全国电力技术协作网首页
CopyRight 2012-2014 DS文库版权所有
基于社会工程学攻防模型的新能源电站网络安全研究
(0 次评价)824 人阅读4 次下载
网络安全 -709- 1、概念:社会工程学就是利用人的心理弱点、 规章与制度的漏洞来攻击,以期获取攻击者所想要 的信息。简单来说利用一切途径、手段,搜集攻击 目标的资料,然后利用已知资料攻陷对方。社会工 程师都善用身边可见的信息,并构造陷阱,接下来 便是利用不断得到的信息。 2、社会工程学入侵网络,窃取目标信息分四个 步骤:巧妙收集信息,冒认身份获取信息,组织信息 设置陷阱,获取权限进行攻击。 (1)信息收集 就是采用一切手段收集想要侵入目标的一切信 息,包括一些黑客攻击方法,同时要注意收集和目 标的工作,现状相关的一切信息。主要手段有:直 接潜入目标地点窃取目标用户信息甚至密码;通过 电话收集用户信息;通过互联网(包括微信、QQ 聊 天等收集;电子邮件攻击获取用户资料;垃圾堆的 废弃文件资料分析;网络“钓鱼”法收集;反向社 会工程学分析。 网络“钓鱼”方法:通过假冒正式存在的网页 (网址仅有极细微的差别, 如 1 与 1,0 与 o 发起 “中 间人攻击” ,获取网上用户账号和口令。经典案例是 工商银行网上银行的盗号和 QQ 中奖消息等。 反向社会工程学一般采用三个实施步骤:侵入 破坏,毛遂自荐,积极帮助。就是说首先采用各种 手段破坏目标的计算机或网络系统,然后自我推荐 来解决计算机或网络问题,在积极帮助解决问题时 骗取目标信任同时获取计算机或网络的信息。 (2)身份冒充 冒充成目标人员信任的对象,在适当的时机来 骗取信息, 获得信任。 一般主要冒充为两种类型人, 不起眼的简单角色和代表权威和利益相关的领导部 门或第三方。简单角色例如新能源电站信息系统厂 家的运维人员,有机会进入新能源电站电子间,接 触信息载体,但是必须要掌握和了解目标人员工作, 生活规律,对要冒充对象要有深入和专业的了解。 另外一种,基于对权威的信任,当一个请求或命令 来自一个“权威”人士时,这个请求就可能被毫不 怀疑的执行,例如伪装权威部门人员,要求从新能 源电站侧修改系统密码等。 (3)组织信息陷阱 当获取足够的目标人员的相关信息后就可以开 始布置信息陷阱,将目标人员置于为其特点量身打 造的外界环境中,这样外界环境必须是符合客观实 际和经得起理性推导,同时利用目标的性格特点, 加强外界环境的引诱(金钱诱惑或美色邂逅)和压 迫(舆论压力或道德压力) ,这种引诱和压力迫使目 标人员做出错误决定。 (4)获取权限加以攻击 骗取目标用户的权限,如密码等,然后窃取所 需的目标终极信息。这个步骤往往会将入侵的痕迹 清理干净,以此长期获取目标的信息。 3.1 增强信息保密意识,严防无意流失机密 1、新能源电站地理位置偏远,交通不便,即使 从远处看到风力发电机或光伏设备,也很难寻到升 压站具体位置,给恶意攻击者收集信息带来天然的 障碍,提高了信息收集成本,降低了恶意入侵的可 能性。但随着网络电子地图、导航软件的用户体验 做的越来越好,新能源电站人员为了便于公司管理 人员、外单位等人员到场工作,会将新能源电站位 置发布到网络电子地图或导航软件,虽然是无意之 举,但暴露了新能源电站升压站位置,给恶意攻击 者信息收集提供了很大便利,降低了攻击成本。 在某项电子地图敏感信息调研中,从目前百度、 高德、 腾讯等常用导航软件可以查到至少 70%的新能 源电站升压站具体位置,社工人员可以方便地到达 升压站门口,利用“身份伪造”非法入侵,大大提 高了社工风险。 新能源从业人员在对本场站电子地图信息管理 除了便于日常工作外,还需考虑地图信息保密,已 在互联网暴露位置信息的单位要及时联系电子地图 运营商删除暴露的位置信息。后期工作中导航位置 信息通过身份认证等安全审核后经可靠渠道传递,

打分:

0 星

用户评论:

关于我们 | 联系我们 | 版权声明 | 企业服务 | 媒体合作
备案号:京ICP备13025456号-2 | 客服电话:010-88892009 | 反馈建议:1565227076@qq.com