第1章 全面認識社會工程學

重點提示：

◆ 什么是社會工程學

◆ 生活中的社會工程學攻擊案例

◆ 防范社會工程學

傳統的計算機攻擊者在系統入侵的環境下存在很多的局限性，而新的社會工程學攻擊則將充分發揮其優勢，通過利用人為的漏洞缺陷采取欺騙手段來獲取系統控制權。

這種攻擊表面上是難以察覺的，不需要與受害者目標進行面對面的交流，不會在系統留下任何可被追查的日志記錄。為了更好地認識社會工程學攻擊，本章將介紹生活中常見的社會工程學攻擊安全，以及防范社會工程學攻擊的方法。

社會工程學理論是關于建立通過自然的、社會的和制度上的途徑并特別強調根據現實的雙向計劃和設計經驗來一步一步地解決各種社會問題。嚴格來說社會工程學不是一門科學，而是一門欺騙的藝術和竅門的方法。它利用人的弱點，以順從你的意愿、滿足你的欲望的方式讓你上當。

1.1 什么是社會工程學

社會工程學是一種攻擊行為，攻擊者利用人際關系的互動性所發出的攻擊：通常攻擊者當沒有辦法通過物理入侵直接取得所需要的資料時，就會通過電子郵件或者電話對所需要的資料進行騙取，再利用這些資料獲取主機的權限以達到其本身的目的。

1.1.1 社會工程學攻擊概述

現實社會中的騙子欺騙伎倆形形色色，隨著網絡和通信技術的進步，其騙術花樣也不斷翻新，令人防不勝防。例如，有的人因試圖獲得手機中獎短信中的獎品、獎金而上當受騙，有的人輕信騙子打來的親人發生車禍、急病住院等電話后被騙取錢財等。這些現實社會中的欺騙手段一旦被黑客延伸應用到攻擊網絡系統，就發展成為社會工程學攻擊。

社會工程學也是最近黑客界流行的一種入侵方式。社會工程學攻擊主要采取非常規手段取得服務器的權限或網站的權限，比如搜集管理員的各種信息，如管理員喜歡進哪些網站，管理員喜歡用什么密碼，在管理員進入的網站里面掛網頁木馬，破解管理員常進網站的數據庫，從而取得管理員密碼。

簡單地說，社會工程學攻擊就是利用人們的心理弱點，騙取用戶的信任，獲取機密信息（如計算機口令、銀行賬戶信息）等不公開資料，為黑客攻擊和病毒感染創造有利條件。

近年來，一些安全雜志上相繼出現了相關社會工程學攻擊的文章，黑客們也逐漸將目光從傳統系統入侵與腳本攻擊的熱潮中轉向社會工程學攻擊上。

社會工程學攻擊之所以讓大多數的黑客看到曙光，通過信息搜索與社交直接索取密碼，使得入侵滲透更加容易。究其原因，還是由于網絡管理人員的管理問題。網絡管理人員的素質高低，極大地制約了整個網絡的安全程度。

由于安全產品的技術越來越完善，使用這些技術的人，就成為整個環節上最為脆弱的部分。而且人們都具有貪婪、自私、好奇、信任等心理弱點，因此，通過恰當的方法和方式，入侵者完全可以從相關人員那里獲取入侵所需信息。社會工程學攻擊可以分為兩種： 狹義社會工程學和廣義社會工程學。它們之間的區別可以參考表1-1。

其實，狹義社會工程學攻擊與廣義社會工程學攻擊最明顯的區別是會與受害者進行交互式行為，比如，你會設置一個陷阱使對方跳入，或是偽造一封來自內部的虛假電子郵件，或是利用相關通信工具與他們交流獲取敏感信息。真正的社會工程學師是不會碰運氣亂去下載網站與論壇的數據庫的，他們清楚地知道自己需要什么樣的信息，并且應該怎么樣去做，從搜集的信息中分析出有用的信息，并與受害者進行互動行為，這樣才稱之為社會工程學。

1.1.2 無法忽視的非傳統信息安全

社會工程學是非傳統的信息安全，它是一種利用受害者本能反應、好奇心、信任、貪婪等心理陷阱采取諸如欺騙、傷害等危害手段，取得自身利益的手法，而不是利用系統漏洞入侵的。普通用戶經常會安裝硬件防火墻、入侵監測系統（IDS）、虛擬專用網絡，或是安全軟件產品，但這并不能保障安全。

社會工程學師只需撥打一個電話，使用專業的術語，報出內部人員使用的ID，讓一個系統管理員登錄系統，并將其傳真過來即可竊取信息。事實上，很多安全行為就是出現在騙取內部人員（信息系統管理、使用、維護人員等）的信任上，從而輕松繞過所有技術上的保護。

信任是一切安全的基礎，對于保護與審核的信任，通常被認為是整個安全鏈條中最薄弱的一環。為規避安全風險，技術專家精心設計的安全解決方案，卻很少重視和解決最大的安全漏洞——人為因素。無論是在現實世界還是在虛擬的網絡空間，任何一個可以訪問系統的人，都有可能構成潛在的安全風險與威脅。

社會工程學較之其他黑客攻擊復雜，即使自認為最警惕、最小心的人，一樣會受到高明的社會工程學手段的損害。因為“社會工程學”主導著非傳統信息安全，所以通過對它的研究可以提高應對非傳統信息安全事件的能力。非傳統信息安全是傳統信息安全的延伸，主張信息安全防護采取“先發制人”的戰略，突破傳統信息安全在觀念上的指導性被動，主動地分析人的心理弱點，提高人們對欺騙的警覺，同時改進技術體系和管理體制存在的不足，從而改變信息安全“頭痛醫頭，腳痛醫腳”的現狀。

社會工程學無處不在，在商業交易談判和司法等領域都存在。其實在生活中，我們也常常在無意中使用，只是渾然不覺而已。比如，當遇到問題時，會知道應該尋找有決定權的人來解決，并讓周遭的人幫助解決。這其實也是社會工程學。社會工程學是一把雙刃劍，既有好的一方面，也有壞的一方面。

1.1.3 攻擊信息擁有者

信息安全的本質是信息擁有者與攻擊者間的戰斗。信息擁有者是無價的信息寶藏，攻擊者大可不必因為一個口令而把大量精力花費在系統入侵與破解上，直接針對擁有者的脆弱性開始進行攻擊，可以避免一些不該發生的事，比如口令變、系統補丁升級等。

一般來說，經驗豐富的黑客攻擊者往往缺乏人際交往的知識經驗與技巧，但社會工程學攻擊會打破這種格局。在大多數情況下，成功的社會工程學師都有著很強的人際交往能力。他們有魅力、講禮貌、討人喜歡，并具有快速建立起可親、可信感的特點。

一個經驗豐富的社會工程學師，使用他自己的戰略、戰術，幾乎能夠接近任何他感興趣的信息。他會開始用大量的時間研究非傳統信息安全，龐大的商業價格是吸引他的條件，這種有效的信息入侵對他非常有誘惑力。

社會工程學攻擊還有一個受黑客們歡迎的原因，那就是中國企業盲目追求商業利益最大化，他們不注重建立企業品牌，忽略對員工進行安全培訓投資。比如，一個社會工程學使用者想從一家信用卡公司獲取一些情報，但又沒有相關的證明他可以合法地從這家公司拿到這些情報。那么，他就可以利用社會工程學，從和這家信用卡公司相關的銀行搜集相關的信息從而達到目的。例如，這家銀行從信用卡公司取得信息需要什么文件或者ID號碼證明，又或者是經常與信用卡公司進行業務聯系的職員的姓名等，攻擊者只要通過某些途徑從這些毫無任何價值觀念的企業內部員工的口中得到這些信息，即可成功竊取信息。而沒有安全威脅意識的企業會在這個問題上栽一個大跟頭。

因此，從現階段來說，信息擁有者是社會工程學攻擊的主要目標，也是無法忽視的脆弱點，要防止攻擊者從信息擁有者身上竊取信息，必須加強對他們進行安全培訓投資。

1.1.4 常見社會工程學手段

現代的網絡紛繁復雜，病毒、木馬、垃圾郵件接踵而至，給網絡安全帶來了很大的沖擊。同時，利用社會工程學的攻擊手段日趨成熟，其技術含量也越來越高。社會工程學攻擊在實施之前必須掌握心理學、人際關系、行為學等知識與技能，以便搜集和掌握實施入侵行為所需要的資料和信息。下面介紹幾種常見的社會工程學攻擊手段。

1. 環境滲透

對特定的環境進行滲透，是社會工程學為了獲得所需的情報或敏感信息經常采用的手段之一。社會工程學攻擊者通過觀察目標對電子郵件的響應速度、重視程度以及可能提供的相關資料，比如一個人的姓名、生日、ID電話號碼、管理員的IP地址、電子郵箱等，通過這些搜集信息來判斷目標的網絡構架或系統密碼的大致內容，從而獲取情報。

2. 引誘

網上沖浪經常碰到中獎、免費贈送等內容的電子郵件或網頁，誘惑用戶進入該頁面運行下載程序，或要求填寫賬戶和口令以便“驗證”身份，利用人們疏于防范的心理引誘用戶，這通常是黑客早已設好的圈套。

3. 偽裝

目前流行的網絡釣魚事件以及更早以前的求職信病毒、圣誕節賀卡，都是利用電子郵件和偽造的Web站點來進行詐騙活動的。有調查顯示，在所有接觸詐騙信息的用戶中，有高達5%的人都會對這些騙局做出響應。

4. 說服

說服是對信息安全危害較大的一種社會工程學攻擊方法，它要求目標內部人員與攻擊者達成某種一致，為攻擊提供各種便利條件。個人的說服力是一種使某人配合或順從攻擊者意圖的有力手段，特別地，當目標的利益與攻擊者的利益沒有沖突，甚至與攻擊者的利益一致時，這種手段就會非常有效。如果目標內部人員已經心存不滿甚至有了報復的念頭，那么配合就很容易達成，他甚至會成為攻擊者的助手，幫助攻擊者獲得意想不到的情報或數據。

攻擊者在施行攻擊時，經常會采用維修人員、技術支持人員、經理、可信的第三方人員，或者是企業同事等角色，這點在一個大公司是不難實現的。

因為每人不可能都認識公司中的每個人員，而身份標識是可以偽造的，這些角色中的大多數都具有一定的權利，讓別人會不由自主地去巴結。大多數的雇員都想討好老板，所以他們會點頭哈腰地對那些有權力的人提供他們所需要的信息。

5. 恐嚇

社會工程學師常常利用人們對安全、漏洞、病毒、木馬、黑客等內容的敏感性，以權威機構的身份出現，散布安全警告、系統風險之類的信息，使用危言聳聽的伎倆恐嚇、欺騙計算機用戶，并聲稱如果不按照他們的要求去做，會造成非常嚴重的危害或損失。

6. 恭維

高明的黑客精通心理學、人際關系學、行為學等社會工程學方面的知識與技能，善于利用人們的本能反應、好奇心、盲目信任、貪婪等人性弱點設置陷阱，實施欺騙，控制他人意志為己服務。他們通常十分友善，很講究說話的藝術，知道如何借助機會去迎合人，投其所好，使多數人友善地做出回應，樂意與他們繼續合作。

7. 反向社會工程學

反向社會工程學是指攻擊者通過技術或者非技術的手段給網絡或者計算機應用制造“問題”，使其公司員工深信，誘使工作人員或網絡管理人員透露或者泄漏攻擊者需要獲取的信息。這種方法比較隱蔽，很難發現，危害特別大，不容易防范。

1.2 生活中的社會工程學攻擊案例

社會工程學作為信息時代發展出來的一門“欺騙的藝術”，在現今不論是虛擬的網絡空間還是現實的日常生活場景，凡是涉及信息安全的方面，無不有社會工程學的應用。

本節將介紹幾種生活中常見的有關社會工程學攻擊的安全，希望大家能夠進一步地了解社會工程學，并提高警惕。

1.2.1 巧妙地獲取用戶的手機號碼

社會工程學就是一種與計算機技術相結合的行騙過程，而社會工程學的實施者，則可以看作是一個精通計算機的超級騙子。

下面通過一個虛擬的例子，說明如何通過社會工程學獲取用戶的手機號碼。

假設攻擊者試圖入侵某個公司的內部辦公系統，但無法破解管理員的登錄密碼。可先利用一些手段獲得管理員的手機號，再想辦法得到管理員的登錄密碼即可。

首先，打開公司的網站，在網站首頁的左上角有一個“內部辦公系統登錄”鏈接，在該鏈接下有一個快速登錄口，在“登錄名”和“密碼”文本框中輸入相應的內容，即可進入該公司的內部辦公系統，如圖1-1所示。

或者直接單擊“內部辦公系統登錄”鏈接，在打開的“內部辦公系統”頁面中可直接登錄進入公司的內部辦公系統，如圖1-2 所示。現在要做的就是獲得管理員的登錄密碼，但可以先從管理員的手機號碼上入手，得到他的手機號碼后，再想辦法獲取登錄密碼。

攻擊者要想成功獲得管理員的手機號，需要按照下面的方法進行。

1. 查詢用戶網絡信息

攻擊者可以使用社會工程學，詳細地搜集管理員在網上的各種信息。比如，管理員常用的郵箱，通常來說，經常在網絡上活動的管理員，當它們注冊一些論壇或博客站點服務等，都會用到郵箱。因此，攻擊者可以將這些郵箱地址作為關鍵字，在百度或Google等搜索引擎中搜索相關信息。

從搜索結果中可以看到許多有用的信息，如管理員注冊了哪些論壇。同樣，可以用管理員的其他郵箱、QQ號和MSN地址等信息為關鍵字在網上進行搜索，也可以搜索到不少信息。

另外，還可以在當下流行的“校內網”和“校友網”等社交類型的網絡上搜索更詳細的信息，以獲得用戶的真實資料等信息。在這兩個網站上注冊的用戶通常都會在注冊信息中填寫真實的家庭住址、出生日期、手機號碼和QQ號碼等信息，通過這種方式可以了解到管理員的手機號碼或其他重要的信息。

2. 獲得手機號碼

如果從網絡中的搜索信息中可以直接得到目標的手機號碼，就可以利用這個手機號碼進行欺騙。如果只得到了目標者的出生日期、家庭住址或QQ號碼，則可以先將管理員的QQ號加為好友，再通過其他方法騙到他的手機號碼即可。

1.2.2 利用社會工程學揭秘網絡釣魚

網絡釣魚就是指入侵者通過處心積慮的技術手段偽造出一些以假亂真的網站和誘惑受害者根據指定方法操作的E-mail等方法，使得受害者“自愿”交出重要信息或被竊取重要信息（例如銀行賬戶密碼）的手段。它并不是一種新的入侵方法，但其危害范圍卻在逐漸擴大，并成為近期威脅網絡安全的最大危害之一。

無論IE還是Firefox瀏覽器，都在不斷出現各種各樣的漏洞，例如，有的瀏覽器漏洞可以讓黑客在網頁中插入惡意代碼，有的可以讓瀏覽器顯示錯誤的網址。黑客可以向用戶發送郵件或者QQ消息，讓他點擊某個網址。這個網址的URL看上去是個著名網站，打開之后顯示的頁面也像那個網站，但其實是黑客自己建立的釣魚網站。

此時，可能會有這樣的疑問——網絡釣魚與社會工程學類似，都是利用人們的弱點欺騙的？其實，網絡釣魚屬于社會工程學攻擊的一種，簡單地說，就是通過偽造信息獲得受害者的信任并且響應，由于網絡信息是呈爆炸性增長的，人們面對各種各樣的信息往往難以辨認真偽，依托網絡環境進行釣魚攻擊是一種非常可行的攻擊手段。

網絡釣魚從攻擊角度上分為兩種形式，一種是通過偽造具有“概率可信度”的信息來欺騙受害者。這里所說的“概率可信度”，從邏輯上說就是有一定的概率使人信任并且響應，從原理上說，攻擊者使用“概率可信度”的信息進行攻擊，這類信息在概率內正好吻合了受害者的信任度，受害者就可能直接信任這類信息并且響應。

另外一種則是通過“身份欺騙”信息來攻擊受害者。這與社會工程學攻擊一樣，攻擊者需要事先掌握對方的相關信息，利用人與人之間的信任關系，通過偽造身份來捏造信息，使受害者對攻擊者所說的話確信無疑并做出響應。

我們在實際生活中常常會遇到釣魚事件，并且如此拙劣的手段仍能讓其頻頻得手，主要是因為網絡釣魚充分利用了人們的心理漏洞。首先，人們收到黑客發送的影響力很大的郵件時，很多人都不會懷疑信件的真實性，更會下意識地根據要求打開郵件里面指定的URL進行操作。其次，頁面打開后，我們通常不會注意瀏覽器地址欄中顯示的地址，而只是留意頁面內容，這正是讓釣魚者有機可乘的原因。

1.2.3 冒認身份獲取系統口令

得到管理員的手機號碼后，可以利用身份偽造這種方法騙取系統口令。身份偽造是指攻擊者利用各種手段隱藏真實身份，以一種目標信任的身份出現來達到獲取情報的目的。

攻擊者大多以能夠自由出入目標內部的身份出現，獲取情報和信息；或者采取更高明的手段，例如偽造身份證、ID卡等在沒有專業人士或系統檢測的情況下，要識別其真偽是有一定難度的。

在“校內網”和“校友網”等社交類型的網絡上搜索用戶的信息時，得到管理員的手機號碼后，攻擊者可以假裝是管理員所在公司的一個新員工，然后利用得到的手機號給目標發信息，告訴他“我是你的新同事XXX，是新的銷售經理助理，這是我的手機號碼”。再尋找話題與管理員聊天，使其對自己說的話深信不疑。

最后，告訴管理員，銷售部經理讓我在公司內部辦公系統上下載一份文檔，但我不知道公司的內部辦公系統設的有密碼，忘了問他了，希望你可以把口令告訴我，我急需要這份文檔。當管理員聽到這些話后，可能就會相信你所說的，并將口令告訴你。這樣，即可順利地從管理員口中獲得系統口令了。當然，這種做法可能有一定的運行成分，但像這種疏忽大意且防備心理不強的人非常多，社會工程學正是利用這一特點對目標進行攻擊的。

1.2.4 社會工程學盜用密碼

利用社會工程學獲取密碼非常簡單，而且不需要其他的黑客工具便能辦到，危害非常大。

社會工程學破解密碼就是有針對性地搜集被破解人的相關信息，并對相關信息進行整理加工，達到快速高效地破解密碼的目的。信息搜集的方法有普通搜集，即通過對平常可見的信息進行系統的搜集，越全面越好。另一個方法就是借助功能強大的搜索引擎，搜索他人和相關人員的人名，從搜索結果中篩選有用信息加以整理利用。

例如，要破解某個人的賬號密碼，就搜集關于他的信息：姓名、生日、手機號、QQ號、家庭電話、學號、身份證號、家鄉及其所在地的郵政編碼和區號等。除此之外，還要搜集他身邊關系親密人員的信息，如：父母、女友等。將這些搜集到的信息加上其他一些常用的字母、數字進行一定的排列組合組成一系列的密碼，即密碼字典。

密碼字典主要是配合解密軟件使用的，密碼字典里包括許多人們習慣性設置的密碼，這樣可以提高解密軟件的密碼破解命中率，縮短解密時間。當然，如果一個人密碼設置沒有規律或很復雜，未包含在密碼字典里，這個字典就沒有用了，甚至會延長解密時間。

下面以“亦思社會工程學字典生成器”為例，介紹如何利用搜集的信息生成密碼字典。

“亦思社會工程學字典生成器”用于生成特定組合的密碼字典，在相應位置輸入相應的字符，并單擊“生成字典”按鈕，即可在同目錄下生成“mypass.txt”字典文件。

打開“亦思社會工程學字典生成器”軟件，在主窗口左側的“社會信息”欄中的相應文本框中輸入搜集到的信息，如圖1-3 所示。單擊“生成字典”按鈕，即可生成一個名為“mypass.txt”字典文件，打開該文件，即可看到該軟件利用搜集到的信息生成的密碼字典，如圖1-4所示。

需要注意的是，信息填寫得越準確，填寫的項目越多，生成的密碼字典中出現真實密碼的可能性就越大。在填寫時不要局限于選項的提示，相關的重要信息都可以填寫，以增加擊中密碼的幾率。

利用搜集到的信息生成密碼字典后，即可利用破解密碼的程序一個一個地從生成的字典里讀取可能是密碼的字條，一個一個地試，直到找到正確的密碼。

1.3 防范社會工程學

通過前面的學習，我們知道社會工程學攻擊是一種非常危險的黑客攻擊技術，它就像一雙隱形的眼睛一樣，時刻盯著我們并找準時機進行攻擊。因此，為了避免個人用戶或企業遭受社會工程學攻擊，要掌握一些防范社會工程學攻擊的方法。

1.3.1 個人用戶防范社會工程學

社會工程學攻擊中核心的東西就是信息，尤其是個人信息。黑客無論出于什么目的，若要使用社會工程學，必須先要了解目標對象的相關信息。對于個人用戶來說，要保護個人信息不被竊取，需要避免我們在無意識的狀態下，主動泄露自己的信息。

1. 了解一些社會工程學的手法

俗話說：知己知彼，百戰不殆。如果你不想被人坑蒙拐騙，那就得多了解一些坑蒙拐騙的招數，這有助于了解各種新出現的社會工程的手法。

2. 保護個人信息資料

在網絡普及的今天，很多論壇、博客、電子信箱等都包含了個人的大量私人信息，這些信息中對社會工程學攻擊有用的信息主要有生日、年齡、E-mail郵件地址、手機號碼、家庭電話號碼等，入侵者根據這些信息再次進行信息挖掘，將提高入侵成功的幾率。因此，在提供注冊的地方盡量不使用真實的信息，例如，網絡上鋪天蓋地的社交網站，它無疑是無意識泄露信息最好的地方，成為黑客們最喜歡光顧的地方。

在網絡上注冊信息時，如果需要提供真實信息的，需要查看這些網站是否提供了對個人隱私信息的保護，是否采取了一些安全措施。對于提供論壇等需要用戶注冊服務的公司需要從保護個人隱私的角度出發，從程序上采取一些安全措施保護個人信息資料不被泄露。

3. 時刻提高警惕

利用社會工程學進行攻擊的手段千變萬化，比如我們收到的郵件，發件人地址是很容易偽造的；公司座機上看到的來電顯示，也可以被偽造；收到的手機短信，發短信的號碼也可以偽造。所以，要時刻提高警惕，保持一顆懷疑的心，不要輕易相信所看到的。

4. 保持理性

很多黑客在利用社會工程學進行攻擊時，采用的手法不外乎都是利用人感性的弱點，然后施加影響。所以，我們應盡量保持理性的思維，特別是在和陌生人溝通時，這樣有助于減小上當受騙的概率。

5. 不要隨手丟棄生活垃圾

看來毫無用處的生活垃圾可能會被隨意丟掉，但這些生活垃圾一樣也會被有心的黑客利用。因為這些垃圾中可能包含有賬單、發票、取款機憑條等內容，在丟棄時并沒有完全銷毀它們，而是隨意丟在垃圾桶中。這樣，如果被一些人撿到，就會造成個人信息的泄露。

1.3.2 企業或單位防范社會工程學

俗話說道高一尺，魔高一丈，面對社會工程學帶來的安全挑戰，企業必須適應新的防御方法。如表1-2所示列出了一些常見的入侵伎倆和防范策略。

總的來說，針對社會工程學攻擊，企業或單位還應主動采取一些積極的措施進行防范。這里將防范措施歸納為兩大類，即網絡安全培訓和安全審核。

1. 網絡安全培訓

社會工程學主要是利用人的弱點來進行各種攻擊的。所以說，“人”是在整個網絡安全體系中最薄弱的一個環節。對于國內企業來講，往往是注重技術技能的培訓，而輕于網絡安全方面的培訓，只有在接受嚴重的損失以后，才會意識網絡安全的重要性。

因此，為了保證企業免遭損失，要對員工進行一些網絡安全培訓，讓他們知道這些方法是如何運用和得逞的，學會辨認社會工程學攻擊，在這方面要注意培養和訓練企業員工的幾種能力，包括辨別判斷能力、防欺詐能力、信息隱藏能力、自我保護能力、應急處理能力等。

（1）網絡安全意識的培訓。

在進行網絡安全培訓時要注重社會工程學攻擊以及反社會工程學攻擊防范的培訓，無論是老員工還是新員工都要進行網絡安全意識的培訓，培養員工的保密意識，增強其責任感。在進行培訓時，結合一些身邊的案例進行培訓，例如QQ賬號的盜取等，讓普通員工意識到一些簡單社會學攻擊不但會給自己造成損失，而且還會影響到公司利益。

（2）網絡安全技術的培訓。

雖然目前的網絡入侵者很多，但對于有著安全防范意識的個人或者公司網絡來說，入侵成功的幾率很小。因此對員工要進行一些簡單有效的網絡安全技術培訓，降低網絡安全風險。網絡安全技術培訓主要從系統漏洞補丁、應用程序漏洞補丁、殺毒軟件、防火墻、運行可執行應用程序等方面入手，讓員工主動進行網絡安全的防御。

2. 安全審核

加強企業內部安全管理，盡可能把系統管理工作職責時進行分離，合理分配每個系統管理員所擁有的權力，避免權力過分集中。為防止外部人員混入內部，員工應佩戴胸卡標示，設置門禁和視頻監控系統；嚴格辦公垃圾和設備維修報廢處理程序；杜絕為貪圖方便，將密碼粘貼或通過QQ等方式進行系統維護工作的日常聯系等。

（1）身份審核（認證）

認證是一個信息安全的常用術語。通俗地說，認證就是解決某人到底是誰。由于大部分的攻擊者都會用到“身份冒充”這個步驟，所以認證就顯得非常必要。只要進行一些簡單的身份確認，就能夠識破大多數假冒者。比如，碰到公司內不認識的人找你索要敏感資料，你可以把電話打回去進行確認（最好是打回公司內部的座機）。而對于在公司進出口的身份審核，一定要認真仔細，層層把關，只有在真正的核實身份之后并進行相關登記后才能給予放行。在某些重要安全部門，還應根據實際情況需要，采取指紋識別、視網膜識別等方式進行身份核定，以確保網絡的安全運行。

（2）操作流程審核

操作流程審核要求在操作流程的各個環節進行認真的審查，杜絕違反操作規程的行為。一般情況下，遵守操作流程規范，進行安全操作，能夠確保信息安全；但是如果個別人員違規操作就有可能泄露敏感信息，危害網絡安全。

（3）安全列表審核

定期對公司個人電腦進行安全檢查，這些安全檢查主要包括計算機的物理安全檢查和計算機操作系統安全檢查。計算機物理安全是指計算機所處的周圍環境或計算機設備能夠確保計算機信息不被竊取或泄露。

計算機操作系統安全是指從操作系統層面著手，維護計算機信息安全。計算機操作系統安全的內容比較多，主要從殺毒軟件定期升級、操作系統漏洞補丁及時升級、安裝防火墻、U盤殺毒、不運行不明程序和禁止打開來歷不明的附件等方面進行考慮。

（4）建立完善的安全響應措施

應當建立完善的安全響應措施，當員工受到了社會工程學的攻擊或其他攻擊，或者懷疑受到了社會工程學和反社會工程學的攻擊，應當及時報告，相關人員按照安全響應措施進行相應的處理，降低安全風險。

1.4 專家課堂（常見問題與解答）

點撥1：社會工程學攻擊者常利用身份竊取這種手機，對目標進行攻擊，用戶應如何避免這種情況發生？

解答：身份竊取指通過假裝為另外一個人的身份而進行欺詐、竊取等，并獲取非法利益的活動。社交網絡的信息可透露一些頗有價值的內容，如受害者的姓名和出生日期。身份竊賊可以用這些信息猜測用戶的口令或模仿這些用戶，并最終竊取其身份。

這里提醒用戶不要回答社會網站提交的全部問題，或不要提供自己真實的出生日期。用戶不必告訴網站自己真實的教育背景、電話號碼等，還要想方設法讓竊賊得到錯誤的其他敏感信息。

點撥2：如果某用戶認為自己已受到社會工程學攻擊，并泄露了公司的相關信息時，應如何做呢？

解答：如果認為自己已經泄露了有關公司的敏感信息，要把這個事情報告給公司內部的有關人員，包括網絡管理員。他們能夠對任何可疑的或者不同尋常的行動保持警惕。