社會工程學(xué) 信息安全對抗新領(lǐng)域

時間：2021-12-31作者：中泰智聯(lián)（北京）認(rèn)證中心有限公司長春分公司瀏覽：196

        信息安全的脆弱性是普遍存在的，任何一個系統(tǒng)都具有潛在的安全風(fēng)險。 近年來，利用社會工程學(xué)手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢，成為信息安全保密工作中較脆弱的 一個環(huán)節(jié)。       社會的與風(fēng)險的

社會工程學(xué)（Social Engineering)是一種利用人的弱點： 如人的本能反應(yīng)、好奇心、信任、貪婪等進行諸如欺騙、傷害等危害手段，獲取自身利益的手法。
近年來，由于信息 安全廠商不斷開發(fā)出較**的安全產(chǎn)品，系統(tǒng)安全防范在技術(shù)上越來越嚴(yán)密，使得攻擊者利用技術(shù)上的漏洞變得越來越困難。于是， 更多的人轉(zhuǎn)向利用人為因素的手段----社會工程學(xué)來進行攻擊。
許多信息技術(shù)從業(yè)者都普遍存在著類似的一種觀念： 他們認(rèn)為自己的系統(tǒng)部署了**、周密的安全設(shè)備----*墻、IDS、IPS、漏洞掃描、防病毒網(wǎng)關(guān)、內(nèi)容過濾、安全審計、身份 和訪問控制系統(tǒng)，甚至于較新的UTM和防水墻，以為靠這些安全設(shè)施即可保證系統(tǒng)的安全。
事實上，很多安全行為出 現(xiàn)在騙取內(nèi)部人員（信息系統(tǒng)管理、使用、維護人員等）的信任，從而輕松繞過所有技術(shù)上的保護。信任是一切安全的基礎(chǔ)，對于保 護與審核的信任，通常被認(rèn)為是整個安全鏈條中較薄弱的一環(huán)。為規(guī)避安全風(fēng)險，技術(shù)*精心設(shè)計的安全解決方案，卻很少重視和 解決較大的安全漏洞----人為因素。
無論是在現(xiàn)實世界還是在虛擬的網(wǎng)絡(luò)空間，任何一個可以訪問系統(tǒng)的人，都有可 能構(gòu)成潛在的安全風(fēng)險與威脅。很多較敏感的信息存在于人的頭腦當(dāng)中，各種安全設(shè)施要由人來掌控，這意味著如果沒有把“人 ”這個因素放進整體安全管理策略中去，僅僅熱衷于技術(shù)層面的所謂全面解決方案，仍將會存在一個很大的安全“裂縫 ”，或者說是整個安全“木桶”存在著較短的一塊木板。
缺乏對社會工程學(xué)防范的信息系統(tǒng)，不管 其安全技術(shù)多么**完善，很可能會成為一種自我安慰的擺設(shè)，其投入大筆資金購置的較**的安全設(shè)備，很可能成為一種浪費。 
Gartner集團信息安全與風(fēng)險研究主任Rich Mogull認(rèn)為：“社會工程學(xué)是未來10年較大的安全風(fēng)險，許多破壞 力較大的行為是由于社會工程學(xué)而不是黑客或破解行為造成的”。一些信息安全*預(yù)言，社會工程學(xué)將會是未來信息系統(tǒng)入侵 與反入侵的重要對抗領(lǐng)域。
新的攻擊手段
社會工程學(xué)攻擊基本上可以分為兩個層次：物理的和心理 的。與以往的入侵行為相類似，社會工程學(xué)在實施之前要完成很多相關(guān)的前期工作的，這些工作甚至要比后續(xù)的入侵行為本身較為繁 重和較具技巧，或者說較為“藝術(shù)”。
這些工作包括：社會工程學(xué)的實施者（一般稱為社會工程師）必須 掌握心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等知識與技能，以便收集和掌握實施入侵行為所需要的相關(guān)資料與信息。通常為了達到預(yù)期目的， 社會工程學(xué)攻擊都要將心理的和行為的攻擊兩者結(jié)合運用。其常見形式包括了：
**，偽裝。從早期的求職信病毒、 愛蟲病毒、圣誕節(jié)賀卡到目前流行的網(wǎng)絡(luò)釣魚，都是利用電子郵件和偽造的Web站點來進行詐騙活動的。有調(diào)查顯示,在所有接觸詐騙 信息的用戶中，有高達5%的人都會對這些騙局做出響應(yīng)。攻擊者越來越喜歡玩弄社會工程學(xué)的手段，把惡件、間諜軟件、勒索軟件 （ransom-ware）、流氓軟件等網(wǎng)絡(luò)陷阱偽裝起來欺騙被害者。
*二，引誘。社會工程學(xué)是現(xiàn)在多數(shù)蠕蟲病毒進行傳 播時所使用的技術(shù)，它使計算機用戶本能地去打開郵件，執(zhí)行具有誘惑性同時具有危害的附件。例如，用一些關(guān)于某些型號的處理器 存在運算瑕疵的“瑕疵聲明”或較能引起人的興趣的“幸運中獎”、“較新反病毒軟件”等說辭， 并給出一個頁面連接，誘惑你進入該頁面運行下載程序或在線注冊個人相關(guān)信息，利用人們疏于防范的心理引誘你上鉤。
*三，恐嚇。利用人們對安全、漏洞、病毒、木馬、黑客等內(nèi)容會特別敏感，以*機構(gòu)的面目出現(xiàn)，散布諸如安全警告、系統(tǒng) 風(fēng)險之類的信息，使用危言聳聽的伎倆恐嚇欺騙計算機用戶，聲稱如果不及時按照他們的要求去做就會造成致命的危害或遭受嚴(yán)重?fù)p 失。
*四，說服。社會工程師說服目標(biāo)的目的是增強他們主動完成所指派的任務(wù)的順從意識，從而變?yōu)橐粋€可以被信 任并由此獲得敏感信息的人。大多數(shù)企業(yè)咨詢幫助臺人員一般接受的訓(xùn)練都是要求他（她）們熱情待人并盡可能地為來人來電提供幫 助，所以這里就成了社會工程學(xué)實施者獲取有**信息的“金礦”。
*五，恭維。社會工程師通常十分友 善，很講究說話的藝術(shù)，知道如何借助機會去迎合人，投其所好，使多數(shù)人會友善地作出回應(yīng)，恭維和虛榮心的對接會讓目標(biāo)樂意繼 續(xù)合作。
*六，滲透。通常社會工程學(xué)攻擊者都擅長刺探信息，很多表面上看起來豪無用處的信息都會被他們利用來 進行系統(tǒng)滲透。通過觀察目標(biāo)對電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料，比如一個人的姓名、生日、ID、電話號碼 、管理員的IP地址、郵箱等都可能被利用起來，通過這些收集信息來判斷目標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容，從而用口令心理學(xué) 來分析口令，而不僅僅是使用暴力破解。
除了以上的攻擊手段，一些比較另類的行為也開始在社會工程學(xué)中出現(xiàn)，其 中包括像翻垃圾（dumpster diving）、背后偷窺（shoulder surfing）、反向社會工程學(xué)等都是竊取信息的捷徑辦法。
催生新型防御手段
俗話說道高一尺，魔高一丈，面對社會工程學(xué)帶來的安全挑戰(zhàn)，企業(yè)必須適應(yīng)新的防御方法， 主要包括了：
**，增加網(wǎng)站被假冒的難度。據(jù)**反網(wǎng)絡(luò)詐騙組織2005年的報告顯示，中國已經(jīng)成為世界上*二大 擁有仿冒域名及網(wǎng)站的國家，占**的12%。銀行界人士分析，域名過長是假冒的根源。據(jù)悉，為預(yù)防不法分子用假域名進行網(wǎng)絡(luò)釣魚 ，截至今年上半年國內(nèi)已有14家銀行更改了網(wǎng)銀域名，包括更多地使用.CN域名。如建設(shè)銀行網(wǎng)銀域名從升級為，中 國銀行域名由變更為。同時，企業(yè)需要定期對DNS進行掃描，以檢查是否存在與公司已注冊的相類似的域名 。此外，一般來說，在網(wǎng)頁設(shè)計技術(shù)上不使用彈出式廣告、不隱藏地址欄及框架的企業(yè)網(wǎng)站被假冒的可能性較小。
*二，加強內(nèi)部安全管理。盡可能把系統(tǒng)管理工作職責(zé)時進行分離，合理分配每個系統(tǒng)管理員所擁有的權(quán)力，避免權(quán)限過分集中。為防 止外部人員混入內(nèi)部，員工應(yīng)佩戴胸卡標(biāo)示，設(shè)置門禁和視頻監(jiān)控系統(tǒng)；嚴(yán)格辦公垃圾和設(shè)備維修報廢處理程序；杜絕為貪圖方便， 將密碼粘貼或通過QQ等方式進行系統(tǒng)維護工作的日常聯(lián)系。
*三，開展安全防范訓(xùn)練。安全意識比安全措施重要的多 。防范社會工程學(xué)攻擊，指導(dǎo)和教育是關(guān)鍵。直接明確地給予*受到攻擊的員工一些案例教育和警示，讓他們知道這些方法是如何 運用和得逞的，學(xué)會辨認(rèn)社會工程攻擊。在這方面，要注意培養(yǎng)和訓(xùn)練企業(yè)和員工的幾種能力，包括：辨別判斷能力、防欺詐能力、 信息隱藏能力、自我保護能力、應(yīng)急處理能力等。

 

 


中泰智聯(lián)（北京）認(rèn)證中心有限公司長春分公司專注于ISO9001質(zhì)量管理體系認(rèn)證,ISO14001環(huán)境管理體系認(rèn)證,ISO45001職業(yè)健康安全管理體系認(rèn)證,IATF16949認(rèn)證,GB/T27922售后服務(wù)認(rèn)證,GB/T27925品牌認(rèn)證,GB/T31950誠信管理體系認(rèn)證,ISO39001道路交通安全管理體系認(rèn)證,ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證,GB/T35770合規(guī)管理體系認(rèn)證等

• 詞條

  詞條說明

• OHSAS18001常識

  ?一、什么是OHSAS18001？OHSAS18001是由英標(biāo)準(zhǔn)準(zhǔn)協(xié)會（BSI）、挪威船級社（DNV）等13個組織提出的職業(yè)安全衛(wèi)生系列標(biāo)準(zhǔn)，旨在幫助組織控制其職業(yè)安全衛(wèi)生風(fēng)險，改進其職業(yè)安全衛(wèi)生績效。二、 產(chǎn)生背景和發(fā)展趨勢職業(yè)安全與健康是80年代后期在**上興起的現(xiàn)代安全生產(chǎn)管理模式，它與ISO9000和ISO14000等一樣被稱為后工業(yè)化時代的管理方法，其產(chǎn)生的一個主要原因是企

• ISO9001：來料檢驗控制程序

  在ISO9001認(rèn)證中，我們需要對來料進行檢驗，下面深圳萬德誠ISO9001認(rèn)證咨詢就來料檢驗的控制程序作簡單的介紹。1目的對供應(yīng)商提供的物料進行檢驗，保證物料符合規(guī)定的要求。2?? 適用范圍適用于供應(yīng)商提供的所有物料。3?? 職責(zé)3.1? 倉管負(fù)責(zé)物料的接收、保管工作。3.2? 物控部負(fù)責(zé)將來料之不合格情況通報給供應(yīng)商并辦理不合格物料的

• ISO9001:2015標(biāo)準(zhǔn)“組織的知識”條款解讀

  知識knowledge ——通過學(xué)習(xí)、實踐或探索所獲得的認(rèn)識、判斷或技能。?注1：知識可以是顯性的，也可以是隱性的；可以是組織的，也可以是個人的。?注2：知識可包括事實知識、技能知識和人際知識；?注3：知識是經(jīng)“編輯”的信息，在具有意義的背景環(huán)境與分析處理后，能為組織帶來真正的**，它是隱含在**技術(shù)、成功產(chǎn)品與有效決策之后的知識力量。而組織知識的集合（積累的經(jīng)驗、員

• ISO9001標(biāo)準(zhǔn)難點淺析

  ISO9001：2000標(biāo)準(zhǔn)在內(nèi)容、結(jié)構(gòu)、管理思想和理念方面與1994版相比發(fā)生 了較大的變化，許多企業(yè)都面臨對新版標(biāo)準(zhǔn)的理解、實施和轉(zhuǎn)化問題。那么，以硬件裝配型制造業(yè)為基礎(chǔ)編制的ISO9001：1994標(biāo)準(zhǔn)改 版為四大類產(chǎn)品都適用的ISO9001：2000標(biāo)準(zhǔn)，其內(nèi)容、范圍、用詞等方面都有通用、全面和比較抽樣的特點。下面，筆者對ISO9001?：2000標(biāo)準(zhǔn)理解和實施的難點以及用詞的考