构建信息安全感知程序（一）（2）

构建信息安全感知程序（一）（1）https://developer.aliyun.com/article/1507705

州违规通知法

现在许多州已经颁布了违规通知法，导致数据违规成本超过 HIPAA、SOX 和 PCI DSS 等法规。根据国家立法会议（NCSL）的数据，46 个州、哥伦比亚特区、关岛、波多黎各和维尔京群岛已经颁布了违规通知法。违规通知法的颁布是由于一些备受关注的数据违规事件，比如备受关注的 TJX 违规事件。

这些法律的理念是在客户数据丢失的情况下向消费者提供通知和信用保护。不提供通知和信用保护可能导致失去数据的组织因失窃或疏忽而面临巨额罚款。在发生损失的情况下，组织的首要责任是确定已经丢失了什么：社会安全号码、信用卡信息、家庭地址、出生日期或其他可识别个人信息（PII）。每个州对法律的触发条件不同。常见标准包括记录数量和丢失数据的类型。

以下是西弗吉尼亚州的违规通知法，这是其他州的违规通知法的典型代表：

第 46A 章。西弗吉尼亚州消费者信用和保护法

第 2A 条。消费者信息安全违规

§46A-2A-101。定义

本条款中使用的术语：

(1) “系统安全违规”是指未经授权访问和获取未经加密和未经编辑的计算机化数据，这些数据威胁个人信息的安全或机密性，这些个人信息由个人或实体作为多个个人信息数据库的一部分维护，导致个人或实体合理地相信系统安全违规已经或将导致本州任何居民的身份盗窃或其他欺诈行为。个人或实体的雇员或代理人为个人或实体目的而善意获取个人信息，不构成对系统安全的违规，前提是个人信息不用于个人或实体的合法目的之外的目的，也不受进一步未经授权的披露。

(2) “实体”包括公司、商业信托、遗产、合伙企业、有限合伙企业、有限责任合伙企业、有限责任公司、协会、组织、合资企业、政府、政府分支机构、机构或工具，或任何其他法律实体，无论其是否营利。

(3) “加密”是指通过使用算法处理数据，使其转化为一种形式，其中低概率的情况下没有使用保密过程或密钥就能赋予意义，或者通过另一种方法保护信息，使数据元素无法阅读或无法使用。

(4) “金融机构”的定义与《美国法典第十五章 6809(3)节》中对该术语的定义相符。

(5) “个人”指自然人。

(6) “个人信息”指与本州居民相关的姓氏或名字首字母和姓氏相链接的以下一个或多个数据元素，当数据元素既不加密也不编辑时：

(A) 社会安全号码；

(B) 驾驶执照号码或代替驾驶执照发放的州身份证号码；或

© 金融账号号码，或信用卡，或借记卡号码，与任何必需的安全代码、访问代码或密码结合使用，可以访问居民的金融账户。

该术语不包括通过合法途径从公开信息或从联邦、州或地方政府记录中合法提供给一般公众的信息。

(7) “通知”意味着：

(A) 向个人或实体记录中的邮寄地址发出的书面通知；

(B) 电话通知；

© 电子通知，如果提供的通知符合《美国法典第十五章 7001 节》，即《全球和国家电子商务电子签名法》关于电子记录和签名的规定。

(D) 替代通知，如果需要提供通知的个人或实体证明提供通知的成本将超过五万美元，或者需要通知的受影响居民类别超过十万人，或者个人或实体没有足够的联系信息或无法提供如(A)、(B)或©段描述的通知。替代通知包括以下任意两项：

(i) 如果个人或实体拥有受影响居民类别的成员的电子邮件地址，则通过电子邮件通知；

(ii) 如果个人或实体拥有网站，则在个人或实体的网站上醒目张贴通知；

(iii) 向主要州内媒体通知。

(8) “编辑”指对数据进行更改或截断，以使社会安全号码、驾驶执照号码、州身份证号码或帐号号码的最后四位数字以外的任何内容都无法访问作为个人信息的一部分。

§46A-2A-102. 计算机化个人信息安全侵犯通知

(a) 拥有或许可包含个人信息的计算机化数据的个人或实体应在发现或通知系统安全性遭到侵犯后向该州任何居民通知系统安全性遭到侵犯的情况，其未加密和未编辑的个人信息被未经授权的人访问和获取，并且导致或个人或实体合理相信已经导致或将导致身份盗窃或其他欺诈对该州任何居民造成影响。除非本节(e)项规定或为采取任何必要措施以确定侵犯的范围并恢复系统的合理完整性，通知应当在没有不合理延迟的情况下进行。

(b) 如果加密信息以未加密形式被访问和获取，或者安全漏洞涉及具有加密密钥访问权限的人员，并且个人或实体合理相信此类漏洞已经导致或将导致身份盗窃或其他欺诈对该州任何居民造成影响，则个人或实体必须通知系统安全性遭到侵犯的情况。

© 维护包含个人信息的计算机化数据但并非拥有或许可该信息的个人或实体应在发现后尽快向信息的所有者或许可人通知系统安全性遭到侵犯，如果个人信息被或实体合理相信被未经授权的人访问和获取。

(d) 通知应包括：

（1）尽可能描述未经授权的人士据信已经访问或获取的信息类别，包括社会安全号码、驾驶执照或州身份证号码和财务数据；

（2）个人可以使用的电话号码或网站地址，以联系实体或实体代理人，并从中了解以下内容：

（A）实体对该个人或一般个人维护的信息类型；以及

（B）实体是否维护有关该个人的信息。

（3）主要信用报告机构的免费联系电话号码和地址以及如何设置欺诈警报或安全冻结的信息。

（e）根据本节要求的通知，如果执法机构确定并告知个人或实体通知将妨碍刑事或民事调查或国土或国家安全，通知可能会延迟。在执法机构确定通知不再妨碍调查或危及国家或国土安全之后，本节要求的通知必须在没有不合理延迟的情况下进行。

（f）如果一个实体根据本文的规定需要通知一千人以上的人员存在安全漏洞，该实体还应在没有不合理延迟的情况下通知所有在全国范围内编制和维护文件的消费者信用报告机构，如 15 U.S.C.§1681a§所定义的，关于通知的时间、分发和内容。本小节不得解释为要求该实体向消费者信用报告机构提供通知接收者的姓名或其他个人识别信息。本小节不适用于受到《格拉姆-利奇-布莱利法》第五章 15 U.S.C. 6801 等的规定的实体。

（g）本节要求的通知不得视为《公平债务收藏实践法》第 15 U.S.C. §1692a 中定义的债务通信。

§46A-2A-103.被视为符合安全漏洞通知要求的程序

（a）如果一个实体将其自己的通知程序作为个人信息处理的信息隐私或安全政策的一部分，并且这些程序与本文中的时间要求一致，那么如果该实体根据其程序在系统安全遭受侵犯的情况下通知了本州的居民，则视为该实体符合本文的通知要求。

（b）根据联邦跨机构对未经授权访问客户信息和客户通知的应对程序指南的通知指南进行回应的金融机构被视为符合本文的规定。

© 遵守其主管机构或职能监管机构制定的规则、法规、程序或指导方针的通知要求或程序的实体应视为符合本条例。

§46A-2A-104. 违规行为

(a) 除非本节第©款规定的情况，否则未遵守本条例的通知规定构成违反本法典第一百零四条第六章第四十六-A 章的不公平或欺骗性行为，可能由检察长根据本章的执行规定进行执行。

(b) 除非本节第©款规定的情况，否则检察长应具有独占权力提起诉讼。除非法院发现被告已经进行了一系列重复且故意违反本条例的行为，否则不得对违规处以民事罚款。民事罚款不得超过每次系统安全性违规或在单一调查中发现的一系列具有类似性质的违规行为的一百五十万美元。

© 金融机构的违反行为应由金融机构的主要职能监管机构进行独家执行。

§46A-2A-105. 适用范围

本条例适用于在本条例生效日期之后发生的系统安全性违规或通知[14]。

通知和强制性信用保护需要花钱。根据违规程度，通知所有受影响的人可能需要花费数百万美元。不报告违规可能会导致刑事和民事处罚。为了辩护此类法律诉讼将产生更多费用[15]。

注释

[1] Ponemon 数据泄露成本 2013。www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013 [2013 年 06 月 26 日访问]。

[2] HHS.gov: 案例示例和解决方案协议。www.hhs.gov/ocr/privacy/hipaa/enforcement/examples/index.html [2013 年 06 月 26 日访问]。

[3] HRSA.gov: HIPAA 下的“受监管实体”是什么？www.hrsa.gov/healthit/toolbox/HealthITAdoptiontoolbox/PrivacyandSecurity/entityhipaa.html [2013 年 06 月 26 日访问]。

[4] HHS.gov: 适用实体的安全 101。www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/security101.pdf [2013 年 07 月 07 日访问]。

[5] OANDP 网站：HIPAA 安全 - 必须或可寻址。www.oandp.com/articles/2003-07_04.asp [于 2013 年 07 月 07 日访问]。

[6] 医疗法博客：田纳西州 MSBCBS 就 HIPAA/HITECH 违规达成 150 万美元和解。healthcarebloglaw.blogspot.com/2012/03/msbcbs-of-tn-settles-hipaahitech-breach.html [于 2013 年 07 月 07 日访问]。

[7] 维基百科：支付卡行业数据安全标准 en.wikipedia.org/wiki/PCI_DSS [于 2013 年 07 月 03 日访问]。

[8] 波士顿网站：TJX 数据泄露成本飙升至 2.56 亿美元 www.boston.com/business/articles/2007/08/15/cost_of_data_breach_at_tjx_soars_to_256m/?page=full [于 2013 年 07 月 03 日访问]。

[9] Verizon 数据泄露调查报告 2012. www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf [于 2013 年 07 月 08 日访问]。

[10] 2011 年数据泄露成本研究。www.symantec.com/content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Mar_worldwide__CODB_US [于 2013 年 07 月 08 日访问]。

[11] PCI 合规性与小商家：到底是谁的问题？www.pcicomplianceguide.org/merchants-pci-compliance-whose-concern-is-it.php [于 2013 年 07 月 08 日访问]。

[12] NCSL：州安全泄露通知法 www.ncsl.org/issues-research/telecom/security-breach-notification-laws.aspx [于 2013 年 07 月 03 日访问]。

[13] 第 46A 章。西弗吉尼亚州消费者信用和保护法。第 2A 条。消费者信息安全泄露。www.legis.state.wv.us/WVCODE/Code.cfm?chap=46a&art=2A#2A [于 2013 年 07 月 07 日访问]。

[14] 数据泄露的州机构通知要求图表。www.kelleydrye.com/publications/articles/1552/_res/id=Files/index=0/State%20Agency%20Notice%20Requirements%20for%20Data%20Breaches%20Chart%20(5-501-9110)%207%205%2012.pdf [于 2013 年 07 月 08 日访问]。

[15] 赛门铁克：用$500,000 能得到什么？一次数据泄露的通知。www.symantec.com/connect/blogs/what-can-you-get-500000-notification-one-data-breach [于 2013 年 08 月 07 日访问]。

第四章：大多数攻击都是有针对性的

Bill Gardner ^(美国西弗吉尼亚州亨廷顿市马歇尔大学)

摘要

在过去的几年里，一些行业成为了针对性攻击的目标，试图从大型跨国公司、非营利组织和政府中窃取知识产权。这些攻击有些是针对从大型国防公司到小型律师事务所的一切。这些针对性攻击通常利用鱼叉式网络钓鱼进行初始入侵。攻击者然后利用在初始攻击中获得的立足点进一步渗透组织，窃取特权、机密数据和知识产权。攻击者的资金和人员配备比被攻击的组织更好，并且通过使用鱼叉式网络钓鱼和其他社会工程攻击来绕过传统的网络防御，如防火墙和防病毒软件。针对鱼叉式网络钓鱼和其他社会工程攻击的最佳防御是安全意识培训项目。

关键词

针对性攻击

社会工程

匿名

Shady RAT

极光

夜龙

针对性攻击

大多数攻击都是有针对性的。它们通过应用程序、端口、平台、职业或行业进行针对。在构建信息安全意识培训项目时，包括特定于你组织的信息和示例是很重要的。如果你的组织是一家律师事务所，指出坏人是如何针对律师事务所和律师的。如果你的组织是一个非营利组织，举例说明坏人过去是如何针对非营利组织的。这些例子在打破“没有人想要我们的东西”的神话方面起到了很大的作用。

攻击者通过定位用户使用的日常工作和娱乐应用程序和服务来定位用户，比如社交网络。攻击者定位用户的一种方式是通过电子邮件。鱼叉式网络钓鱼攻击采取了针对特定用户或一组用户的电子邮件形式，诱使用户点击电子邮件中包含的链接或打开随电子邮件发送的附件。精准网络钓鱼电子邮件的制作第一步是攻击者使用你组织的网站、社交媒体网站以及在线公共网站和目录中的其他开源信息来研究他们的目标。一旦攻击者弄清楚被定位用户的兴趣是什么，他们就会利用这些兴趣来构建针对性的电子邮件。

例如，如果一个被定位的用户，此时我们假设是组织的首席执行官，说他们对集邮感兴趣，攻击者将向被定位的用户发送一封关于集邮的网络钓鱼电子邮件，其中包含一个链接或附件，允许攻击者控制被定位用户的计算机。一旦首席执行官的计算机被利用了这种方法，攻击者将把注意力转向将攻击转向渗透和利用网络的其他部分以及窃取数据。

最近的有针对性的攻击

攻击者最近开始瞄准与国防和政府承包相关的行业。 2011 年，为美国政府和美国政府承包商提供两因素身份验证令牌的 RSA 发现了传输和存储令牌的数据库遭到入侵。在同一时期，国防承包商雷神公司、通用动力公司和 L-3 通讯公司也报告了入侵事件。行业内的一些人将 RSA 的入侵事件与其他入侵事件联系起来[1]。虽然一些人继续争论这些入侵是否以某种方式相互关联，但它们都是定向攻击的例子。国防承包商持有从最新战斗机/轰炸机设计到核研究的宝贵信息。他们绝对持有对黑客、间谍和其他政府有价值的数据。

针对律师事务所的定向攻击

2009 年，FBI 警告律师事务所和公关公司它们成为网络钓鱼攻击的目标。网络钓鱼邮件包含“zip”、“jpeg”或其他看起来安全的附件，当打开时尝试从域名d.ueopen.com下载和执行文件“srhost.exe”。FBI 网络司法部门的部门负责人布拉德福德·布莱尔告诉美联社：“律师事务所拥有大量真正关键的私人信息。”侵入这些计算机系统“是获得经济、个人和个人安全相关信息的一种非常理想的方式”[2]。

2010 年 9 月开始，赛里斯的黑客侵入了加拿大的律师事务所，以阻止对澳大利亚钾肥矿业公司价值 400 亿美元的收购：

…黑客依次侵入了一个又一个安全的计算机网络，最终击中了七家不同的律师事务所，以及加拿大的财政部和财政部，据多伦多数字智慧总裁丹尼尔·托博克称。他的网络安全公司受雇于律师事务所协助调查。

调查将入侵事件与赛里斯试图挫败彭博彭博顿股份有限公司被 BHP Billiton 有限公司收购的努力联系在一起，这是全球自然资源竞争的一部分，托博克说。他说，这样偷来的数据可能价值数千万美元，并使持有该数据的一方在交易谈判中占有不公平的优势。

尽管最终由于无关原因而破裂，但此事件说明了律师事务所的脆弱性。随着这种攻击不断升级，如果他们不能展示改进的安全性，他们将面临客户业务的丧失[3]。

通常，律师事务所的安全性低于其他高调目标，如银行和其他金融机构。虽然许多律师意识到他们在网络上拥有敏感和机密信息，但从历史上看，律师事务所并没有花时间和金钱来加强他们的安全性，以防止攻击者针对他们的网络。

根据安全公司 Mandiant 的说法，2012 年有 80 家总部位于美国的律师事务所遭到了入侵。FBI 表示，随着金融公司在信息安全方面变得更加重视，律师事务所成为了更大的目标。2011 年秋季，FBI 在纽约市与 200 家顶级律师事务所会面，就威胁问题和不断增加的律师事务所入侵进行了交流。该机构警告说，“黑客认为律师是其公司客户宝贵数据的后门。”

玛丽·加利根（Mary Galligan）是 FBI 纽约市办事处网络部门的负责人，当时她说：“每个人都想要网络管理员权限……这很时尚。”她说，合伙人坚持要移动性，包括在周末度假屋或在路上查看案件文件的灵活性，这意味着高度敏感的文件经常通过电子邮件传输[4]。

2010 年 1 月，FBI 的互联网犯罪投诉中心（IC3）发出了一份警告，称针对美国律师事务所的伪造支票方案值得警惕：

FBI 继续收到针对美国律师事务所的伪造支票方案的报告。与先前报道的一样，骗子向律师发送电子邮件，声称自己在海外，并寻求法律代理以从美国的第三方那里收取拖欠款项。律师事务所收到保证金协议书、反映所欠金额的发票以及一张支付给律师事务所的支票。公司被指示提取保证金费用，包括与交易相关的任何其他费用，并将剩余资金汇至韩国、赛里斯、爱尔兰或加拿大的银行。当支票被确定为伪造时，资金已经被汇往海外。

在一个新的变化中，寻求法律代理的欺诈客户是一个在亚洲国家“执行任务”的前妻，她声称正在追讨她在美国前夫那里的离婚协议款项。律师事务所同意代表前妻，向前夫发送电子邮件，并通过交付服务收到了结算款的“认证”支票。前妻指示该公司将资金减去保证金费用后汇至海外银行账户。当欺诈成功执行时，律师事务所在发现支票是伪造的之前就已经汇出了资金。

所有互联网用户在收到未经请求的电子邮件时都需要保持警惕。建议律师事务所在与完全通过电子邮件处理业务的各方进行交易之前尽可能进行尽职调查，尤其是那些声称居住在海外的各方[5]。

2012 年 2 月，匿名组织攻击了帕克特与法拉吉律师事务所。这家总部位于华盛顿特区的律师事务所成为了黑客集团的目标，因为他们为 2005 年 11 月在哈迪斯杀害 24 名手无寸铁的伊拉克平民的美国海军陆战队员辩护。美国海军陆战队员的审判以无罪释放结束。匿名组织谴责这一裁决不公正，于是对该公司的网站和内部网络发动了攻击，导致该公司网站遭到篡改，电子邮件被盗取了 2.6 GB。该公司的电子邮件后来被发布在 Pastebin 和海盗湾上[6]。

尤其令人尴尬的是，该公司直到被网站《Gawker》联系后才意识到自己已经遭受到了入侵，“我们无法立即联系到帕克特进行评论；我们几分钟前打电话给他时，他正在开会，接待员根本不知道公司已经被黑客攻击了”[7]。截至目前，该公司的网站在遭受攻击近两年后仍然处于离线状态[8]。

毫无疑问，律师和律师事务所成为了攻击目标（图 4.1）。为了自卫，他们的一部分工作是确保律师和员工知道他们面临的威胁的严重性和类型，包括针对他们数据的社交工程攻击，以降低其数据受到的风险。

图 4.1 帕克特与法拉吉网站。

影子老鼠行动

“影子老鼠行动”是有史以来最大的有针对性的攻击之一，目标包括政府、国防承包商、保险公司、国际非营利组织、会计公司、媒体机构和专门从事高技术产品和智库的企业。根据揭露这一行动的麦克菲公司，这些入侵事件追溯到 2006 年中旬。RAT 代表“远程访问工具”：

麦克菲公司不愿透露谁是这次行动的幕后黑手，但却表示这些攻击是由一个“国家行动者”组织的。大多数专家认为黑客的支持者是赛里斯。据路透社报道，国际奥委会和世界反兴奋剂机构是遭受入侵的非营利组织之一。

NPQ 查看了麦克菲公司的报告，该报告似乎表明，在受到黑客攻击的受害者中包括五个“国际体育”组织、两个智库、一个“政治非营利组织”和一个“美国国家安全非营利组织”。其中 49 家被黑客攻击的实体位于美国。这些并不都是快速的“砸砸抢”行动。尽管其中一些入侵只持续了一个月，但在另一个未公开具体名称的（亚洲）奥林匹克委员会，黑客在过去 28 个月里一直出没。

麦克菲公司的威胁研究副总裁兼麦克菲报告的作者德米特里·阿尔佩罗维奇写道，公司对受害组织的多样性感到“惊讶”，同时也对加宽者的大胆行为感到“震惊”[9]。

麦克菲报告还提到了其他的有针对性的攻击：

经过调查诸如极光行动和夜龙（西方石油和天然气行业的系统性长期侵入），以及许多其他尚未公开披露的入侵，我确信每个拥有相当规模和有价值的知识产权和商业机密的可能产业中的每家公司都已经遭受了（或将很快遭受）侵入，其中绝大多数受害者很少发现入侵或其影响。事实上，我将整个《财富》全球 2000 强公司划分为两类：那些知道自己受到了侵犯的，以及那些尚不知道的[10]。

McAfee 拒绝公开标识受害者，并表示许多受害者在面对 McAfee 报告中的证据时拒绝相信自己已经被侵入[10]。

极光行动

2009 年，Google、Adobe 以及其他一些备受关注的公司成为了一个被称为“极光行动”的攻击目标。这次攻击源自赛里斯，针对目标公司的知识产权，包括控制主要系统的源代码，例如 Google 的 Gmail 服务。攻击者随后利用通过侵入获得的信息来访问人权活动人士的 Gmail 账户。“在国防工业之外，我们从未见过商业工业公司受到如此高级别的攻击，”McAfee 的威胁研究副总裁德米特里·阿尔佩罗维奇说。“这完全改变了威胁模式”[11]。

夜龙

归因于赛里斯的夜龙攻击针对能源公司。这些攻击发生在四年的时间里，针对知识产权[12]。2011 年由 McAfee 揭露的还有：

从 2009 年 11 月开始，针对全球石油、能源和石化公司进行了协调的秘密和有针对性的网络攻击。这些攻击涉及社会工程、针对性钓鱼攻击、利用 Microsoft Windows 操作系统漏洞、Microsoft Active Directory 受损以及使用远程管理工具（RATs）来针对和收集有关油气田招标和运营的敏感竞争性专有操作和项目融资信息。我们已经确认这些持续攻击中使用的工具、技术和网络活动——我们将其命名为夜龙——主要起源于赛里斯[13]。

水坑攻击

RSA 高级威胁情报团队于 2012 年首次定义了水坑攻击。

根据 RSA，水坑攻击有三个阶段：

在我们所发现的新攻击中，我们称之为“VOHO”的攻击方法依赖于对特定地理区域的合法网站进行木马植入，攻击者相信这些网站会被他们希望渗透的组织的终端用户访问。这导致企业网络内的多个主机全面受损，因为终端用户继续日常业务，就像狮子在水坑里埋伏等待猎物一样。

攻击的详细信息仍在发展中，但我们目前所了解的情况如下：

1. 受害者访问了一个被入侵的“水坑”网站。
   
2. 该网站通过注入的 JavaScript 元素，将访问的浏览器重定向到一个利用站点。
   
3. 该利用站点检查访问机器是否运行 Windows 操作系统和 Internet Explorer 版本，然后利用访问主机上的 Java 客户端，安装“gh0st RAT” 变种[14]。
   

最近的一个水坑攻击的例子是利用一个被入侵的网站，其中包含一个中餐馆的菜单，向针对的石油公司提供攻击。攻击的结果是攻击者能够规避公司付费实施的许多复杂的防御措施和产品。

“无法攻破一家大型石油公司的计算机网络，黑客们通过恶意软件感染了一家深受员工欢迎的中餐馆的在线菜单。当工人们浏览菜单时，他们不经意间下载了代码，使攻击者在企业广阔的计算机网络中立足。”[15]。

尽管水坑攻击不像钓鱼攻击那样流行，但在过去几年里数量逐渐增加，因为用户在发现钓鱼攻击方面越来越娴熟。水坑攻击可能永远不会超越鱼叉式网络钓鱼攻击，因为它们需要入侵目标定期使用的网站，这增加了执行攻击的复杂性。钓鱼活动的执行要简单得多。

常见攻击向量：常见结果

Operation Aurora、Operating Shady RAT 和针对 RSA 和国防承包商的有针对性攻击中的常见攻击向量都使用高度针对性的鱼叉式网络钓鱼，感染组织以前未知的恶意软件，然后从每个组织中泄漏机密信息和知识产权。另一个共同点是，这些组织花费了数百万甚至数千万美元购买了防病毒软件、入侵检测系统、指令预防系统和其他信息安全防御措施，但它们都被组织内的某人绕过了，只需简单地打开电子邮件中包含的链接或附件，就导致了整个企业网络的受损。

所有组织，无论大小，都包含攻击者感兴趣的信息，攻击者将使用任何可能的手段来获取这些信息。较小的侵犯行为没有报告，因为组织不知道它们已经被侵犯，或者他们不愿意承认他们已经丢失了数据给业务伙伴和客户。国家违规通知法的目标是解决未报告问题的一部分。你的组织可能很小或中等规模，但这并不意味着你没有有价值的信息。事实上，像大多数组织一样，很可能你的安全计划预算不足，人手不足，而攻击者则得到了充分资助，并由高度训练有素的员工全力支持。你被定为目标。实施安全意识计划是你最好的防御手段，抵御这些资金充足、意志坚定的攻击者。

注释

[1] DarkReading.com：美国国防承包商的定向攻击：RSA 漏洞的后果？www.darkreading.com/attacks-breaches/targeted-attacks-on-us-defense-contracto/229700229 [于 13 年 7 月 27 日访问]。

[2] Law.com：黑客针对法律公司，FBI 警告。legalblogwatch.typepad.com/legal_blog_watch/2009/11/hackers-targeting-law-firms-fbi-warns.html [于 13 年 7 月 27 日访问]。

[3] 彭博社：赛里斯黑客以获取机密交易数据为目标攻击律师事务所。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 13 年 7 月 29 日访问]。

[4] 彭博社：赛里斯黑客以获取机密交易数据为目标攻击律师事务所。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 13 年 7 月 29 日访问]。

[5] 互联网犯罪和投诉中心：针对美国律师事务所的伪造支票计划的新变种。www.ic3.gov/media/2010/100121.aspx [于 13 年 7 月 29 日访问]。

[6] NMissCommentor：匿名人士针对代表 Hadditha 大屠杀的士兵的国防法律公司。nmisscommentor.com/law/anonymous-targets-defense-law-firm-representing-srgt-who-led-hadditha-massacre/ [于 13 年 7 月 30 日访问]。

[7] Gawker.com：匿名人士泄露了涉及伊拉克战争罪行案件的大量电子邮件。gawker.com/5882063/anonymous-releases-huge-cache-of-emails-related-to-iraq-war-crimes-case [于 13 年 7 月 30 日访问]。

[8] www.puckettfaraj.com/ [访问日期：13.07.30]。

[9] NonProfit Quarterly：非营利组织成为全球最大黑客攻击活动的目标。www.nonprofitquarterly.org/index.php?option=com_content&view=article&id=14686:nonprofits-targeted-in-the-worlds-biggest-hacking-campaign&catid=155:nonprofit-newswire&Itemid=986 [访问日期：13.08.03]。

[10] McAfee：揭示：Shady RAT 行动。www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf [访问日期：13.08.04]。

[11] Wired：威胁级别：谷歌黑客攻击非常复杂，新细节显示。www.wired.com/threatlevel/2010/01/operation-aurora/ [访问日期：13.08.04]。

[12] NetworkWorld：赛里斯“夜龙”攻击能源公司。www.networkworld.com/news/2011/021011-night-dragon-attacks-from-china.html [访问日期：13.08.04]。

[13] McAfee：全球能源网络攻击：“夜龙”。www.mcafee.com/us/resources/white-papers/wp-global-energy-cyberattacks-night-dragon.pdf [访问日期：13.08.04]。

[14] McAfee：水坑中的狮子 - “VOHO”事件。blogs.rsa.com/lions-at-the-watering-hole-the-voho-affair/ [访问日期：14.09.04]。

[15] 黑客潜伏在通风口和饮料机中。www.nytimes.com/2014/04/08/technology/the-spy-in-the-soda-machine.html?_r=0 [访问日期：14.09.04]。

第五章：谁负责安全？

比尔·加德纳（美国西弗吉尼亚州亨廷顿市马歇尔大学）

摘要

无论在组织中扮演什么角色，每个人都对安全负有责任。从 CEO 到邮件室，所有用户都面临风险，都可能成为技术和非技术攻击中社会工程师的目标。

关键词

终端用户

意识

针对性攻击

社交媒体

社会工程

信息技术（IT）人员

如果问起，大多数人会说信息技术人员负责保护组织的数据。这是正确的，因为 IT 人员负责设置服务器、网络、客户端计算机、防火墙以及组织网络边缘的其他安全产品。他们还可能负责安装防病毒软件和对软件和操作系统进行关键安全补丁的安装。

实际上，大多数 IT 人员更关心保持系统运行而不是关注数据安全问题。这是他们工作的性质。这就是为什么大多数组织依赖安全解决方案硬件和软件来关注数据安全。

因此，许多 IT 部门过于负担沉重，无法以整体、积极的方式处理安全问题。结果，安全问题往往排在优先级列表的最底部。

另一个问题是，保持系统运行需要大量的培训和技术技能。因此，IT 团队可能并不完全了解他们需要做什么来保护组织的数据。

在规划和实施安全意识计划时，不要忘记 IT。帮助台经常成为社会工程师在密码重置攻击中的目标。除非你给予 IT 人员与安全意识相关的相同信息和培训，否则可能存在他们知识的空白，因为对于非技术攻击（如社会工程、垃圾箱搜寻和钓鱼）的水平被做出了假设。

安全团队

一些组织规模不够大，无法拥有安全团队。如果你有足够的预算来组建一个安全团队，他们只能防范已知的威胁。他们无法阻止用户打开附件和链接，但他们可以成为传达安全意识信息和提醒用户有责任帮助保护组织数据的重要组成部分。

接待员

接待员通常是大多数组织中的第一道防线。接待员的工作是接待访客，并礼貌地引导访客或来电者到正确的人员处，以帮助客户或访客。由于接待员很可能是访客见到的第一人，或者他们在电话中首先接触到的人，接待员是组织的公共面孔。接待员的职责是回答问题，并且通常提供良好的客户服务体验。做其他事情会对组织产生不良影响。社会工程师会利用这种情况。

为什么一个决心的攻击者要花时间和金钱通过防火墙进行攻击来窃取数据，而不是穿着快递员或电话维修人员的制服走进公司，在网络上放置数据窃取器，或者从后门走出去带走公司的备份磁带、计算机，甚至是组织的服务器。

接待员从未被视为安全警卫，但由于这种威胁，我们把他们置于这个位置。接待员接受安全意识培训非常重要，以便他们了解自己所处的独特位置，知道如何识别社会工程威胁，并制定有助于保持组织安全的物理安全政策。这些政策包括客人/访客签到表、客人/访客徽章政策和客人/访客护送政策。

CEO

CEO 可以访问组织网络中的所有内容。CEO 也是一个繁忙的人，其首要任务是确保组织高效运行，并关注利润。CEO 是攻击者攻击目标之一。攻击者很想获取 CEO 或其他关键管理人员的计算机或笔记本电脑，或者盗取这些设备。

管理层通常是最难接受安全意识培训活动的。因此，重要的是要记住为 CEO 和其他管理人员找到替代形式的安全意识培训和提醒。

会计部门

如果攻击者对金钱感兴趣，他们会发动针对组织会计部门的钓鱼攻击。在安全评估和渗透测试中，惊人的是，对于负责处理金钱的组织部门，很少有人考虑到保护的问题。很常见地发现会计员工的桌面上存放着未加密且没有密码保护的文本文档，其中包含密码、银行账户登录信息和汇款信息。一次成功的钓鱼攻击将使攻击者有能力清空组织的银行账户。

邮件室/复印中心

邮件室/复印中心需要像其他人一样使用计算机。事实上，大量信息，包括财务数据和医疗记录，都存储在他们的计算机上用于复制和邮寄工作。因此，这些角色也需要包括在安全意识培训中。

跑腿员/快递员

这些人负责将组织的备份数据带到离岗存储地点。他们知道如何始终看管磁带或其他媒体吗？如果他们在递送到另一个地点的过程中将其放在桌子上会怎么样？如果他们将它们留在交付车辆中并被盗会怎么样？这些都是需要解决的对组织数据构成巨大风险的问题。因此，这些人需要包括在安全意识培训中。

每个人都对安全负责

用户根据工作职责的性质会继承某些风险。无论教育水平或用户角色如何，都将每个人视为相同是一个巨大的错误。像医生、律师、会计师和大学教授这样受过高等教育的专业人士可能是最难以进行安全意识培训的群体，因为他们认为多年的教育使他们对社会工程技巧免疫。然而，许多这些专业人士，尤其是律师，正成为目标，因为安全计划和安全意识计划被忽视为优先事项。

近年来，赛里斯黑客一直以破坏多伦多贝街律师事务所的方式，阻止了世界最大钾肥生产商 400 亿美元的收购[1]。2013 年 11 月，匹兹堡一名男子因“鲁莽地破坏计算机和密码交易”而被判刑，案件涉及一家律师事务所的计算机系统[2]。直到 2012 年，FBI 警告律师，他们的公司需要加强安全，因为他们成为了目标[3]。

不仅仅是律师，会计师也成为了目标[4]。许多专业组织都是机密信息的存储库，因此成为了目标。2014 年 5 月，司法部对五名赛里斯军官提出了 31 项指控，指控他们侵入六家美国公司的网络窃取知识产权。这些数据价值数十亿美元，计入了起诉书。

“多年来，赛里斯人——尤其是但不仅限于人民解放军的一个驻地于上海的部门 61398 部队（所有被起诉的军官都在这里工作）一直在侵入美国公司、国防公司和金融机构的计算机网络。奥巴马总统和几位内阁部长在几个外交论坛上提出了这个问题。每次，赛里斯官员都否认指控，并挑战美国人提供证据。这项起诉书就是回应：这是证据——而且是惊人的细节”[5]。

诸如赛里斯黑客和工业间谍等威胁并不符合组织所有员工的共识。例如，邮件室工作人员、秘书和前台接待员几乎没有概念工业间谍或知识产权是什么，更不用说如何保护它了。因此，攻击者将利用这一知识盲区，采用钓鱼、感染附件和其他社会工程手段来利用这些用户，然后将他们的攻击转移到窃取他们所追求的数据上。我们已经让前台接待员成为安全警卫；现在，通过一个有效的安全意识计划，我们要让邮件室工作人员、秘书和其他支持人员成为网络防御者。

随着社交媒体网站的普及以及社交工程攻击和社交媒体上的欺诈活动的增加，风险不仅仅是点击电子邮件中的链接和打开错误的附件。还存在机密和特权信息可能被发布到社交媒体上，这可能帮助攻击者的风险。许多用户根据诸如他们宠物的名字、配偶的名字、出生日期或其他攻击者可以在社交媒体上找到的信息来选择密码。用户还可能无意中透露组织的运营细节，如分支机构的位置或组织计算机上安装的防病毒软件类型。虽然大多数人想到社交网络的传统网站，如 Twitter 和 Facebook，但实际上有数百个用户可能正在使用的社交网络网站[6,7]。在 LinkedIn 的情况下，该服务实际上是为商业网络而设。除了数据泄露之外，这些网站还可能存在恶意软件。由于任何人通常都可以在这些网站上上传任何他们想要的代码，因此社交媒体网站曾经是零日感染的来源[8]。鉴于社交媒体在所有层面的使用普遍存在，向用户提供社交媒体平台上存在的威胁以及如何检测和避免它们的信息尤为重要。

对于中层管理人员和组织中更高层次的人员来说，指出数据泄露可能给组织带来的财务损失是有用的。最近在 Target 的一次泄露显示了公司可以遭受的财务损失，以及后果可能延伸到人们失去工作[9]。没有人希望参与一次添写简历的事件。Target 经历了大量直接与泄露相关的财务痛苦，从收益下降到与泄露相关的持续诉讼成本[10,11]。Target 的泄露是非常显著的，因为这是首次明确而广为人知的零售商因信用卡泄露而遭受巨大财务损失的案例。2007 年的 TJX 泄露事件中，股价实际上在初期损失后上涨，而且随着时间的推移股价一直表现良好。TJX 仍然是历史上规模最大的泄露事件之一[12,13]。

对于员工来说，强调组织收集的有关他们的个人信息的数量是很重要的，以便向他们支付工资，并为他们及其家属提供医疗保险和其他保险。当风险变得个人化时，更多人会注意到保护组织数据的重要性，因为现在已经解释了泄露可能如何影响到他们的个人数据。人们在工作时查看他们的银行账户，在工作时购物，并在计算机上存储他们所爱的人的照片。如果他们大学生女儿的航班预订信息落入了错误的手中，他们会感觉如何呢？

当风险和泄露的后果被个人化时，遵守保持信息安全的政策将增加。无论我们在各自组织中的职位如何，我们都是网络防御者。

笔记

[1] 赛里斯黑客瞄准律师事务所获取机密交易数据。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 2014 年 5 月 22 日访问]。

[2] 匹兹堡男子因参与律师事务所黑客攻击而被判刑。www.fbi.gov/pittsburgh/press-releases/2013/pittsburgh-man-sentenced-for-role-in-law-firm-hack [于 2014 年 5 月 22 日访问]。

[3] 赛里斯黑客瞄准律师事务所获取机密交易数据。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 2014 年 5 月 23 日访问]。

[4] 会计师的安全问题。www.lagfoa.org/Security-Issues-for-Accountants.pdf [于 2014 年 5 月 23 日访问]。

[5] 为什么司法部起诉五名赛里斯军官？ www.slate.com/articles/news_and_politics/war_stories/2014/05/justice_department_indicts_five_chinese_military_officers_can_the_obama.html [于 2014 年 05 月 23 日访问]。

[6] 超越 Facebook：全球 74 个流行社交网络 www.practicalecommerce.com/articles/2701-Beyond-Facebook-74-Popular-Social-Networks-Worldwide [于 2014 年 05 月 26 日访问]。

[7] 社交网络网站列表 en.wikipedia.org/wiki/List_of_social_networking_websites [于 2014 年 05 月 26 日访问]。

[8] 最新 Adobe Flash 零日漏洞利用细节曝光 threatpost.com/details-emerge-on-latest-adobe-flash-zero-day-exploit/104068 [于 2014 年 05 月 26 日访问]。

[9] Target 首席信息官因泄露事件辞职。www.computerworld.com/s/article/9246773/Target_CIO_resigns_following_breach [于 2014 年 05 月 24 日访问]。

[10] Target 收益显示数据泄露之痛远未结束 www.businessweek.com/articles/2014-05-21/target-earnings-show-pain-of-data-breach-is-far-from-over [于 2014 年 05 月 26 日访问]。

[11] Target 面临近 70 起诉讼 blogs.wsj.com/riskandcompliance/2014/01/15/target-faces-nearly-70-lawsuits-over-breach/ [于 2014 年 05 月 24 日访问]。

[12] 大型零售商披露客户数据泄露 online.wsj.com/news/articles/SB116906153282079233 [于 2014 年 05 月 24 日访问]。

[13] 雅虎财经：TJX 股票图表 finance.yahoo.com/echarts?s=TJX+Interactive#symbol=TJX;range=my [于 2014 年 05 月 24 日访问]。

第六章：为什么当前的课程不起作用

比尔·加德纳（美国西弗吉尼亚州亨廷顿市马歇尔大学）

摘要

作为教学工具的讲座已经过时。当前的课程不起作用，因为我们依赖于旧的教学模式。人们以不同的方式学习。有些人是视觉学习者，而其他人更喜欢阅读或讨论来学习。我们需要摆脱预先录制的网络培训，转向互动、动手学习，以建立更有效的安全意识计划。

关键词

视觉

音频

动手

培训

学习

内容传递

同侪教学

讲座作为教学工具已经过时

除了可能是讲课的人之外，没有人喜欢听讲座。对于讲课者来说，讲课是一种积极的锻炼。对于听讲座的人来说，讲座是一种被动的锻炼。研究表明，传达信息时，被动学习不如积极学习有效。事实上，许多高等教育工作者表示，几个世纪以来��讲座这种教学技术已经过时[1]。

研究表明，我们应该采取过去几年大学一直在朝着的方向：用积极学习取代被动学习。积极学习，取决于如何实施，已经被称为“同侪教学”或“互动学习”。这些技术使学生对自己的学习负责，并促进与其他学生互动，以与要学习的材料互动[2]。

“同侪教学”和“互动学习”采取了给学生阅读作业或观看视频的形式，然后将学生分成小组与材料互动。这些互动包括写作业、小组讨论、团队完成指定任务，有时还有小组评分[3]。有时，学生们会根据流行的游戏节目格式进行问答游戏，以吸引他们对材料的兴趣。分数可以用糖果或用于小组评分[4]。

我们知道我们现在所做的事情并不奏效，因为我们几乎每天都看到利用人类来获取数据访问权限的违规行为的例子。用户也表现出信息疲劳的迹象。大多数用户认为他们永远不会被诱使点击链接或打开附件，因为他们认为自己是精明的互联网用户。

BT 首席安全技术官布鲁斯·施奈尔（Bruce Schneier）在 2013 年 3 月为网站Darkreading.com撰写了一篇观点文章，称在用户意识培训上花费的钱最好用于改进系统设计[5]。这篇文章在信息安全圈引起了轩然大波。有些人同意他的观点，但大多数人不同意[6,7]。每个人都同意我们必须采取行动，即使施奈尔也说：“安全是一个过程，而不是一个产品”[8]。如果我们从不告知最终用户存在的威胁，他们将永远不会知道。

安全意识与其他意识运动有很多共同之处。其他意识运动使用了像“烟熊”和“犯罪狗”这样令人难忘的代言人。他们还有像“只有你才能防止森林火灾”和“为犯罪咬一口”这样的难忘口号。在信息安全意识领域，我们未能达到这两个简单目标，因为我们继续就安全意识计划的有效性进行辩论。

正如 Bruce Schneier 所说，“安全是一个过程，而不是一个产品”[8]。安全的过程是一条漫长而艰难的道路，从获得管理层的支持开始，起草并执行给用户对组织技术资源的使用期望的政策，建立有效的安全意识计划，然后使用有意义的指标来衡量该计划的有效性。

一旦收集并处理了指标，循环就会重新开始，审核政策、意识计划和指标，并根据组织的需求进行更改。

做点什么总比什么都不做好。这本书的主要目的是给人们提供工具，让他们做点什么而不是什么都不做。虽然确保你的组织拥有最新的安全产品，而且你的 IT 人员接受了适当的安全培训是有价值的，但是如果你忽视了人的因素，这就是浪费时间和金钱。下一代防火墙、防病毒软件、入侵检测系统、入侵防御系统和 Web 应用程序防火墙都是很好的产品，但这些产品无法防范员工对点击链接、打开附件等社会工程师使用的非技术攻击做出糟糕决定。

人们根据世代和教育背景有不同的学习风格。当前进入职场的这一代人学习方式与三十年前进入职场的人有很大不同。有些人通过阅读学得更好，其他人是视觉学习者，还有些人最喜欢通过听觉学习。

七种学习风格

■ 视觉（空间）：你更喜欢使用图片、图像和空间理解。

■ 听觉（听觉-音乐）：你更喜欢使用声音和音乐。

■ 语言（语言）：你更喜欢使用言语，无论是口语还是书面语。

■ 身体（运动）：你更喜欢使用身体、手和触觉。

■ 逻辑（数学）：你更喜欢使用逻辑、推理和系统。

■ 社交（人际关系）：你更喜欢在团体或与其他人一起学习。

■ 孤独（个人内省）：你更喜欢独自工作并进行自我学习。

为什么要了解学习风格？了解学习风格的基础

你的学习风格比你意识到的更有影响力。你偏爱的风格指导了你学习的方式。它们还会改变你内部表达经验的方式，你回忆信息的方式，甚至你选择的词语。我们在本章中更多地探讨了这些特征。

研究向我们展示每种学习风格使用不同的大脑部分。通过在学习过程中涉及更多的大脑，我们记住了更多我们学到的东西。利用大脑成像技术的研究人员已经能够找出每种学习风格所负责的大脑关键区域。

例如：

■ 视觉：位于大脑后部的枕叶管理视觉感知。枕叶和顶叶都管理空间定位。

■ 听觉：颞叶处理听觉内容。右颞叶对音乐尤为重要。

■ 口语：颞叶和额叶，特别是两个被称为布罗卡区和沃尼克区的专门区域（位于这两个叶叶的左半球）。

■ 身体：小脑和运动皮层（位于额叶后面）管理我们的大部分身体运动。

■ 逻辑：特别是左侧的顶叶驱动我们的逻辑思维。

■ 社交：额叶和颞叶管理我们的大部分社交活动。边缘系统（除了海马体之外没有显示）也影响社交和孤独两种风格。边缘系统与情绪、心情和攻击性有很大关系。

■ 孤独：额叶、顶叶以及边缘系统也是这种风格的活跃部分[9]。

最佳策略是针对不同学习风格进行教学，以确定对你的组织最有效的方法。研究表明，动手学习比其他类型的学习更易记住[10,11]。动手学习是积极学习。传统的安全意识项目由幻灯片展示、讲座和视频组成。如果幻灯片展示、讲座和视频是由人员亲自进行而不是通过网站传递，那么这是迈向更积极学习的一步，因为它为培训师和参与者提供了互动的机会。

“积极学习”被定义为“…通过谈话、写作、阅读、反思或质疑——换句话说，通过积极参与，参与课堂教学的一种方法。”积极学习摒弃了简单地向员工讲授安全最佳实践的老方法。该方法通过谈话、阅读、写作、反思和质疑的练习将安全意识项目提升到了一个新的水平[12]。

例如，与其告诉用户什么是一个好的密码策略，不如问问他们能否解释密码的最佳实践，并讨论什么构成了一个好的密码。另一个例子是让培训者讨论他们过去遇到过的恶意软件类型，以及他们认为是如何进入他们的计算机的，以及他们认为攻击者的目的是什么。这将有助于向用户说明恶意软件不仅仅是减慢计算机速度的不便，而是在线罪犯企图从他们的计算机上窃取数据，使用他们的计算机作为僵尸网络的一部分，使用他们的计算机隐藏儿童色情和其他违禁品，或使用他们的计算机在组织网络上进一步发动攻击并窃取更多数据的企图。这两个例子都涉及讨论，但如果你让他们写下他们的答案然后讨论它们，这两个例子都可以成为一个好的写作和讨论练习。另一个练习是让培训者阅读一项或多项组织的安全政策，然后反思为什么该政策存在以及为什么组织需要这样的政策。

正如你所见，当员工开始或每年进行安全意识日时，这可能需要超过几分钟的时间或一小时的时间。积极学习的练习将需要组织实施持续学习的范式（参见图 6.1）。一个个人的例子是，当人们没有锁定计算机屏幕时，我在他们的桌子上留下了提醒卡。

图 6.1 屏幕锁定提醒卡。

尽管用户觉得提醒很烦人，但随着时间推移，我们发现人们对政策变得更加遵守。如果组织在安全意识计划中投入更多的时间、金钱和价值，安全意识计划将会变得更加有效。一年一次是不够的。只需快速查看由于社会工程攻击而持续发生的违规行为的新闻或快速查看www.ponemon.org/上数据泄露持续造成的费用就足以说明，尽管安全意识计划正在变得更好，但我们做得还不够。组织每年在安全产品上花费数百万美元来保护他们的网络边缘。组织还需要开始为安全意识计划投入时间和金钱，以保护自己、他们的业务伙伴和他们的客户免受社会工程攻击。

建立安全意识计划是一个过程。人们可以做的最重要的事情是以终为始开始这个过程。没有组织会完全安全，也没有安全意识计划会完全保护您免受违规行为。违规行为仍然会发生，但通过正确的努力，您可以使您的组织更加安全，希望更不容易受到来自社会工程的违规行为的影响。

注：

[1] 讲座已死？ www.theatlantic.com/health/archive/2013/01/is-the-lecture-dead/272578/ [2013 年 10 月 24 日访问].

[2] 讲座的黄昏。harvardmagazine.com/2012/03/twilight-of-the-lecture [2013 年 10 月 24 日访问].

[3] 物理套件：点对点指导问题。www.physics.umd.edu/perg/role/PIProbs/ [2013 年 10 月 24 日访问].

[4] 如何通过游戏激发点对点学习 www.quora.com/Michelle-Jaramilla/Posts/How-to-Ignite-Peer-to-Peer-Learning-with-GamesHow-to-Ignite-Peer-to-Peer-Learning-with-Games [2013 年 10 月 24 日访问].

[5] 关于安全意识培训 www.darkreading.com/hacked-off/on-security-awareness-training/240151108 [2013 年 11 月 29 日访问].

[6] 安全意识培训是否真的能提高企业安全性 www.safelightsecurity.com/does-security-awareness-training-actually-improve-enterprise-security/ [2013 年 11 月 29 日访问].

[7] 安全教育和意识的辩论 www.trustedsec.com/march-2013/the-debate-on-security-education-and-awareness/ [2013 年 11 月 29 日访问].

[8] 安全过程 www.schneier.com/essay-062.html [2013 年 11 月 29 日访问].

[9] 学习风格概述 www.learning-styles-online.com/overview/ [2014 年 5 月 24 日访问].

[10] 利用学习风格创新来提高保留率 ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=483166&url=http%3A%2F%2Fieeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D483166 [2014 年 5 月 24 日访问].

[11] 通过动手、技术为基础的活动增强学习，加强认知知识和记忆？ files.eric.ed.gov/fulltext/EJ458788.pdf [2014 年 5 月 24 日访问].

[12] 明尼苏达大学教学与学习中心 www1.umn.edu/ohr/teachlearn/tutorials/active/ [2014 年 5 月 24 日访问].

构建信息安全感知程序（一）（3）https://developer.aliyun.com/article/1507709