【正文】 在現實中，他們不應在沒有嚴格驗證的情況下完全相信別人 ，雖然他們更愿意在拿不準把別人往好處想。 對任何請求信息或操作的人進行身份驗證與授權驗證的重要性 保護敏感信息的程序，包括熟悉所有的數據分類系統(tǒng)。 公司的安全策略與程序的定位，保護信息與企業(yè)信息系統(tǒng)的重要性。 關鍵安全策略與它們的含義匯總。例如，指導每一個員工設定高強度的密碼。 每一個員工遵守策略的職責與不服從的后果。 通過解說社會工程學介紹幾種交互類型。攻擊者為了達到他（或她）的目標，會非常頻繁地使用不同的技術和通信方式，因此，一個成熟的培訓程序應當包括以下內容的一部分或全部： 涉及到計算機和語音信箱密 碼的安全策略。 解密敏感信息或資料的程序。 Email 使用策略，包括防范惡意代碼攻擊（病毒、蠕蟲和特洛伊木馬）的安全措施。 物理安全要求，比如佩戴證件。 在遇到未佩戴證件的人時，有詢問質疑的責任。 良好的語音郵件安全習慣。 如何確定信息分類和適當的安全措施。 適當的處理敏感文檔和過去存放過機密資料的計算機媒體。 同樣，如果公司計劃使用滲透測試來確定針對社會工程學攻擊的安全措施是否有效，應當警告員工注意這次練習，讓員工們知道有時候他們會接到使用了攻擊技術的電話或其它通訊，作為測試的一部分。測試的結果不會有任何 懲罰，但是可能會需要一定范圍內的額外培訓。 測試 你的公司可能需要在員工使用計算機系統(tǒng)之前測試他們是否已經掌握了這些安全知識。如果你想設計一個測試程序，有許多評價設計軟件程序能讓你輕松地分析測試的結果，鎖定需要強化培訓的范圍。 你的公司可能會考慮提供一張證書作為獎勵證明員工完成了安全培訓。 作為完成程序的一部分，建議讓每一個員工簽署一份遵守安全策略和規(guī)定的同意書。調查報告顯示，簽署了同意書的人會更加嚴格地遵守程序。 持續(xù) 的培訓 如果不周期性的復習，大部分人會把學到的知識（甚至重要的事件）忘掉。為了不讓員工忘 記如何防范社會工程學攻擊，持續(xù)的培訓程序非常重要。 一種讓員工記憶深刻的方法是把安全作為他們特殊的工作職責，這能讓員工認為他們在公司安全體系內扮演著至關重要的角色，否則員工會強烈地傾向于安全“不是我的工作”。 當安全部門或信息技術部門的人承擔了一個信息安全程序全部的職責時，信息安全培訓程序最好的結構是與培訓部門協(xié)同合作。 持續(xù)的培訓程序需要創(chuàng)造性地使用所有可能的頻道傳輸安全訊息，因為記憶的可存儲性，員工們會不時地想起好的安全習慣。除了使用所有傳統(tǒng)的頻道之外，還要加上許多能夠想到的非傳統(tǒng)方式，就像傳統(tǒng)的廣告一 樣，幽默、靈活地提供幫助。靈活多變的訊息可以讓員工更加熟悉安全策略而無法忽視。 持續(xù)的培訓程序可能包括以下內容： 提供本書的復印件給所有員工。 在公司的新聞通訊中添加以下內容：文檔，封裝的提示（簡短、引人注目的內容），比如漫畫。 張貼當月的安全員工照片。 在員工區(qū)域張貼海報。 張貼公告牌通知。 為支票信封提供打印的外殼。 發(fā)送 提示。 使用安全相關的屏幕保護程序。 通過語音信箱系統(tǒng)廣播安全提示。 打印電話貼紙，“你的呼叫者是他所聲稱的那個人嗎？” 設置電腦登錄時的提示信息，比如“如果你要發(fā)送機密信息 到 ，把它加密?！? 把安全知識作為員工財政報告和年度評價的標準內容。 在 intra（企業(yè)內網）上提供安全知識提示，可以使用漫畫或者幽默文字，或者其它能吸引員工閱讀的方式。 在自助餐廳使用電子訊息顯示板，頻繁地更換安全提示。 分發(fā)傳單或小冊子。 威脅總是存在，安全提示最好也總是存在。 推薦的信息安全策略 制定程序的步驟 一個全面的信息安全程序通常從威脅評估開始： 需要保護哪些企業(yè)信息資產？ 有哪些針對這些資產的具體威脅？ 如果這些潛在的威脅成為現實會對企業(yè)造成哪些損失？ 威脅評估的主要目標是對 需要立即保護的信息資產按優(yōu)先次序排列，而不是對安全措施進行成本效益分析。首先想一想，哪些資產需要首先保護，保護這些資產需要花多少錢。 高級管理人員的支出和對安全策略和信息安全程序的大力支持非常重要。正如其它的企業(yè)程序一樣，如果一個安全程序成功了，管理層可以對其進行推廣，前提是要有個人案例證明其有效性。員工們需要意識到信息安全和保護公司商業(yè)信息的重要性，每一個員工的工作都依賴于這一程序的成功。 設計信息安全策略藍圖的人需要以非技術員工也能輕松理解的通俗方式書寫安全策略，并解釋為什么這些是重要的，否則員工可能會 認為一些策略是在浪費時間而對其忽略。策略書寫者應當創(chuàng)建一份介紹這些策略的文檔，并把它們分開來，因為這些策略可能會在執(zhí)行的時候有小范圍的修改。 另外，策略的書寫者應當了解哪些安全技術能被用來進行信息安全培訓。例如，大部分的操作系統(tǒng)都能用指定的規(guī)則（比如長度）限制用戶密碼。在一些公司，可以通過操作系統(tǒng)的本地或全局策略阻止用戶下載程序。在允許的情況下，策略應當要求使用安全技術代替人為的判斷。 必須忠告員工不遵守安全策略與程序的后果，應當制定并宣傳違反策略的處罰。同樣，要對表現優(yōu)異或者發(fā)現并報告了安全事件的員工進行 獎勵。當一名員工受到獎勵時，應當在公司范圍內廣泛地宣傳，比如在公司時訊中寫一篇文章。 安全培訓程序的一個目標是傳達安全策略的重要性和不遵守這些規(guī)則的后果。拜人性所賜，員工們有時候會忽略或繞過那些看上去不合理或者太費時間的策略。管理層有責任讓員工們了解其重要性與制定這些策略的原因，而不是簡單地告訴他們繞過策略是不允許的。 值得注意的是，信息安全策略不是固定不變的，就像商業(yè)需要變化一樣，新的安全技術和新的安全漏洞使得策略在不斷的修改或補充。應當加入常規(guī)的評估與更新程序，可以通過企業(yè)內網或公共文件夾讓企業(yè)安全策略 與程序不斷更新，這增加了對策略與程序頻繁審核的可能性，并且員工可以從中找到任何與信息安全有關的問題和答案。 最后，使用社會工程學方法與策略進行的周期性滲透測試與安全評估應當暴露出培訓或公司策略和程序的不足。對于之前使用的任何欺騙滲透測試策略，應當告知員工有時候可能會進行這種測試。 怎樣使用這些策略 這些策略只是對減輕所有安全威脅非常重要的信息安全策略子集，因此，這些策略并不是一個完整的列表，更確切的說，它們是創(chuàng)建合適的安全策略的基礎。 企業(yè)的策略書寫者可以基于他們公司的獨特環(huán)境和商業(yè)目的選擇適合的策略。每一 家有不同安全需求（基于商業(yè)需要、法律規(guī)定、企業(yè)文化和信息系統(tǒng)）的企業(yè)都能在這些介紹找到所需的策略，而忽略其它的內容。 每一種策略都會提供不同的安全等級選擇。大部分員工都互相認識的小型公司不需要擔心攻擊者會通過電話冒充員工（當然攻擊者還可以偽裝成廠商）。同樣，一家企業(yè)文化輕松休閑的公司可能會希望只用這些策略中的一部分來達到它的安全目標，雖然這樣做會增加風險。 數據分類 數據分類策略是保護企業(yè)信息資產、管理敏感信息存取的基礎。這一策略能讓所有員工了解每一種信息的敏感等級，從而提供了保護企業(yè)信息的框架。 沒有數據 分類策略的操作 —— 幾乎所有公司的現狀 —— 使得的大部分的控制權掌握在少數員工手里?？上攵?，員工的決定在很大程度上依賴于主觀判斷，而不是信息的敏感性、關鍵程度和價值。如果員工不了解被請求信息的潛在價值，他們可能會把它交到一名攻擊者手里。 數據分類策略詳細說明了信息的貴重程度。有了數據分類，員工就可以通過一套數據處理程序保護公司安全，避免因疏忽而泄漏敏感信息，這些程序降低了員工將敏感信息交給未授權者的可能性。 每一個員工都必須接受企業(yè)數據分類策略培訓，包括那些并不經常使用計算機或企業(yè)通信系統(tǒng)的人。因為企業(yè)中的每 一個人 —— 包括清潔工、門衛(wèi)、復印室職員、顧問和承包人，甚至是實習醫(yī)生 —— 都有可能訪問敏感信息，任何人都能成為攻擊的目標。 管理層必須指定一個信息所有者負責公司目前正在使用的任何信息，信息所有者的職責之一就是保護信息資產。通常，所有者負責確定基于信息保護需要的分類等級，周期性地評估分類等級，并在必要的時候對其進行修改，信息所有者可能還會負責指定管理人員或其他人員來保護數據。 分類類別與定義 應當基于敏感程度將信息分成不同的分類等級。一旦建立了詳細的分類系統(tǒng)，重新分類信息將十分昂貴和費時。依靠敏感信息的編號和 分類，商業(yè)公司可以選擇增加更多分類以適應將來的特殊類型。在小 型商業(yè)公司，三個等級的分類方案可能就夠了。另外分類方案不宜太 復雜，企業(yè)培訓員工和執(zhí)行方案的費用就 高。 機密是最敏感的信息分類，機密信息只能在企業(yè)內部使用。在大多數情況下，機密信息只能讓少數有必要知道的人訪問。機密信息的泄漏會嚴重影響到公司（股東、商業(yè)伙伴和（或）客戶）。機密信息通常包括以下內容： 商業(yè)機密信息、私有源代碼、技術或規(guī)格說明書、能被競爭者利用的產品信息。 并不公開的銷售和財政信息。 關系到公司運轉的其它任何信息，比如商業(yè)戰(zhàn)略前景。 私有是僅在企業(yè)內部使用的個人信息分類。如果未授權的人（尤其是社會工程師）獲得了私有信息，員工和公司都將受到嚴重影響。私有信息內容包括：員工病歷、健康補助、銀行帳戶、加薪歷史，和其它任何沒有公共存檔的個人識別信息。 內部信息分類能提供給任何受雇于企業(yè)的員工。通常，內部信息的泄漏不會對公司（股東、商業(yè)伙伴、客戶或員工）造成嚴重影響，但是，熟悉社會工程學技能的人能用這些信息偽裝成一個已授權的員工、承包人或者廠商，從沒有絲毫懷疑的員工那里獲得更多敏感信息突破企業(yè)計算機系統(tǒng)的訪問限制。 必須在傳遞內部信息給第三方（提 供商、承包人、合作公司等等）之前與其簽署一份保密協(xié)議。內部信息通常包括任何在日常工作中使用的、不能讓外部人員知道的信息，比如企業(yè)機構圖、網絡撥號號碼、內部系統(tǒng)名、遠程訪問程序、核心代碼成本、等等。 公共信息被明確規(guī)定為公共可用。這種信息類型，比如新聞稿、客服聯(lián)系信息或者產品手冊，能自由地提供給任何人。需要注意的是，任何為指定為公共可用的信息都應當視為敏感信息。 數據分類術語 基于其分類，數據應當由不同的人負責。 驗證與授權程序 信息竊賊通常會偽裝成合法的員工、承包人、廠商或商業(yè)伙伴，使用欺騙策略訪問機密商 業(yè)信息。為了保護信息安全，員工在接受操作請求或提供敏感信息之前，必須確認呼叫者的身份并驗證他的權限。 此推薦的程序能幫助一名收到請求（通過任何通訊方式，比如電話、 或傳真）的員工判斷其是否合法。 可信者的請求 針對可信者的信息或操作請求： 確認其是否當前受雇于公司或者有權訪問這一信息分類，這能阻止離職員工、廠商、承包人、和其他不再與公司有關系的人冒充可信的職員。 驗證此人是否有權訪問信息或請求操作。 未核實者的請求 當遇到未核實者的請求時，必須使用一個合理的驗證程序確認請求者是否有權接收請求的信息， 尤其是當請求涉及到任何計算機或計算機相關的設備時。這一程序成功防范社會工程學攻擊的關鍵：只要實施了這些驗證程序，社會工程學攻擊成功的可能性將大大減小。 需要注意的是，如果你把程序設置得過于復雜，將超過成本限制并被員工忽略。 下面列出了詳細的驗證程序步驟 ： 驗證請求者是他（或她）所聲稱的那個人。 確認請求者當前受雇于公司或者與公司有須知關系。 確認請求者已被授權接收指定信息或請求操作。 第一步： 驗證身份 以下列出的推薦步驟按有效性從低到高排列，每一條中還加入了社會工程師行騙的詳細說明。 來電顯示（假設 這一功能已經包括在了公司的電話系統(tǒng)之中）。用來電顯示確認電話是來自公司內部還是公司外部，顯示的名字和電話號碼是否符合呼叫者提供的身份。 弱點：外部來電顯示信息可以被任何能用 PBX 或者電話交換機連接到數字電話服務的人偽造。 回撥。在公司的目錄中查詢請求者的名字，并通過列出的分機號碼回撥確認請求者的身份。 弱點：當員工回撥電話時，準備充分的攻擊者可以將其呼叫轉移到一個外部的電話號碼。 擔保。由一個可信的人為請求者的身份擔保。 弱點：攻擊者可以偽裝成一個可信員工，讓另一個員工為他擔保。 接頭暗號。在企 業(yè)范圍內使用接頭暗號，比如每日密碼。 弱點：如果有很多人知道這個接頭暗號，攻擊者也可以輕易地知道。 員工管理員 /經理。打電話給員工的頂頭上司并請求驗證。 弱點：如果請求者提供了他（或她）的上司的電話號碼，員工聯(lián)系上的也許是攻擊者的同謀。 安全 Email。請求數字簽名信息。 弱點：如果攻擊者入侵了員工的計算機并通過鍵盤記錄程序獲取了密碼，他便可以像普通員工一樣發(fā)送數字簽名 。 個人語音識別。通過聲音判斷請求者的身份。 弱點：這是相當安全的方法，攻擊者無法輕易突破，但是如果沒有見過請求者（或 者和請求者說過話），這一方法就沒有任何用處。 動態(tài)密碼方案。請求者通過一個動態(tài)的密碼方案（比如安全 ID）識別自身。 弱點：攻擊者可以獲取其中的動態(tài)密碼設備和相應的員工 PIN 碼，或者欺騙員工讀出PIN 設備上顯示的信息。 佩戴 ID。請求者佩戴員工證件或其它合適的照片 ID。 弱點：攻擊者可以偷竊員工證件，或者直接偽造一張。然而，攻擊者通常會避免這樣做，以減小被發(fā)現的可能性。 第二步： 驗證員工身份 最大的信息安全威脅并不是專業(yè)的社會工程師，也不是熟練的計算機入侵者，而是剛剛解雇想要報復或者偷竊公司商業(yè)信息 的員工。（注意，這