前面我们已剖析了社会工程学攻击的过程，以下我们来讲防御

信息安全也需要做到“以人为本”

信息安全也需要做到“以人为本”，充分认识到社会工程学威胁非传统信息安全的危害和方式，做到先入为主的教育和培训，技术和管理手段相结合，达成一定程度上的非传统信息安全。  

“非传统安全”(Nontraditional Security)，这一词见于冷战后西方国际安全与国际关系研究界。冷战后，特别是“9.11事件”发生以后，包括中国在内的世界各国纷纷把由于恐怖主义、能源、经济、文化、信息安全等问题引起的非传统威胁提升到战略高度，纳入国家安全战略范畴。近些年来，信息安全问题已经成为非传统安全领域中最突出、最核心的问题之一。  

在信息安全这一非传统安全领域，也出现了类似的情况。传统的信息安全观主张“三分技术，七分管理”，但无论是技术还是管理的核心都是围绕那些不断发展的物质技术因素和外在行为因素，而忽视了处于核心地位的人的内在心理因素。因此，当先进的技术和严密的管理也不能保证信息安全时，信息安全专家们意识到还要研究传统信息安全之外的东西。  

这就是所谓的“非传统信息安全”，它是传统信息安全的延伸，主张信息安全防护采取“先发制人”的战略，突破传统信息安全在观念上的指导性被动，主动地分析人的心理弱点，提高人们对欺骗的警觉，同时改进技术体系和管理体制存在的不足，从而改变信息安全“头痛医头，脚痛医脚”的现状。实现传统和非传统的信息安全，要做到“三分技术、七分管理和十分警觉”。  

随着不断开发出更好的安全技术，利用技术弱点进行攻击变得越来越困难，攻击者更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵检测系统和杀毒软件的“老三样”产品方案上，还有行为审计、授权认证、数据加密等先进的技术管理手段，使得信息安全在一定程度上产生了对技术手段的依赖。这本身并没有问题，但运用“社会工程学”的方式产生的信息安全事件，越来越强力地挑战了传统的信息安全观念。突破“人”这道防火墙常常是容易的，甚至不需要很多投资和成本，冒的风险也很小。  

“社会工程学”（Social Engineering）是一种通过对受害者本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已经呈现迅速上升甚至滥用的趋势。它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕、最小心的人，一样会受到高明的社会工程学手段的损害。因为“社会工程学”主导着非传统信息安全，所以通过对它的研究可以提高应对非传统信息安全事件的能力。  

凯文米特(Kevin Mitnick) 2002年出版的书——《欺骗的艺术》(The Art of Deception)堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法，这些方法并不需要太多的技术基础，但可怕的是，一旦懂得如何利用人的弱点(轻信、健忘、胆小、贪婪等)，就可以轻易地潜入防护最严密的网络系统。他曾经在很小的时候就能够把这一天赋发挥到极致。像变魔术一样，不知不觉地进入了包括美国国防部、IBM等几乎不可能潜入的网络系统，并获取了管理员特权。  

“网络钓鱼”是近来社会工程学的代表应用——利用欺骗性的电子邮件和伪造的网络站点来进行诈骗，专门骗取电子邮件接收者的个人资料，例如身份证号、银行密码、信用卡卡号等信息。  

非传统信息安全的风险来源于攻击者能够运用社会工程学的方法，利用人们工作时的本能反应和弱点得到所需要的信息，因此，决定了这种风险是不可能百分之百被防范的，事实上，人们对此只能是希望减少攻击的数量而不是完全消灭。

防止遭受社会工程学攻击

　　虽然我们确实在继续受到病毒、蠕虫、间谍软件和其它各种形式的恶意软件的威胁，但是，整个安全的状况在改善。防火墙已经取得了进步，更多的企业采取了更好的补丁管理措施，而且入侵防御和入侵检测等技术正在更广泛的应用。随着安全的这种增长，黑客在做什么呢?
　　黑客被迫在做攻击者过去做过的事情:把目标对准薄弱的环节。这个薄弱环节就是社会工程学的所在。社会工程学是一种危险的攻击机制，因为它不直接对目标实施攻击。社会工程学在IT领域被定义为一种说服人的技巧。据市场研究公司Gartner的一篇研究报告称，70%的以上的非授权访问信息系统是内部雇员所为，95%的以上的这种入侵导致了严重的金融损失。
　　你也许会想，这些数字表明许多遭受这种损失的公司都有坏雇员。但是，实际情况并非如此。许多雇员都是社会工程学攻击的受害者。一个社会工程学攻击者能够以多种方式向雇员展开攻击。Robert Cialdini撰写的“劝说的科学与实践”一书介绍了这些方法。这本书列出了社会工程学使用的六种主要方法。这些方法包括:
　　•经验不足:通过建立紧迫感操纵雇员。
　　•权威:根据权威的承诺欺骗雇员。例如，“你好，是服务台吗?我是为高级副总裁工作的，他需要立即重新设置他的口令。”
　　•一致性:人们喜欢平衡和秩序。例如，当人们问我们过的如何时，我们一般都回答说“很好!”。
　　•社会确认:根据这种想法，一个人可以做这个事情，其他人也可以做。例如，你曾看到酒吧服务员的装满了钱的罐子吗?这也许会让你想到如果每一个人都在往里放钱，你也应该那样做!
　　•回报:如果有人给你一个纪念品或者一个小礼物，你就要考虑回赠一些东西。
　　采取什么措施才能防止你的雇员被利用呢?第一，制定政策和程序。政策应该解决设置账户的规则、如何批准访问和改变口令的批准程序等问题。政策还应该解决人们担心的一些物理方面的问题，如碎纸片、锁、访问控制和如何陪同和监视访问者等。
　　第二，进行教育和培训。如果雇员不了解政策规定或者没有对这些政策规定的应用进行过培训，政策就毫无用处。如果雇员理解安全政策的目的以及忽略这些安全政策可能给公司带来的负面影响，雇员就会更好地遵守公司的这些政策。必须要对雇员进行培训，让他们知道如何报告安全突破事件。
　　最后，检验和监督遵守政策的情况。审计和定期检验有助于使政策结构更有效率。经常巡查各个部门并且寻找暴露的口令或者敏感的信息。检验也许还可以包括给雇员或者服务台打电话，看看是否能够强迫他们向你提供口令。当雇员遵守政策的时候，应该对于他们良好的安全行为给予奖励。通过遵守上述三个简单的步骤，你将极大的提高粉碎社会工程学攻击的能力。

社会工程的黑客陷阱 人是最坚固的防火墙
　

  　为了对抗社会工程攻击，必须组建“由人组成的防火墙”，同时抛弃网络架构刀枪不入之类的幻想。

　　对员工进行培训，使一部分企业能够预防和识别社会工程攻击的企图。这比对员工进行防火墙系统培训的难度要小得多。因此，只要组织措施得当，“人”将不再成为信息安全链中最薄弱的一环，而是成为最安全的后盾。

　　现实中发生的许多网络安全案例，破坏者使用的手法并不是十分高明，仅仅是通过一些非常简单的技术对系统进行破解。比如口令的暴力猜测，这些攻击并不需要太高深的技术，仅仅使用一些现成的软件和一点耐心就能实现。甚至还有一种技术含量更低的破解网络安全防御系统的方法，它通过种种手段骗取操作网络内部的人员提供必要的信息（如管理员口令），从而获取网络的访问权。这种方法称为“社会工程学”（Social Engineering）。

　　社会工程的黑客陷阱

　　社会工程学其实就是一个陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密，例如：用户名单、用户密码及网络结构。还比如，只要有一个人抗拒不了本身的好奇心看了邮件，病毒就可以大行肆虐。

　　大家熟知的Mydoom与Bagle都是利用社会工程学陷阱得逞的病毒。如果您从事网络安全工作已经有了一段时间，就能说出这位最“臭名昭著”的黑客名字：Kevin Mitnick--他曾被媒体作为新闻标题、被电视节目作为评说对象。有人曾用这样的语句形容他:“他旁若无人地站在白宫走廊的一角，目光深邃。一台笔记本电脑与他寸步不离，他不时在键盘上敲下某些神秘的指令……”。我们可以引用他最著名的黑客理论：“赢得别人的信任，然后利用这种信任取乐或取利，在现实世界中此类现象比比皆是，在网络世界中也同样存在。人是一种社会动物，希望被喜欢、被信任，一旦这种天性被我们利用……”

　　e时代的信任危机

　　在2000--2003年的时候，如果你利用漏洞扫描软件在10分钟内就能轻易地发现100台以上的脆弱主机。在网络安全技术不断发展的今天，各种安全防护设备与措施使得网络和系统本身的漏洞已经较少了。然而黑客入侵事件却总在不断上演，这是为什么?网络使用者的安全防护意识起着关键作用。我们可以将服务器系统安全加固交给网络安全服务商完成；可以将网络安全的常识通过培训介绍给企业的每一个员工，但是，任意设置简单易猜的口令、随处留下自己的邮箱行为还是比比皆是，这都使得善于利用社会工程学的黑客能够很轻易地完成对某些目标的入侵。

　　可以说现在CIO们最怕的不是系统灾难，因为完整的灾难恢复机制已经让他们可以坦然面对。最近流行的“网络钓鱼”，其实并不是一种新的入侵方法，而是入侵者通过技术手段伪造出一些以假乱真的网站诱惑受害者根据指定方法操作的Email等，使得受害者“自愿”交出重要信息或被窃取重要信息（例如银行账户密码）。入侵者并不需要主动攻击，他只需要静静等候这些钓竿的反应，就像是“姜太公钓鱼，愿者上钩”。我们可以将它归纳为有一定技术含量的、被动的社会工程入侵。那么，没有任何黑客技术含量的主动入侵存在吗？回答当然是肯定的。

　　我们举一个例子：对方公司的销售人员想获得你的客户信息，他会通过电话、Mail或者QQ等了解到贵公司销售人员的通信方式。在通过冒充客户咨询的电话中，你都可能透露出真实的个人信息，然后以你的身份再次打进电话来，询问其他员工来获取网管员的电话。剩下的事情只需要向网管员申诉自己的邮箱出现问题了，要求将密码更改过来，如果网管员稍有疏忽，这一入侵行为就已成功结束了。

　　还有一种攻击也最为常见，那就是胁迫攻击。攻击者假装成权威人士，要么是组织内的高层人员，要么是执法人员。攻击者会选择其职位之下的几个不同层次的人作为目标。攻击者会制造一个借口来要求重设口令、改变账号、访问系统或敏感信息。如果遇到抵制，攻击者会利用职权胁迫这些员工就范。社会工程学基于最基本的生活常识，最简单的心理学原理：越简单的东西越不容易出错，而越复杂的事物越可能出现漏洞，世界上最复杂的就是人和人的思想，利用人们的信息信任--这就是“社交工程学”被信息安全专业人员所恐惧的主要原因。

　　完善制度重于技术防御

　　社会工程学，并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益；即使最先进的网络防火墙，一样无法阻挡没有电信号的信息泄露。企业在制定社会工程攻击防护方法时一定要充分考虑自身的特点，千万不能生搬硬套。根据受到过攻击的企业所提供“亡羊补牢”的方法大致归纳如下：

　　建立事故响应小组

　　从信息安全的观点，任何外部威胁的处理（包括社会工程）将被认为是一次事故。事故响应小组的目的就是有效检测潜在的信息安全事件并且提供一个有效的手段来降低事件对公司的影响。同一般性的网络攻击所不同的是，事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成，他们要经过良好培训并随时准备对社会工程攻击做出反应，有效的分析出入侵的目的与方式。

　　制定规章与教育相结合

　　防范社会工程攻击的困难在于大多数物理硬件和安全控制措施是无效的。因为社会工程攻击的目标是人，所以其防范措施需要集中在信息安全的管理部分。一个有效的防御措施就是建立全员的信息安全策略，策略指导应包含所有员工的“信息安全行为规则”。另外，有效的抵抗措施就是用户意识培训，在整个公司的层面上，将这个信息传递给所有员工是非常关键的。这样，整个公司在所有层次上都非常警觉。

　　模拟入侵程序

　　模拟入侵测试是一种从外部观点来评价安全控制措施的方法，是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司如果想测试他们对于社会工程攻击的防备程度，也可以采用模拟入侵测试来发现一些证据。但是必须注意的是，尽管渗透性测试是评估组织的控制措施的最好方法之一，但这种方法的有效性强烈依赖于测试者的水平和努力程度。另外，制定立即通告制度也很重要，一旦员工发现一个社会工程攻击的企图，必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤，以及精心配备的事故响应小组也要将其效能最大化。

　　其他

　　尽可能应用其他技术措施，比如电话录音、客户访问记录、文档等级制度。这里需要提醒的是如果制定更多的员工行为监视和审核制度有可能遭到员工反对，或者触及到个人隐私，所以要在法律允许的范围内进行，以避免企业的违法行为发生。

最后一章的话记得顺便做个电子版。。。给大家下载啊。

我觉得社会工程学根本的防御还是以人为本.

当攻击者在攻击中添加了技术元素时，社会工程学攻击可以变得更加具有破坏性，
抵挡这种攻击的常用方法是在人和技术两方面同时采取措施。
越来越多的机构更加重视通过技术手段加强安全策略了——比如，对操作系统进行配置，强化密码策略，
限制非法登陆尝试（超过一定次数则锁定账户）。事实上，Microsoft Windows商业平台一般都包含有这些功能。
尽管如此，繁琐的操作还是很容易给用户带来烦恼，这些产品的安全功能通常都被关闭了。
真实情况是软件厂商把产品的安全功能默认设置为关闭了，正确的做法应该恰恰相反。
当然，公司的安全策略应当规定系统管理员在所有可能的情况下通过技术手段强化安全策略，
达到不过分依赖人为操作的目的。你可以轻易地限制特殊账户的连续无效登陆尝试次数，
这样，攻击者的生活显然变得更困难了。
所有的机构都面临着高度安全和员工生产力之间的平衡问题，
这导致了一些员工无视安全策略，不接受保护公司敏感信息的最基本的安全措施。
如果一家公司的策略中留有未标明的地方，员工可能会按照最低标准执行，
这样会很方便并让他们的工作变得轻松，一些员工会拒绝变动并公然地漠视好的安全习惯。
你可能会遇到这样的一个员工，他遵守了关于密码长度和复杂性的规定，
但是又把密码写在便签上，然后贴在他的显示器上。
保护你的公司安全的至关重要的一部分是，使用高强度的密码，
在技术上与合理的安全配置结合起来。

除了防范间谍程序的安装（当员工因为茶会、午餐或会议离开办公桌时）以外，
还应当规定所有员工在离开时必须使用屏幕保护密码或类似的方法锁定他们的计算机系统，
这能大大降低员工的计算机被非法访问的可能性。
即使混入某个人的房间或办公室也不能访问他们的任何文件，
阅读他们的电子邮件或安装间谍程序（或其他恶意软件）。
使用屏幕保护密码需要的资源几乎为零，却能很好地保护员工的工作站，
在这种情况下进行成本效益分析应该是很容易的事情。

大部分人的意识不够

不要太好奇，不要贪婪，要多个心眼