到来自陌生人(可能是合法的正常人,也可能是社会工程学的攻击者)的请求时所必须处理的,进退两难的局面。本着“服务客户”或“柔和可亲”的原则,她们可能会应允每一个请求——但是这么做,他们就等于给黑客偷取贵重信息敞开了大门。

好消息是,通过学习和训练,公司雇员可以更好的抵御社会工程学的攻击。

《孙子兵法》的经验

2000年前,中国的军事策略大师孙子写出了他的经典著作《孙子兵法》,虽然这本书非常古老,但它至今还备受人们推崇。实际上,这本书对于如何抵御和反击“社会工程学”有非常中肯的建议。在孙子提出的众多兵法法则中,有三条非常贴合我们的需求:

* 兵不厌诈
* 知己知彼,百战百胜。
* 制人而不制于人

下面让我们来仔细的研究一下这些法则,并依据每条法则提出一些更具操作性的规则或章程。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章