［關(guān)鍵詞］社會(huì)工程學(xué)；電力系統(tǒng)；信息安全

［中圖分類號(hào)］TP393.08 ；TM73 ［文獻(xiàn)標(biāo)志碼］A ［文章編號(hào)］2095–6487（2024）11–0077–03

1基于社會(huì)工程學(xué)的信息泄露途徑

1.1個(gè)人信息泄露

由于電網(wǎng)工作的特殊性，從業(yè)者通常會(huì)接觸到電網(wǎng)的內(nèi)部隱私信息，包括一些電站的規(guī)劃設(shè)計(jì)、最新的電氣技術(shù)等，這些信息對(duì)于電網(wǎng)安全至關(guān)重要，因此，電力從業(yè)者的個(gè)人信息也成為了不法分子的目標(biāo)，如他們發(fā)布的招聘簡歷、在打印店復(fù)印的身份證、隨手丟棄在家門口的快遞包裝、朋友圈曬出的照片等，都可能成為泄露個(gè)人信息的缺口。

此外，社工人員對(duì)于目標(biāo)用戶的直接攻擊會(huì)導(dǎo)致更加敏感的數(shù)據(jù)泄露，如黑色產(chǎn)業(yè)鏈中個(gè)人信息的買賣、密碼撞庫、偽造的招聘信息、免費(fèi)Wi–Fi 等手段，這些手段通常具有高度的隱蔽性和欺騙性，會(huì)在使用者不知情的情況下造成個(gè)人信息的泄露，且泄露的信息更加私密。

1.2物理層面信息泄露

除了個(gè)人信息的泄露風(fēng)險(xiǎn)外，公司或園區(qū)在物理環(huán)境層面同樣面臨著信息泄露的隱患，如企業(yè)員工進(jìn)出園區(qū)大門、辦公室時(shí)，無刷卡或人臉識(shí)別等進(jìn)行身份驗(yàn)證的方式，公司周邊圍墻塌陷或空缺，敏感技術(shù)單位周邊存在可偷拍角度的高樓等，都可能成為潛在的信息泄露點(diǎn)。同時(shí)，對(duì)于辦公產(chǎn)生的廢棄發(fā)票、通知、信件、光盤、電腦、U 盤等物品，若未進(jìn)行統(tǒng)一處理，也會(huì)在被丟棄后造成無法預(yù)料的信息泄露。此外，在一些特殊情況下，辦公大樓的外置攝像頭、供電系統(tǒng)、網(wǎng)絡(luò)設(shè)備、空調(diào)機(jī)組等外圍設(shè)備的維護(hù)服務(wù)提供商若沒有做好信息的保護(hù)，就有可能被社工人員利用，通過這些服務(wù)提供商順藤摸瓜，逐步獲取企業(yè)核心部分隱私信息。

2社工攻擊手段

2.1釣魚

電力從業(yè)者在辦公時(shí)會(huì)連接到外網(wǎng)進(jìn)行辦公聊天或收發(fā)郵件，這就存在被釣魚攻擊的風(fēng)險(xiǎn)，如社工人員可以發(fā)送帶有木馬鏈接的郵件，起名為本月薪資結(jié)構(gòu)調(diào)整或某工程項(xiàng)目結(jié)項(xiàng)等令人感興趣的話題，或使用相近域名或商標(biāo)，布署帶有惡意代碼的網(wǎng)站，靜待有需求的目標(biāo)上鉤，亦或發(fā)送帶有惡意URL 或二維碼的短信釣魚等等，手段變化多種多樣。

2.2盜取身份

在進(jìn)行社工攻擊時(shí)，入侵者經(jīng)常需要面對(duì)他們獲取的信息通常并不能直接用于攻擊的問題，因?yàn)檫@些信息可能由于權(quán)限限制，無法直接利用，那么利用已有身份繼續(xù)進(jìn)行社工則會(huì)提升效率，如利用單位負(fù)責(zé)人孩子的學(xué)校老師身份，將負(fù)責(zé)人調(diào)離本來監(jiān)督的崗位，再通過其他的社工手段，在目標(biāo)單位監(jiān)督能力薄弱的情況下進(jìn)行入侵工作。

2.3利用信息不對(duì)稱

大部分電力企業(yè)單位的高管信息都會(huì)公示在一些企業(yè)信息查詢軟件上，包括姓名、電話等，入侵者完全可以利用這一點(diǎn)，再加上一般員工與高管所獲得信息的不對(duì)稱，達(dá)到想要的目的，如假裝到某電力單位進(jìn)行消防科普，以高管的名義向一般員工表明來意，并當(dāng)場撥通高管的電話，實(shí)際撥打與高管名字相同但電話號(hào)碼相似的另一個(gè)假電話。一般來說普通員工不會(huì)知曉高管的實(shí)際安排，也不會(huì)向高管再次確認(rèn)，于是就可以獲得信任，再進(jìn)行想要的滲透活動(dòng)。

2.4監(jiān)聽監(jiān)控

通過在用電重地、領(lǐng)導(dǎo)辦公室、電力系統(tǒng)操作人員家中等重要的場所放置設(shè)備進(jìn)行監(jiān)聽監(jiān)控，或利用攝像頭漏洞遠(yuǎn)控，可以直接獲取到想要的重要信息，包括設(shè)備運(yùn)行情況、人際關(guān)系、賬號(hào)密碼等極其隱私的信息，這比起其他社工手段更加直接高效。

2.5社工庫的利用

一些專業(yè)的社工人員會(huì)自己搭建社工庫，每次需要搜集信息時(shí)可以直接從社工庫獲取，這樣能減少信息收集耗費(fèi)的時(shí)間。社工庫的數(shù)據(jù)大多來自于一些平臺(tái)的信息泄露，不少平臺(tái)存在漏洞，社工人員利用這些漏洞所泄露的數(shù)據(jù)，對(duì)其進(jìn)行加工并制成社工庫。這些數(shù)據(jù)大多是個(gè)人的賬號(hào)信息和身份信息，多來自于銀行機(jī)構(gòu)、保險(xiǎn)機(jī)構(gòu)、中介、社交平臺(tái)、政府和教育部門。

2.6密碼心理學(xué)

許多人的常用密碼數(shù)量通常不會(huì)超過3 個(gè)，并且這些密碼中包含了一些容易記憶的信息，如生日、姓名拼音等。這種密碼設(shè)置方式雖然方便記憶，但卻給信息安全帶來了極大的隱患。

更為嚴(yán)重的是，有些電網(wǎng)一線操作員在使用內(nèi)網(wǎng)設(shè)備進(jìn)行操作時(shí)，會(huì)使用與自己平時(shí)生活中相同的密碼。這種做法大幅增加了使用內(nèi)部系統(tǒng)時(shí)的風(fēng)險(xiǎn)。一旦這些內(nèi)網(wǎng)設(shè)備被社工人員入侵，那么整個(gè)內(nèi)部系統(tǒng)的安全性都將遭受嚴(yán)重威脅。社工人員可以利用這些密碼進(jìn)一步滲透到系統(tǒng)的核心區(qū)域，竊取重要數(shù)據(jù)或進(jìn)行惡意操作。

2.7拼湊碎片化的信息

現(xiàn)在一些系統(tǒng)在信息展示時(shí)會(huì)將敏感信息進(jìn)行脫敏，僅展示部分內(nèi)容，但有經(jīng)驗(yàn)的社工人員可以通過其他途徑獲得的信息拼湊出完整信息，如在某網(wǎng)站獲知一個(gè)人的脫敏后的手機(jī)號(hào)是133****3344，而他所在地區(qū)是北京，可以搜索到手機(jī)號(hào)4～7位的地區(qū)編碼，這樣就可以通過暴力猜解獲得此人的手機(jī)號(hào)碼。

2.8近源滲透

近源滲透指測試人員靠近或位于測試目標(biāo)建筑內(nèi)部，利用各類無線通信技術(shù)、物理接口和智能設(shè)備進(jìn)行滲透測試的方法總稱[1]。近源滲透的出現(xiàn)，源于現(xiàn)代網(wǎng)絡(luò)安全防御體系的日益完善，使得攻擊者越來越難以通過外網(wǎng)滲透達(dá)到目的。因此，近源滲透成為了一種頗具破壞性的攻擊方式，其更接近滲透測試的本質(zhì)，對(duì)目標(biāo)系統(tǒng)的安全性構(gòu)成了嚴(yán)重威脅。

在近源滲透的場景中，社工人員以接近目標(biāo)企業(yè)或進(jìn)入建筑內(nèi)部為目標(biāo)，努力靠近企業(yè)核心區(qū)域，挖掘被企業(yè)忽視的安全盲點(diǎn)。他們通常偽裝成各種身份，如設(shè)備供應(yīng)商、乙方駐廠人員、水電工、外賣員、面試人員等，以獲取更多的信息，從而發(fā)起對(duì)目標(biāo)系統(tǒng)的攻擊。

近源滲透的手段較多，如社工人員通過使用TheWi–Fi Pineapple工具，模擬出一個(gè)虛假的Wi–Fi 網(wǎng)絡(luò)，誘騙目標(biāo)員工連接，從而獲取其個(gè)人信息和敏感數(shù)據(jù)。此外，社工人員還可以使用Proxmark 等工具復(fù)制目標(biāo)員工的門禁卡，或在目標(biāo)企業(yè)的園區(qū)內(nèi)粘貼含有惡意代碼的問卷調(diào)查二維碼，一旦有員工掃描了二維碼，手機(jī)、電腦等設(shè)備就可能被植入惡意軟件，導(dǎo)致數(shù)據(jù)泄露或被社工人員監(jiān)控。

近源滲透不僅具有高度的隱蔽性，而且其破壞性也極大。由于社工人員身處目標(biāo)企業(yè)內(nèi)部，他們能夠深入了解目標(biāo)系統(tǒng)的網(wǎng)絡(luò)狀態(tài)、現(xiàn)場環(huán)境及物理位置等信息，從而制訂出更加精準(zhǔn)的攻擊策略，一旦攻擊成功，其后果通常比遠(yuǎn)程攻擊更嚴(yán)重。

3防范措施

（1）物防，即物理環(huán)境方面的安全防范措施。變電站、用電設(shè)備園區(qū)、機(jī)房等物理環(huán)境，在建設(shè)規(guī)劃之初就要考慮到是否會(huì)存在安全問題，如職能部門與一線員工辦公場所的布局、監(jiān)控的分布、門衛(wèi)或門禁管理系統(tǒng)的人員認(rèn)證能力、配套服務(wù)企業(yè)的資質(zhì)等，這些設(shè)施的建設(shè)越完善，社工攻擊成功的可能性就越小。

（2）技防，則是基于國家統(tǒng)一標(biāo)準(zhǔn)，采用經(jīng)國家認(rèn)證的技術(shù)、算法和設(shè)備，在技術(shù)層面最大限度地降低風(fēng)險(xiǎn)。目前在電力系統(tǒng)中所使用的自動(dòng)化仿真、IPDR 主動(dòng)防御等技術(shù)，SM2、SM3、SM4 等國密加密算法，隔離裝置、入侵檢測系統(tǒng)、防火墻等設(shè)備，都具有相應(yīng)的國家標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等，這些標(biāo)準(zhǔn)保障了電網(wǎng)運(yùn)行，極大地提高了電力系統(tǒng)的安全性。

（3）通過物防和技防，可以在系統(tǒng)、環(huán)境和制度上做到零漏洞、零缺陷，但人防的缺失通常會(huì)成為遭受攻擊的最大隱患。有人的地方就會(huì)有漏洞，企業(yè)員工平時(shí)未鎖屏的終端設(shè)備、白板遺留的紀(jì)要、未受保護(hù)的打印材料、辦公筆記、紙質(zhì)文檔、移動(dòng)設(shè)備、公文包、未上鎖的抽屜及未粉碎的紙質(zhì)材料等，都可能成為社工攻擊的關(guān)鍵點(diǎn)。想要減少人為漏洞，從心理層面來看，企業(yè)員工需消除對(duì)權(quán)威的盲目迷信，防范可能存在的心理暗示，在面對(duì)誘惑時(shí)時(shí)刻保持清醒和冷靜，不斷提高安全警惕性，增強(qiáng)個(gè)人安全防范意識(shí)。在技術(shù)層面，管理部門可以對(duì)關(guān)鍵工作進(jìn)行環(huán)節(jié)的分割，確保風(fēng)險(xiǎn)不會(huì)在一個(gè)環(huán)節(jié)內(nèi)持續(xù)擴(kuò)大，同時(shí)積極采購合規(guī)有效的第三方監(jiān)察工具，監(jiān)督員工的工作流程是否合規(guī)，還可以組織統(tǒng)一的培訓(xùn)、考試、演習(xí)和紅藍(lán)對(duì)抗等活動(dòng)，增加員工的安全意識(shí)。安全部門要對(duì)可能發(fā)生的安全事件制訂相應(yīng)的應(yīng)急方案，將事件發(fā)生后的損失降至最低。

只有電力系統(tǒng)內(nèi)各方共同參與，不斷強(qiáng)化信息安全意識(shí)，嚴(yán)格執(zhí)行各項(xiàng)信息安全措施和紀(jì)律，才能有效杜絕信息安全事件的發(fā)生。

4結(jié)束語

電力行業(yè)作為我國的重要產(chǎn)業(yè)，其安全性和穩(wěn)定性關(guān)乎到人們的工作和生活。國家近年來不斷更新技術(shù)手段及標(biāo)準(zhǔn)要求，以確保技術(shù)層面上電網(wǎng)的安全性，但從業(yè)人員的安全意識(shí)也必須同步提升，認(rèn)識(shí)到社工攻擊對(duì)人的針對(duì)性，從身邊小事做起，避免安全事件的發(fā)生，確保電力系統(tǒng)的安全穩(wěn)定運(yùn)行，保障國家的能源安全和人民的用電需求。