社會(huì)工程學(xué) 信息安全對(duì)抗新領(lǐng)域

信息安全的脆弱性是普遍存在的，任何一個(gè)系統(tǒng)都具有潛在的安全風(fēng)險(xiǎn)。 近年來(lái)，利用社會(huì)工程學(xué)手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì)，成為信息安全保密工作中最脆弱的 一個(gè)環(huán)節(jié)。

社會(huì)的與風(fēng)險(xiǎn)的

社會(huì)工程學(xué)（Social Engineering）是一種利用人的弱點(diǎn)： 如人的本能反應(yīng)、好奇心、信任、貪婪等進(jìn)行諸如欺騙、傷害等危害手段，獲取自身利益的手法。

近年來(lái)，由于信息 安全廠(chǎng)商不斷開(kāi)發(fā)出更先進(jìn)的安全產(chǎn)品，系統(tǒng)安全防范在技術(shù)上越來(lái)越嚴(yán)密，使得攻擊者利用技術(shù)上的漏洞變得越來(lái)越困難。于是， 更多的人轉(zhuǎn)向利用人為因素的手段----社會(huì)工程學(xué)來(lái)進(jìn)行攻擊。

許多信息技術(shù)從業(yè)者都普遍存在著類(lèi)似的一種觀(guān)念： 他們認(rèn)為自己的系統(tǒng)部署了先進(jìn)、周密的安全設(shè)備----防火墻、IDS、IPS、漏洞掃描、防病毒網(wǎng)關(guān)、內(nèi)容過(guò)濾、安全審計(jì)、身份認(rèn)證 和訪(fǎng)問(wèn)控制系統(tǒng)，甚至于最新的UTM和防水墻，以為靠這些安全設(shè)施即可保證系統(tǒng)的安全。

事實(shí)上，很多安全行為出 現(xiàn)在騙取內(nèi)部人員（信息系統(tǒng)管理、使用、維護(hù)人員等）的信任，從而輕松繞過(guò)所有技術(shù)上的保護(hù)。信任是一切安全的基礎(chǔ)，對(duì)于保 護(hù)與審核的信任，通常被認(rèn)為是整個(gè)安全鏈條中最薄弱的一環(huán)。為規(guī)避安全風(fēng)險(xiǎn)，技術(shù)專(zhuān)家精心設(shè)計(jì)的安全解決方案，卻很少重視和 解決最大的安全漏洞----人為因素。

無(wú)論是在現(xiàn)實(shí)世界還是在虛擬的網(wǎng)絡(luò)空間，任何一個(gè)可以訪(fǎng)問(wèn)系統(tǒng)的人，都有可 能構(gòu)成潛在的安全風(fēng)險(xiǎn)與威脅。很多最敏感的信息存在于人的頭腦當(dāng)中，各種安全設(shè)施要由人來(lái)掌控，這意味著如果沒(méi)有把“人 ”這個(gè)因素放進(jìn)整體安全管理策略中去，僅僅熱衷于技術(shù)層面的所謂全面解決方案，仍將會(huì)存在一個(gè)很大的安全“裂縫 ”，或者說(shuō)是整個(gè)安全“木桶”存在著最短的一塊木板。

缺乏對(duì)社會(huì)工程學(xué)防范的信息系統(tǒng)，不管 其安全技術(shù)多么先進(jìn)完善，很可能會(huì)成為一種自我安慰的擺設(shè)，其投入大筆資金購(gòu)置的最先進(jìn)的安全設(shè)備，很可能成為一種浪費(fèi)。

Gartner集團(tuán)信息安全與風(fēng)險(xiǎn)研究主任Rich Mogull認(rèn)為：“社會(huì)工程學(xué)是未來(lái)10年最大的安全風(fēng)險(xiǎn)，許多破壞 力最大的行為是由于社會(huì)工程學(xué)而不是黑客或破解行為造成的”。一些信息安全專(zhuān)家預(yù)言，社會(huì)工程學(xué)將會(huì)是未來(lái)信息系統(tǒng)入侵 與反入侵的重要對(duì)抗領(lǐng)域。

新的攻擊手段

社會(huì)工程學(xué)攻擊基本上可以分為兩個(gè)層次：物理的和心理 的。與以往的入侵行為相類(lèi)似，社會(huì)工程學(xué)在實(shí)施之前要完成很多相關(guān)的前期工作的，這些工作甚至要比后續(xù)的入侵行為本身更為繁 重和更具技巧，或者說(shuō)更為“藝術(shù)”。

這些工作包括：社會(huì)工程學(xué)的實(shí)施者（一般稱(chēng)為社會(huì)工程師）必須 掌握心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等知識(shí)與技能，以便收集和掌握實(shí)施入侵行為所需要的相關(guān)資料與信息。通常為了達(dá)到預(yù)期目的， 社會(huì)工程學(xué)攻擊都要將心理的和行為的攻擊兩者結(jié)合運(yùn)用。其常見(jiàn)形式包括了：

第一，偽裝。從早期的求職信病毒、 愛(ài)蟲(chóng)病毒、圣誕節(jié)賀卡到目前流行的網(wǎng)絡(luò)釣魚(yú)，都是利用電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)的。有調(diào)查顯示,在所有接觸詐騙 信息的用戶(hù)中，有高達(dá)5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。攻擊者越來(lái)越喜歡玩弄社會(huì)工程學(xué)的手段，把惡件、間諜軟件、勒索軟件 （ransom-ware）、流氓軟件等網(wǎng)絡(luò)陷阱偽裝起來(lái)欺騙被害者。

第二，引誘。社會(huì)工程學(xué)是現(xiàn)在多數(shù)蠕蟲(chóng)病毒進(jìn)行傳 播時(shí)所使用的技術(shù)，它使計(jì)算機(jī)用戶(hù)本能地去打開(kāi)郵件，執(zhí)行具有誘惑性同時(shí)具有危害的附件。例如，用一些關(guān)于某些型號(hào)的處理器 存在運(yùn)算瑕疵的“瑕疵聲明”或更能引起人的興趣的“幸運(yùn)中獎(jiǎng)”、“最新反病毒軟件”等說(shuō)辭， 并給出一個(gè)頁(yè)面連接，誘惑你進(jìn)入該頁(yè)面運(yùn)行下載程序或在線(xiàn)注冊(cè)個(gè)人相關(guān)信息，利用人們疏于防范的心理引誘你上鉤。

第三，恐嚇。利用人們對(duì)安全、漏洞、病毒、木馬、黑客等內(nèi)容會(huì)特別敏感，以權(quán)威機(jī)構(gòu)的面目出現(xiàn)，散布諸如安全警告、系統(tǒng) 風(fēng)險(xiǎn)之類(lèi)的信息，使用危言聳聽(tīng)的伎倆恐嚇欺騙計(jì)算機(jī)用戶(hù)，聲稱(chēng)如果不及時(shí)按照他們的要求去做就會(huì)造成致命的危害或遭受?chē)?yán)重?fù)p 失。

第四，說(shuō)服。社會(huì)工程師說(shuō)服目標(biāo)的目的是增強(qiáng)他們主動(dòng)完成所指派的任務(wù)的順從意識(shí)，從而變?yōu)橐粋€(gè)可以被信 任并由此獲得敏感信息的人。大多數(shù)企業(yè)咨詢(xún)幫助臺(tái)人員一般接受的訓(xùn)練都是要求他（她）們熱情待人并盡可能地為來(lái)人來(lái)電提供幫 助，所以這里就成了社會(huì)工程學(xué)實(shí)施者獲取有價(jià)值信息的“金礦”。

第五，恭維。社會(huì)工程師通常十分友 善，很講究說(shuō)話(huà)的藝術(shù)，知道如何借助機(jī)會(huì)去迎合人，投其所好，使多數(shù)人會(huì)友善地作出回應(yīng)，恭維和虛榮心的對(duì)接會(huì)讓目標(biāo)樂(lè)意繼 續(xù)合作。

第六，滲透。通常社會(huì)工程學(xué)攻擊者都擅長(zhǎng)刺探信息，很多表面上看起來(lái)豪無(wú)用處的信息都會(huì)被他們利用來(lái) 進(jìn)行系統(tǒng)滲透。通過(guò)觀(guān)察目標(biāo)對(duì)電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料，比如一個(gè)人的姓名、生日、ID、電話(huà)號(hào)碼 、管理員的IP地址、郵箱等都可能被利用起來(lái)，通過(guò)這些收集信息來(lái)判斷目標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容，從而用口令心理學(xué) 來(lái)分析口令，而不僅僅是使用暴力破解。

除了以上的攻擊手段，一些比較另類(lèi)的行為也開(kāi)始在社會(huì)工程學(xué)中出現(xiàn)，其 中包括像翻垃圾（dumpster diving）、背后偷窺（shoulder surfing）、反向社會(huì)工程學(xué)等都是竊取信息的捷徑辦法。

催生新型防御手段

俗話(huà)說(shuō)道高一尺，魔高一丈，面對(duì)社會(huì)工程學(xué)帶來(lái)的安全挑戰(zhàn)，企業(yè)必須適應(yīng)新的防御方法， 主要包括了：

第一，增加網(wǎng)站被假冒的難度。據(jù)國(guó)際反網(wǎng)絡(luò)詐騙組織2005年的報(bào)告顯示，中國(guó)已經(jīng)成為世界上第二大 擁有仿冒域名及網(wǎng)站的國(guó)家，占全球的12%。銀行界人士分析，域名過(guò)長(zhǎng)是假冒的根源。據(jù)悉，為預(yù)防不法分子用假域名進(jìn)行網(wǎng)絡(luò)釣魚(yú) ，截至今年上半年國(guó)內(nèi)已有14家銀行更改了網(wǎng)銀域名，包括更多地使用.CN域名。如建設(shè)銀行網(wǎng)銀域名從ccb.com.cn升級(jí)為ccb.cn，中 國(guó)銀行域名由bank-of-china.com變更為boc.cn。同時(shí)，企業(yè)需要定期對(duì)DNS進(jìn)行掃描，以檢查是否存在與公司已注冊(cè)的相類(lèi)似的域名 。此外，一般來(lái)說(shuō)，在網(wǎng)頁(yè)設(shè)計(jì)技術(shù)上不使用彈出式廣告、不隱藏地址欄及框架的企業(yè)網(wǎng)站被假冒的可能性較小。

第二，加強(qiáng)內(nèi)部安全管理。盡可能把系統(tǒng)管理工作職責(zé)時(shí)進(jìn)行分離，合理分配每個(gè)系統(tǒng)管理員所擁有的權(quán)力，避免權(quán)限過(guò)分集中。為防 止外部人員混入內(nèi)部，員工應(yīng)佩戴胸卡標(biāo)示，設(shè)置門(mén)禁和視頻監(jiān)控系統(tǒng)；嚴(yán)格辦公垃圾和設(shè)備維修報(bào)廢處理程序；杜絕為貪圖方便， 將密碼粘貼或通過(guò)QQ等方式進(jìn)行系統(tǒng)維護(hù)工作的日常聯(lián)系。

第三，開(kāi)展安全防范訓(xùn)練。安全意識(shí)比安全措施重要的多 。防范社會(huì)工程學(xué)攻擊，指導(dǎo)和教育是關(guān)鍵。直接明確地給予容易受到攻擊的員工一些案例教育和警示，讓他們知道這些方法是如何 運(yùn)用和得逞的，學(xué)會(huì)辨認(rèn)社會(huì)工程攻擊。在這方面，要注意培養(yǎng)和訓(xùn)練企業(yè)和員工的幾種能力，包括：辨別判斷能力、防欺詐能力、 信息隱藏能力、自我保護(hù)能力、應(yīng)急處理能力等。

今天通過(guò)對(duì)《社會(huì)工程學(xué) 信息安全對(duì)抗新領(lǐng)域》的學(xué)習(xí)，相信你對(duì)認(rèn)證有更好的認(rèn)識(shí)。如果要辦理相關(guān)認(rèn)證，請(qǐng)聯(lián)系我們吧。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線(xiàn)客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202011/ccaa_13251.html