社会工程学入侵心理与对策.docVIP

社会工程学入侵心理与对策 　　摘 要：社会工程学入侵是利用人的弱点来突破信息安全防御措施的入侵手段，而不单单是利用计算机系统本身的漏洞来实现入侵。这种手段越来越地被利用在实际入侵的成功案例中，因此，对于本领域的研究被越来越多的人重视。结合一些社会工程学在信息安全领域中的应用和实际案例，着重分析入侵者利用社会工程学攻击的方法，并提出相应的防范策略。 　　关键词：社会工程学；入侵心理；对策 　　中图分类号：TP309.2 文献标识码：A 　　 　　The Invasion of Social Engineering Psychological and Countermeasures 　　LIU Hui 　　(Fujian Police Vocational Academy,Fujian Fuzhou 350014） 　　Key words: social engineering；invasion of psychological；attack 　　 　　许多信息技术从业者都普遍存在着类似的一种观念：他们认为自己的系统部署了先进、周密的安全设备――防火墙、IDS、IPS、漏洞扫描、防病毒网关、内容过滤、安全审计、身份认证和访问控制系统等，以为靠这些安全设施即可保证系统的安全。但事实上，很多安全行为出现在骗取内部人员（信息系统管理、使用、维护人员等）的信任，从而轻松绕过所有技术上的保护。 　　无论是在现实世界还是在虚拟的网络空间，任何一个可以访问系统的人，都有可能构成潜在的安全风险与威胁。很多最敏感的信息存在于人的头脑当中，各种安全设施要由人来掌控，这意味着如果没有把“人”这个因素放进整体安全管理策略中去，仅仅热衷于技术层面的所谓全面解决方案，仍将会存在一个很大的安全“裂缝”，或者说是整个安全“木桶”存在着最短的一块木板。 　　而这些人为的因素，正是社会工程学的范畴。因此缺乏对社会工程学防范的信息系统，不管其安全技术多么先进完善，很可能会成为一种自我安慰的摆设，其投入大笔资金购置的最先进的安全设备，很可能成为一种浪费。 　　所以说社会工程学是未来10年最大的安全风险，许多破坏力最大的行为是由于社会工程学而不是黑客或破解行为造成的。一些信息安全专家预言，社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。 　　 　　1 什么是社会工程学 　　 　　社会工程学,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。 　　所谓社会工程学陷阱，通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的密码，例如用户名单、用户密码及网络结构等。电子邮件也是常用的一种陷阱，只要有一个人抗拒不了自身的好奇心看了邮件，病毒就可能大行肆虐。所以一旦掌握了社会工程学理论，可以获取正常的访问权限，再结合一些网络攻击手段，可以很容易的攻破一个网络，而不管系统的软件和硬件的配置有多高。 　　近年来社会工程学攻击已成迅速上升甚至滥用的趋势，在病毒的扩展和传播过程中发挥了巨大的作用。Mydoom与Bagle都是利用社会工程学陷阱得逞的病毒。 　　社会工程学同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的沟通。与以往的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作的，这些工作甚至要比其本身还要更为繁重。 　　 　　2 社会工程学攻击的目标 　　 　　事实上，社会工程学就是一种攻击行为，攻击者利用人际关系的互动性发出攻击。通常攻击者如果没有办法通过物理入侵的办法直接取得所需要的资料时，就会通过电子邮件或者电话对所需要的资料进行骗取，再利用这些资料获取主机的权限以达到其本身的目的。 　　2.1基于计算机或者网络的攻击 　　社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术，诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息，而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。社会工程学基于计算机或者网络的攻击对技术要求较高。 　　在这种模型中，有一种叫反社会工程学的攻击方式尤为实用，包括三个部分:暗中破坏，自我推销和进行帮助。它建立在已有场景之中，入侵者利用自己的技术创造某一种真实的环境，先是对网络进行暗中破坏，让网络出现明显的问题，例如网络故障，访问不了打印机等等，然后他就来对网络进行维修，需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案，在解决过程中用户会掉入入侵者事先设计好的陷阱，从雇员那里获得他真正需要的信息。那些雇员不会