浅议网络安全的策略之社会工程学.docVIP

浅议网络安全的策略之社会工程学 　　摘 要：社会工程学是一种类似欺骗的威胁网络安全的手法。它需要搜集大量的信息针对对方的实际情况，通过心理战术威胁网络安全。只有将安全技术与个人保持警惕的安全策略相结合，才能做到尽可能的不被社会工程师成功地攻破。 　　关键词：社会工程学；网络安全；安全策略 　　网络信息安全已经成为当今社会的一个重要课题。其中社会工程学是一个比较特别的分支，它不同于一般的安全技术，却又是网络安全这个课题中不可忽视的一个重要话题。企业机构与个人都应该关注针对社会工程学的防范策略。 　　社会工程学（Social Engineering）广义的定义是：通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题，它往往通过很多类似诱诈的方式来实现自己的目的。它往往会搜集大量针对对方实际情况的具体信息，经过分析后研究选择进行某种心理战术。一流的社会工程师都擅长进行信息收集与数据挖据分析。很多表面上看起来一点用都没有的信息都可以被社会工程师们利用起来进行渗透。比如说一个电话号码，一个人的名字或者工作的ID号码，甚至是废弃的车票或者办公用纸。社会工程师往往善于控制自己的观察对象。有句话说，最安全的电脑，就是拔掉了电源的电脑。可是社会工程师可以通过策略来使某个对象帮助自己重新插上那台电脑的电源。社会工程师善于整合信息与逻辑分析，而其真正目标往往是人。本文将简要介绍一些社会工程学攻击的方法与防范策略。 　　1 个人信息的防范策略 　　社会工程学就是利用网络可查的各种信息，来获取对象的隐私，进一步获取相关利益。社会工程学攻击最重要的不是技术，而是对人的心理的理解，进而发现实现攻击的途径。对于社会工程学高手来说，没有无法突破的防护。因为技术上再完备的系统也是由人来操纵的。社会工程学致力于发现人的弱点，并形成突破。 　　《欺骗的艺术》里则反复提及，没有百分百保险安全的技术。最重要的还是自己的警惕心。想要实现个人信息安全，最重要的是安全意识，要做到适度质疑，合理挑战，保守信任，严格执行安全规程和制度，以及个人、工作均应有应急预案。 　　从个人生活中在以下三个方面提出一些简单的防范策略。 　　第一是各种网上存储媒介，尤其是网盘和云空间。现在网盘利用率很高，大家也确实用得方便，但是一旦被破解，后患无穷。建议谨慎使用网盘、离线传送等云端存储服务发送敏感文件。非必要的情况下请勿将链接泄露给外人。也不要将重要文件泄露给云服务提供商。在收藏、转存、分享的过程中应注意加密程序。最后要提防云端漏洞，选择安全有资质的大服务商。 　　第二是谨慎使用无线网络。要谨慎使用不加密的Wi-Fi和众人皆知密码的加密Wi-Fi。尽量不在无线网络中进行账户登录等操作。警惕非正常掉线等无线网络异常。 　　如果是自己创建的Wi-Fi，那么你要注意，保护好自己的Wi-Fi，不要随意分享给他人；卸载Wi-Fi万能钥匙等类似应用；如果有朋友要借用你的无线网络，最好能确定对方手机中没有类似软件；Wi-Fi密码应该定期更换；要善于利用MAC地址绑定、黑/白名单等各种路由器安全设置；最好能关闭路由器自身的SSID广播等。 　　第三是设置更安全的密码。密码设定原则：①长度在8位以上；②大写字母、小写字母、数字、特殊字符包含三种以上；③定期更换；④各账号密码不要通用；⑤尽量不要使用电话号码、亲友生日等。举例，你可以使用自己喜欢的诗词的首字母作为密码，比如你喜欢“黄河远上白云间”，那么可以使用hhysbyj作为你的密码，三个月之后可以换为“一片孤城万仞山”，即ypgcwrs作为密码。 　　对于个人电脑，要记得使用安全软件，检测系统风险，并且要做到及时更新补丁、升级软件。 　　2 公司机构的防范策略 　　美国计算机安全协会曾在年度计算机犯罪调查报告中声称，在接受调查的组织机构中，有85%的组织在过去的一年中发现了计算机安全事件。另一个数字同样惊人，有64%的机构由于计算机的问题而导致财务损失。 　　使用再多的安全技术也做不到绝对安全，因为组织需要人来运营，技术需要人来操作。企业安全是一个平衡问题，安全性太差的公司易受攻击，但过多的强调安全又往往会妨碍业务管理或者是公司的发展。要达到生产效率和安全之间的平衡，是每个公司追求的目标，也是难中之难。企业信息安全策略容易把重点放在技术层面，却常常忽略了最重要的安全威胁――对人的欺骗。事实证明，社会工程学入侵总是能够对看似安全的信息完整性产生威胁，甚至破坏公司的工作成果。公司机构防范的重点要放在入侵者用来盗取信息的非技术手段上。 　　现代社会的工作与生活节奏很快，人们往往没有充分的时间去深思熟虑后再作出判断，无论这个决定对其多么重要。复杂的局面，匮乏的时间，起伏的情绪，或者疲惫的精神状态，都让我们难以保持良好的判