郭峰 董振華

摘 要：社會工程學是一種類似欺騙的威脅網絡安全的手法。它需要搜集大量的信息針對對方的實際情況，通過心理戰(zhàn)術威脅網絡安全。只有將安全技術與個人保持警惕的安全策略相結合，才能做到盡可能的不被社會工程師成功地攻破。

關鍵詞：社會工程學；網絡安全；安全策略

網絡信息安全已經成為當今社會的一個重要課題。其中社會工程學是一個比較特別的分支，它不同于一般的安全技術，卻又是網絡安全這個課題中不可忽視的一個重要話題。企業(yè)機構與個人都應該關注針對社會工程學的防范策略。

社會工程學（Social Engineering）廣義的定義是：通過利用自然的、社會的和制度上的途徑來逐步地解決各種復雜的社會問題，它往往通過很多類似誘詐的方式來實現自己的目的。它往往會搜集大量針對對方實際情況的具體信息，經過分析后研究選擇進行某種心理戰(zhàn)術。一流的社會工程師都擅長進行信息收集與數據挖據分析。很多表面上看起來一點用都沒有的信息都可以被社會工程師們利用起來進行滲透。比如說一個電話號碼，一個人的名字或者工作的ID號碼，甚至是廢棄的車票或者辦公用紙。社會工程師往往善于控制自己的觀察對象。有句話說，最安全的電腦，就是拔掉了電源的電腦。可是社會工程師可以通過策略來使某個對象幫助自己重新插上那臺電腦的電源。社會工程師善于整合信息與邏輯分析，而其真正目標往往是人。本文將簡要介紹一些社會工程學攻擊的方法與防范策略。

1 個人信息的防范策略

社會工程學就是利用網絡可查的各種信息，來獲取對象的隱私，進一步獲取相關利益。社會工程學攻擊最重要的不是技術，而是對人的心理的理解，進而發(fā)現實現攻擊的途徑。對于社會工程學高手來說，沒有無法突破的防護。因為技術上再完備的系統(tǒng)也是由人來操縱的。社會工程學致力于發(fā)現人的弱點，并形成突破。

《欺騙的藝術》里則反復提及，沒有百分百保險安全的技術。最重要的還是自己的警惕心。想要實現個人信息安全，最重要的是安全意識，要做到適度質疑，合理挑戰(zhàn)，保守信任，嚴格執(zhí)行安全規(guī)程和制度，以及個人、工作均應有應急預案。

從個人生活中在以下三個方面提出一些簡單的防范策略。

第一是各種網上存儲媒介，尤其是網盤和云空間?，F在網盤利用率很高，大家也確實用得方便，但是一旦被破解，后患無窮。建議謹慎使用網盤、離線傳送等云端存儲服務發(fā)送敏感文件。非必要的情況下請勿將鏈接泄露給外人。也不要將重要文件泄露給云服務提供商。在收藏、轉存、分享的過程中應注意加密程序。最后要提防云端漏洞，選擇安全有資質的大服務商。

第二是謹慎使用無線網絡。要謹慎使用不加密的Wi-Fi和眾人皆知密碼的加密Wi-Fi。盡量不在無線網絡中進行賬戶登錄等操作。警惕非正常掉線等無線網絡異常。

如果是自己創(chuàng)建的Wi-Fi，那么你要注意，保護好自己的Wi-Fi，不要隨意分享給他人；卸載Wi-Fi萬能鑰匙等類似應用；如果有朋友要借用你的無線網絡，最好能確定對方手機中沒有類似軟件；Wi-Fi密碼應該定期更換；要善于利用MAC地址綁定、黑/白名單等各種路由器安全設置；最好能關閉路由器自身的SSID廣播等。

第三是設置更安全的密碼。密碼設定原則：①長度在8位以上；②大寫字母、小寫字母、數字、特殊字符包含三種以上；③定期更換；④各賬號密碼不要通用；⑤盡量不要使用電話號碼、親友生日等。舉例，你可以使用自己喜歡的詩詞的首字母作為密碼，比如你喜歡“黃河遠上白云間”，那么可以使用hhysbyj作為你的密碼，三個月之后可以換為“一片孤城萬仞山”，即ypgcwrs作為密碼。

對于個人電腦，要記得使用安全軟件，檢測系統(tǒng)風險，并且要做到及時更新補丁、升級軟件。

2 公司機構的防范策略

美國計算機安全協(xié)會曾在年度計算機犯罪調查報告中聲稱，在接受調查的組織機構中，有85%的組織在過去的一年中發(fā)現了計算機安全事件。另一個數字同樣驚人，有64%的機構由于計算機的問題而導致財務損失。

使用再多的安全技術也做不到絕對安全，因為組織需要人來運營，技術需要人來操作。企業(yè)安全是一個平衡問題，安全性太差的公司易受攻擊，但過多的強調安全又往往會妨礙業(yè)務管理或者是公司的發(fā)展。要達到生產效率和安全之間的平衡，是每個公司追求的目標，也是難中之難。企業(yè)信息安全策略容易把重點放在技術層面，卻常常忽略了最重要的安全威脅——對人的欺騙。事實證明，社會工程學入侵總是能夠對看似安全的信息完整性產生威脅，甚至破壞公司的工作成果。公司機構防范的重點要放在入侵者用來盜取信息的非技術手段上。

現代社會的工作與生活節(jié)奏很快，人們往往沒有充分的時間去深思熟慮后再作出判斷，無論這個決定對其多么重要。復雜的局面，匱乏的時間，起伏的情緒，或者疲憊的精神狀態(tài)，都讓我們難以保持良好的判斷力。所以人們會如成語所言，“習而不察”，常常不經過謹慎和全面的分析就作出判斷，像自動應答一樣。這是一個致命的心理作用。于是社會工程師就得以趁虛而入。許多安保技術公司在他們的安全滲透測試報告中都聲明當他們對客戶公司的計算機系統(tǒng)嘗試社會工程學攻擊時百戰(zhàn)不殆。當今時代公司機構真正行之有效的安全策略只能是將安全技術與安全策略相結合，對員工行為進行職業(yè)規(guī)范，并定期進行安全培訓。

信息安全培訓的第一句話就是要讓所有員工意識到他們和他們的公司在任何時候都有可能被攻陷。培訓務必使得所有職員都明白，他們每個人在保護企業(yè)整體安全方面都是最重要的一員。沒有人可以被忽視。因為社會工程師不會忽視任何一個可以被攻擊的對象機構職員，不論他是有預謀的或者是隨機遇上了這位員工。安全培訓流程中最好包括有吸引力的交互式體驗，例如可以通過互換角色來展示社會工程學攻擊的過程，討論媒體對那些信息公共安全事件的攻擊報道，分析公司機構怎樣做才能避免損失，分享既生動又有教育性的安全資訊。

培訓不僅要曝光本機構面臨的各種安全威脅，也應該展示同行遭受過的社會工程學攻擊的范例，要讓員工切身體會到人人參與的安全策略的重要性。公司在日程管理中也應該通過各種提醒或獎勵措施來使員工擁護與主動執(zhí)行機構的安全策略。與過去的時代不同，保障信息安全，警惕并防范有可能的社會工程學攻擊是機構中所有成員的共同責任與義務。

3 結語

所有的社會工程學攻擊都有一個共同元素：欺騙。只有將安全技術與個人保持警惕的安全策略相結合，才能做到盡可能的不被社會工程師成功地攻破。

參考文獻：

[1]凱文米特尼克.反欺騙的藝術[M].北京：清華大學出版社，2014.

[2]王治，范明鈺，王光衛(wèi).信息安全領域的社會工程學研究[J].信息安全與通信保密，2005（7）：44-47.

作者簡介：

郭峰（1983-），男，河南鄭州人，工作單位：鄭州成功財經學院信息工程系，專職教師，職稱：講師，主要從事網絡編程等方面的研究。

董振華（1980-），女，河南項城人，工作單位：鄭州成功財經學院信息工程系，專職教師，職稱：講師，主要從事數據庫、計算機網絡技術等方面的研究。