X
返回

第50章

首页
关灯
护眼
字:
上一页 回目录 下一页 进书架
    第50章 (第2/3页)

信息或者产品手册,能自由地提供给任何人。需要注意的是,任何为指定为公共可用的信息都应当视为敏感信息。

      数据分类术语

      基于其分类,数据应当由不同的人负责。本章中的许多策略都提到过不允许身份未验证的人访问信息,在这些策略中,未验证的人指的是员工并不亲自认识的人和不能确定是否有访问权限的员工,还有无法保证可信的第三方。

      在这些策略中,可信的人是指你亲自见过的、有访问权限的公司员工、客户或者顾问,也可以是与你的公司有合作关系的人(比如,客户、厂商或者签署了保密协议的战略合作伙伴)。

      在第三方的保证中,可信的人可以验证一个人的职业或身份,和这个人请求信息或操作的权限。注意,在某些情况下,这些策略会要求你在响应信息或操作请求之前确认保证者仍然受雇于公司。

      特权帐户是指需要超越基本用户帐户权限的计算机(或其它)帐户,比如系统管理员帐户。有特权帐户的员工通常能更改用户权限或执行系统操作。

      常规部门信箱是指回答一般问题的语音信箱,用来保护在特殊部门工作的员工的名字和分机号码。

      验证与授权程序

      信息窃贼通常会伪装成合法的员工、承包人、厂商或商业伙伴,使用欺骗策略访问机密商业信息。为了保护信息安全,员工在接受操作请求或提供敏感信息之前,必须确认呼叫者的身份并验证他的权限。

      本章中推荐的程序能帮助一名收到请求(通过任何通讯方式,比如电话、email或传真)的员工判断其是否合法。

      可信者的请求

      针对可信者的信息或操作请求:

      确认其是否当前受雇于公司或者有权访问这一信息分类,这能阻止离职员工、厂商、承包人、和其他不再与公司有关系的人冒充可信的职员。

      验证此人是否有权访问信息或请求操作。

      未核实者的请求

      当遇到未核实者的请求时,必须使用一个合理的验证程序确认请求者是否有权接收请求的信息,尤其是当请求涉及到任何计算机或计算机相关的设备时。这一程序成功防范社会工程学攻击的关键:只要实施了这些验证程序,社会工程学攻击成功的可能性将大大减小。

      需要注意的是,如果你把程序设置得过于复杂,将超过成本限制并被员工忽略。

      下面列出了详细的验证程序步骤:

      验证请求者是他(或她)所声称的那个人。

      确认请求者当前受雇于公司或者与公司有须知关系。

      确认请求者已被授权接收指定信息或请求操作。

      第一步:验证身份

      以下列出的推荐步骤按有效性从低到高排列,每一条中还加入了社会工程师行骗的详细说明。

      1、来电显示(假设这一功能已经包括在了公司的电话系统之中)。用来电显示确认电话是来自公司内部还是公司外部,显示的名字和电话号码是否符合呼叫

    (本章未完,请点击下一页继续阅读)
国产免费看片    偷拍黑料吃瓜
上一页 回目录 下一页 存书签