你有沒(méi)有感受過(guò)視覺(jué)入侵

■張建國(guó)

你有沒(méi)有感受過(guò)視覺(jué)入侵

■張建國(guó)

視覺(jué)入侵是指對(duì)肉眼直接可見(jiàn)的信息進(jìn)行記錄的黑客攻擊手段。機(jī)構(gòu)往往花費(fèi)巨款，搭建針對(duì)關(guān)鍵網(wǎng)絡(luò)的防御系統(tǒng)，卻在防護(hù)視覺(jué)入侵方面毫無(wú)作為。

波耐蒙研究所(Ponemon Institute)最近對(duì)此問(wèn)題開(kāi)展了一項(xiàng)調(diào)查。結(jié)果顯示，使用低技術(shù)手段進(jìn)行視覺(jué)入侵的成功率接近九成(88%)。研究所雇傭了一位負(fù)責(zé)滲透測(cè)試的安全專家進(jìn)行調(diào)查，他化裝成臨時(shí)工潛入八家公司，并嘗試視覺(jué)入侵。具體做法很簡(jiǎn)單，只是在公司里到處游走，尋找桌上或者電腦顯示器上顯而易見(jiàn)的數(shù)據(jù)。

在調(diào)查過(guò)程中，這位專家拿到了機(jī)密商業(yè)檔案，還用手機(jī)對(duì)顯示器上的機(jī)密信息拍了照，所有這些都是他在做正經(jīng)工作的空檔時(shí)完成的。不管是偽裝成服務(wù)人員、供應(yīng)商、清潔工還是維修人員，只要能夠進(jìn)入關(guān)鍵區(qū)域，都很容易造成對(duì)機(jī)密信息的威脅。

即使在魚(yú)叉式釣魚(yú)攻擊如此泛濫的時(shí)代，安全專家也不應(yīng)該忽視低技術(shù)層面上的安全威脅。黑客通常只需要一小條有用信息，就可以造成大量數(shù)據(jù)泄露。

該調(diào)查顯示了兩方面問(wèn)題。一方面，黑客只需要通過(guò)簡(jiǎn)單的視覺(jué)入侵就能獲得大量敏感信息;另一方面，公司員工對(duì)企業(yè)信息的態(tài)度粗心大意，信息安全防護(hù)意識(shí)不夠。

調(diào)查的關(guān)鍵結(jié)論如下：

★視覺(jué)入侵發(fā)生迅速。視覺(jué)入侵往往只需要幾分鐘。在45%的案例中，入侵在15分鐘內(nèi)完成;而在63%的案例中，入侵在30分鐘內(nèi)完成。

★視覺(jué)入侵悄然無(wú)息。在70%的案例中，視覺(jué)入侵并未被公司員工阻止，即使是在用手機(jī)給屏幕上的數(shù)據(jù)照相時(shí)。如果黑客沒(méi)有被員工所阻止，平均能獲得4.3份公司數(shù)據(jù)，而就算受到阻礙，該數(shù)據(jù)也只是下降到了2.8份。

★只通過(guò)視覺(jué)入侵就能獲取大量敏感信息。每趟行動(dòng)平均能獲取5份信息，其中包括：63%的員工電話本信息，42%的客戶信息，37%的公司財(cái)務(wù)信息，37%的員工登錄信息，以及37%的員工個(gè)人信息。

★未經(jīng)保護(hù)的設(shè)備給視覺(jué)入侵創(chuàng)造了最佳機(jī)會(huì)。53%的敏感信息從電腦屏幕上直接獲取，其中包括登錄信息、中高密級(jí)的文檔、會(huì)計(jì)和預(yù)算方面的金融信息，以及企業(yè)的法律信函。29%的敏感信息來(lái)自空閑無(wú)人的辦公桌，9%來(lái)自打印機(jī)，6%來(lái)自復(fù)印機(jī)，3%來(lái)自傳真機(jī)。

★開(kāi)放式辦公室使視覺(jué)入侵如虎添翼。對(duì)一家具有開(kāi)放式辦公結(jié)構(gòu)的公司而言，黑客平均能盜取4.4份信息;而該數(shù)字對(duì)于配備傳統(tǒng)式辦公場(chǎng)所的公司僅為3份。

★缺乏規(guī)范的工作區(qū)域最容易遭到視覺(jué)入侵?？头块T平均受到的視覺(jué)入侵次數(shù)最高，為6.0;通信部門為5.6;銷售隊(duì)伍管理部門為5.2。情況對(duì)于較為規(guī)范的工作區(qū)域來(lái)說(shuō)要好得多，會(huì)計(jì)、財(cái)務(wù)部門的該數(shù)字為1.9;法律部門最低，僅為1.0。

不過(guò)，調(diào)查也表明公司可以通過(guò)一些控制手段大大減少視覺(jué)入侵的威脅，比如實(shí)施辦公桌清理、文件粉碎政策，外加培養(yǎng)員工的安全防范意識(shí)。研究同樣表明，對(duì)于那些在電腦屏幕上配備了個(gè)人隱私過(guò)濾設(shè)備的公司而言，只有三種或更少的信息類別被視覺(jué)入侵，而對(duì)于沒(méi)有配備相關(guān)設(shè)施的公司，往往有四種以上的信息被視覺(jué)入侵。

對(duì)高級(jí)管理層而言，視覺(jué)入侵這種安全威脅常常是不引人注目的，這也是它經(jīng)常被忽視的原因。

這項(xiàng)調(diào)查表明，公司應(yīng)該啟用視覺(jué)隱私保護(hù)政策，培訓(xùn)員工和承包商，讓這些人更負(fù)責(zé)任地對(duì)待手中的敏感數(shù)據(jù);而且，為了保護(hù)顯示器上的數(shù)據(jù)，也應(yīng)該給高風(fēng)險(xiǎn)暴露的員工配備相關(guān)的防御設(shè)備。