【正文】 在現(xiàn)實(shí)中，他們不應(yīng)在沒(méi)有嚴(yán)格驗(yàn)證的情況下完全相信別人 ，雖然他們更愿意在拿不準(zhǔn)把別人往好處想。 對(duì)任何請(qǐng)求信息或操作的人進(jìn)行身份驗(yàn)證與授權(quán)驗(yàn)證的重要性 保護(hù)敏感信息的程序，包括熟悉所有的數(shù)據(jù)分類系統(tǒng)。 公司的安全策略與程序的定位，保護(hù)信息與企業(yè)信息系統(tǒng)的重要性。 關(guān)鍵安全策略與它們的含義匯總。例如，指導(dǎo)每一個(gè)員工設(shè)定高強(qiáng)度的密碼。 每一個(gè)員工遵守策略的職責(zé)與不服從的后果。 通過(guò)解說(shuō)社會(huì)工程學(xué)介紹幾種交互類型。攻擊者為了達(dá)到他（或她）的目標(biāo)，會(huì)非常頻繁地使用不同的技術(shù)和通信方式，因此，一個(gè)成熟的培訓(xùn)程序應(yīng)當(dāng)包括以下內(nèi)容的一部分或全部： 涉及到計(jì)算機(jī)和語(yǔ)音信箱密 碼的安全策略。 解密敏感信息或資料的程序。 Email 使用策略，包括防范惡意代碼攻擊（病毒、蠕蟲(chóng)和特洛伊木馬）的安全措施。 物理安全要求，比如佩戴證件。 在遇到未佩戴證件的人時(shí)，有詢問(wèn)質(zhì)疑的責(zé)任。 良好的語(yǔ)音郵件安全習(xí)慣。 如何確定信息分類和適當(dāng)?shù)陌踩胧? 適當(dāng)?shù)奶幚砻舾形臋n和過(guò)去存放過(guò)機(jī)密資料的計(jì)算機(jī)媒體。 同樣，如果公司計(jì)劃使用滲透測(cè)試來(lái)確定針對(duì)社會(huì)工程學(xué)攻擊的安全措施是否有效，應(yīng)當(dāng)警告員工注意這次練習(xí)，讓員工們知道有時(shí)候他們會(huì)接到使用了攻擊技術(shù)的電話或其它通訊，作為測(cè)試的一部分。測(cè)試的結(jié)果不會(huì)有任何 懲罰，但是可能會(huì)需要一定范圍內(nèi)的額外培訓(xùn)。 測(cè)試 你的公司可能需要在員工使用計(jì)算機(jī)系統(tǒng)之前測(cè)試他們是否已經(jīng)掌握了這些安全知識(shí)。如果你想設(shè)計(jì)一個(gè)測(cè)試程序，有許多評(píng)價(jià)設(shè)計(jì)軟件程序能讓你輕松地分析測(cè)試的結(jié)果，鎖定需要強(qiáng)化培訓(xùn)的范圍。 你的公司可能會(huì)考慮提供一張證書(shū)作為獎(jiǎng)勵(lì)證明員工完成了安全培訓(xùn)。 作為完成程序的一部分，建議讓每一個(gè)員工簽署一份遵守安全策略和規(guī)定的同意書(shū)。調(diào)查報(bào)告顯示，簽署了同意書(shū)的人會(huì)更加嚴(yán)格地遵守程序。 持續(xù) 的培訓(xùn) 如果不周期性的復(fù)習(xí)，大部分人會(huì)把學(xué)到的知識(shí)（甚至重要的事件）忘掉。為了不讓員工忘 記如何防范社會(huì)工程學(xué)攻擊，持續(xù)的培訓(xùn)程序非常重要。 一種讓員工記憶深刻的方法是把安全作為他們特殊的工作職責(zé)，這能讓員工認(rèn)為他們?cè)诠景踩w系內(nèi)扮演著至關(guān)重要的角色，否則員工會(huì)強(qiáng)烈地傾向于安全“不是我的工作”。 當(dāng)安全部門或信息技術(shù)部門的人承擔(dān)了一個(gè)信息安全程序全部的職責(zé)時(shí)，信息安全培訓(xùn)程序最好的結(jié)構(gòu)是與培訓(xùn)部門協(xié)同合作。 持續(xù)的培訓(xùn)程序需要?jiǎng)?chuàng)造性地使用所有可能的頻道傳輸安全訊息，因?yàn)橛洃浀目纱鎯?chǔ)性，員工們會(huì)不時(shí)地想起好的安全習(xí)慣。除了使用所有傳統(tǒng)的頻道之外，還要加上許多能夠想到的非傳統(tǒng)方式，就像傳統(tǒng)的廣告一 樣，幽默、靈活地提供幫助。靈活多變的訊息可以讓員工更加熟悉安全策略而無(wú)法忽視。 持續(xù)的培訓(xùn)程序可能包括以下內(nèi)容： 提供本書(shū)的復(fù)印件給所有員工。 在公司的新聞通訊中添加以下內(nèi)容：文檔，封裝的提示（簡(jiǎn)短、引人注目的內(nèi)容），比如漫畫。 張貼當(dāng)月的安全員工照片。 在員工區(qū)域張貼海報(bào)。 張貼公告牌通知。 為支票信封提供打印的外殼。 發(fā)送 提示。 使用安全相關(guān)的屏幕保護(hù)程序。 通過(guò)語(yǔ)音信箱系統(tǒng)廣播安全提示。 打印電話貼紙，“你的呼叫者是他所聲稱的那個(gè)人嗎？” 設(shè)置電腦登錄時(shí)的提示信息，比如“如果你要發(fā)送機(jī)密信息 到 ，把它加密。” 把安全知識(shí)作為員工財(cái)政報(bào)告和年度評(píng)價(jià)的標(biāo)準(zhǔn)內(nèi)容。 在 intra（企業(yè)內(nèi)網(wǎng)）上提供安全知識(shí)提示，可以使用漫畫或者幽默文字，或者其它能吸引員工閱讀的方式。 在自助餐廳使用電子訊息顯示板，頻繁地更換安全提示。 分發(fā)傳單或小冊(cè)子。 威脅總是存在，安全提示最好也總是存在。 推薦的信息安全策略 制定程序的步驟 一個(gè)全面的信息安全程序通常從威脅評(píng)估開(kāi)始： 需要保護(hù)哪些企業(yè)信息資產(chǎn)？ 有哪些針對(duì)這些資產(chǎn)的具體威脅？ 如果這些潛在的威脅成為現(xiàn)實(shí)會(huì)對(duì)企業(yè)造成哪些損失？ 威脅評(píng)估的主要目標(biāo)是對(duì) 需要立即保護(hù)的信息資產(chǎn)按優(yōu)先次序排列，而不是對(duì)安全措施進(jìn)行成本效益分析。首先想一想，哪些資產(chǎn)需要首先保護(hù)，保護(hù)這些資產(chǎn)需要花多少錢。 高級(jí)管理人員的支出和對(duì)安全策略和信息安全程序的大力支持非常重要。正如其它的企業(yè)程序一樣，如果一個(gè)安全程序成功了，管理層可以對(duì)其進(jìn)行推廣，前提是要有個(gè)人案例證明其有效性。員工們需要意識(shí)到信息安全和保護(hù)公司商業(yè)信息的重要性，每一個(gè)員工的工作都依賴于這一程序的成功。 設(shè)計(jì)信息安全策略藍(lán)圖的人需要以非技術(shù)員工也能輕松理解的通俗方式書(shū)寫安全策略，并解釋為什么這些是重要的，否則員工可能會(huì) 認(rèn)為一些策略是在浪費(fèi)時(shí)間而對(duì)其忽略。策略書(shū)寫者應(yīng)當(dāng)創(chuàng)建一份介紹這些策略的文檔，并把它們分開(kāi)來(lái)，因?yàn)檫@些策略可能會(huì)在執(zhí)行的時(shí)候有小范圍的修改。 另外，策略的書(shū)寫者應(yīng)當(dāng)了解哪些安全技術(shù)能被用來(lái)進(jìn)行信息安全培訓(xùn)。例如，大部分的操作系統(tǒng)都能用指定的規(guī)則（比如長(zhǎng)度）限制用戶密碼。在一些公司，可以通過(guò)操作系統(tǒng)的本地或全局策略阻止用戶下載程序。在允許的情況下，策略應(yīng)當(dāng)要求使用安全技術(shù)代替人為的判斷。 必須忠告員工不遵守安全策略與程序的后果，應(yīng)當(dāng)制定并宣傳違反策略的處罰。同樣，要對(duì)表現(xiàn)優(yōu)異或者發(fā)現(xiàn)并報(bào)告了安全事件的員工進(jìn)行 獎(jiǎng)勵(lì)。當(dāng)一名員工受到獎(jiǎng)勵(lì)時(shí)，應(yīng)當(dāng)在公司范圍內(nèi)廣泛地宣傳，比如在公司時(shí)訊中寫一篇文章。 安全培訓(xùn)程序的一個(gè)目標(biāo)是傳達(dá)安全策略的重要性和不遵守這些規(guī)則的后果。拜人性所賜，員工們有時(shí)候會(huì)忽略或繞過(guò)那些看上去不合理或者太費(fèi)時(shí)間的策略。管理層有責(zé)任讓員工們了解其重要性與制定這些策略的原因，而不是簡(jiǎn)單地告訴他們繞過(guò)策略是不允許的。 值得注意的是，信息安全策略不是固定不變的，就像商業(yè)需要變化一樣，新的安全技術(shù)和新的安全漏洞使得策略在不斷的修改或補(bǔ)充。應(yīng)當(dāng)加入常規(guī)的評(píng)估與更新程序，可以通過(guò)企業(yè)內(nèi)網(wǎng)或公共文件夾讓企業(yè)安全策略 與程序不斷更新，這增加了對(duì)策略與程序頻繁審核的可能性，并且員工可以從中找到任何與信息安全有關(guān)的問(wèn)題和答案。 最后，使用社會(huì)工程學(xué)方法與策略進(jìn)行的周期性滲透測(cè)試與安全評(píng)估應(yīng)當(dāng)暴露出培訓(xùn)或公司策略和程序的不足。對(duì)于之前使用的任何欺騙滲透測(cè)試策略，應(yīng)當(dāng)告知員工有時(shí)候可能會(huì)進(jìn)行這種測(cè)試。 怎樣使用這些策略 這些策略只是對(duì)減輕所有安全威脅非常重要的信息安全策略子集，因此，這些策略并不是一個(gè)完整的列表，更確切的說(shuō)，它們是創(chuàng)建合適的安全策略的基礎(chǔ)。 企業(yè)的策略書(shū)寫者可以基于他們公司的獨(dú)特環(huán)境和商業(yè)目的選擇適合的策略。每一 家有不同安全需求（基于商業(yè)需要、法律規(guī)定、企業(yè)文化和信息系統(tǒng)）的企業(yè)都能在這些介紹找到所需的策略，而忽略其它的內(nèi)容。 每一種策略都會(huì)提供不同的安全等級(jí)選擇。大部分員工都互相認(rèn)識(shí)的小型公司不需要擔(dān)心攻擊者會(huì)通過(guò)電話冒充員工（當(dāng)然攻擊者還可以偽裝成廠商）。同樣，一家企業(yè)文化輕松休閑的公司可能會(huì)希望只用這些策略中的一部分來(lái)達(dá)到它的安全目標(biāo)，雖然這樣做會(huì)增加風(fēng)險(xiǎn)。 數(shù)據(jù)分類 數(shù)據(jù)分類策略是保護(hù)企業(yè)信息資產(chǎn)、管理敏感信息存取的基礎(chǔ)。這一策略能讓所有員工了解每一種信息的敏感等級(jí)，從而提供了保護(hù)企業(yè)信息的框架。 沒(méi)有數(shù)據(jù) 分類策略的操作 —— 幾乎所有公司的現(xiàn)狀 —— 使得的大部分的控制權(quán)掌握在少數(shù)員工手里?？上攵瑔T工的決定在很大程度上依賴于主觀判斷，而不是信息的敏感性、關(guān)鍵程度和價(jià)值。如果員工不了解被請(qǐng)求信息的潛在價(jià)值，他們可能會(huì)把它交到一名攻擊者手里。 數(shù)據(jù)分類策略詳細(xì)說(shuō)明了信息的貴重程度。有了數(shù)據(jù)分類，員工就可以通過(guò)一套數(shù)據(jù)處理程序保護(hù)公司安全，避免因疏忽而泄漏敏感信息，這些程序降低了員工將敏感信息交給未授權(quán)者的可能性。 每一個(gè)員工都必須接受企業(yè)數(shù)據(jù)分類策略培訓(xùn)，包括那些并不經(jīng)常使用計(jì)算機(jī)或企業(yè)通信系統(tǒng)的人。因?yàn)槠髽I(yè)中的每 一個(gè)人 —— 包括清潔工、門衛(wèi)、復(fù)印室職員、顧問(wèn)和承包人，甚至是實(shí)習(xí)醫(yī)生 —— 都有可能訪問(wèn)敏感信息，任何人都能成為攻擊的目標(biāo)。 管理層必須指定一個(gè)信息所有者負(fù)責(zé)公司目前正在使用的任何信息，信息所有者的職責(zé)之一就是保護(hù)信息資產(chǎn)。通常，所有者負(fù)責(zé)確定基于信息保護(hù)需要的分類等級(jí)，周期性地評(píng)估分類等級(jí)，并在必要的時(shí)候?qū)ζ溥M(jìn)行修改，信息所有者可能還會(huì)負(fù)責(zé)指定管理人員或其他人員來(lái)保護(hù)數(shù)據(jù)。 分類類別與定義 應(yīng)當(dāng)基于敏感程度將信息分成不同的分類等級(jí)。一旦建立了詳細(xì)的分類系統(tǒng)，重新分類信息將十分昂貴和費(fèi)時(shí)。依靠敏感信息的編號(hào)和 分類，商業(yè)公司可以選擇增加更多分類以適應(yīng)將來(lái)的特殊類型。在小 型商業(yè)公司，三個(gè)等級(jí)的分類方案可能就夠了。另外分類方案不宜太 復(fù)雜，企業(yè)培訓(xùn)員工和執(zhí)行方案的費(fèi)用就 高。 機(jī)密是最敏感的信息分類，機(jī)密信息只能在企業(yè)內(nèi)部使用。在大多數(shù)情況下，機(jī)密信息只能讓少數(shù)有必要知道的人訪問(wèn)。機(jī)密信息的泄漏會(huì)嚴(yán)重影響到公司（股東、商業(yè)伙伴和（或）客戶）。機(jī)密信息通常包括以下內(nèi)容： 商業(yè)機(jī)密信息、私有源代碼、技術(shù)或規(guī)格說(shuō)明書(shū)、能被競(jìng)爭(zhēng)者利用的產(chǎn)品信息。 并不公開(kāi)的銷售和財(cái)政信息。 關(guān)系到公司運(yùn)轉(zhuǎn)的其它任何信息，比如商業(yè)戰(zhàn)略前景。 私有是僅在企業(yè)內(nèi)部使用的個(gè)人信息分類。如果未授權(quán)的人（尤其是社會(huì)工程師）獲得了私有信息，員工和公司都將受到嚴(yán)重影響。私有信息內(nèi)容包括：?jiǎn)T工病歷、健康補(bǔ)助、銀行帳戶、加薪歷史，和其它任何沒(méi)有公共存檔的個(gè)人識(shí)別信息。 內(nèi)部信息分類能提供給任何受雇于企業(yè)的員工。通常，內(nèi)部信息的泄漏不會(huì)對(duì)公司（股東、商業(yè)伙伴、客戶或員工）造成嚴(yán)重影響，但是，熟悉社會(huì)工程學(xué)技能的人能用這些信息偽裝成一個(gè)已授權(quán)的員工、承包人或者廠商，從沒(méi)有絲毫懷疑的員工那里獲得更多敏感信息突破企業(yè)計(jì)算機(jī)系統(tǒng)的訪問(wèn)限制。 必須在傳遞內(nèi)部信息給第三方（提 供商、承包人、合作公司等等）之前與其簽署一份保密協(xié)議。內(nèi)部信息通常包括任何在日常工作中使用的、不能讓外部人員知道的信息，比如企業(yè)機(jī)構(gòu)圖、網(wǎng)絡(luò)撥號(hào)號(hào)碼、內(nèi)部系統(tǒng)名、遠(yuǎn)程訪問(wèn)程序、核心代碼成本、等等。 公共信息被明確規(guī)定為公共可用。這種信息類型，比如新聞稿、客服聯(lián)系信息或者產(chǎn)品手冊(cè)，能自由地提供給任何人。需要注意的是，任何為指定為公共可用的信息都應(yīng)當(dāng)視為敏感信息。 數(shù)據(jù)分類術(shù)語(yǔ) 基于其分類，數(shù)據(jù)應(yīng)當(dāng)由不同的人負(fù)責(zé)。 驗(yàn)證與授權(quán)程序 信息竊賊通常會(huì)偽裝成合法的員工、承包人、廠商或商業(yè)伙伴，使用欺騙策略訪問(wèn)機(jī)密商 業(yè)信息。為了保護(hù)信息安全，員工在接受操作請(qǐng)求或提供敏感信息之前，必須確認(rèn)呼叫者的身份并驗(yàn)證他的權(quán)限。 此推薦的程序能幫助一名收到請(qǐng)求（通過(guò)任何通訊方式，比如電話、 或傳真）的員工判斷其是否合法。 可信者的請(qǐng)求 針對(duì)可信者的信息或操作請(qǐng)求： 確認(rèn)其是否當(dāng)前受雇于公司或者有權(quán)訪問(wèn)這一信息分類，這能阻止離職員工、廠商、承包人、和其他不再與公司有關(guān)系的人冒充可信的職員。 驗(yàn)證此人是否有權(quán)訪問(wèn)信息或請(qǐng)求操作。 未核實(shí)者的請(qǐng)求 當(dāng)遇到未核實(shí)者的請(qǐng)求時(shí)，必須使用一個(gè)合理的驗(yàn)證程序確認(rèn)請(qǐng)求者是否有權(quán)接收請(qǐng)求的信息， 尤其是當(dāng)請(qǐng)求涉及到任何計(jì)算機(jī)或計(jì)算機(jī)相關(guān)的設(shè)備時(shí)。這一程序成功防范社會(huì)工程學(xué)攻擊的關(guān)鍵：只要實(shí)施了這些驗(yàn)證程序，社會(huì)工程學(xué)攻擊成功的可能性將大大減小。 需要注意的是，如果你把程序設(shè)置得過(guò)于復(fù)雜，將超過(guò)成本限制并被員工忽略。 下面列出了詳細(xì)的驗(yàn)證程序步驟 ： 驗(yàn)證請(qǐng)求者是他（或她）所聲稱的那個(gè)人。 確認(rèn)請(qǐng)求者當(dāng)前受雇于公司或者與公司有須知關(guān)系。 確認(rèn)請(qǐng)求者已被授權(quán)接收指定信息或請(qǐng)求操作。 第一步： 驗(yàn)證身份 以下列出的推薦步驟按有效性從低到高排列，每一條中還加入了社會(huì)工程師行騙的詳細(xì)說(shuō)明。 來(lái)電顯示（假設(shè) 這一功能已經(jīng)包括在了公司的電話系統(tǒng)之中）。用來(lái)電顯示確認(rèn)電話是來(lái)自公司內(nèi)部還是公司外部，顯示的名字和電話號(hào)碼是否符合呼叫者提供的身份。 弱點(diǎn)：外部來(lái)電顯示信息可以被任何能用 PBX 或者電話交換機(jī)連接到數(shù)字電話服務(wù)的人偽造。 回?fù)?。在公司的目錄中查詢?qǐng)求者的名字，并通過(guò)列出的分機(jī)號(hào)碼回?fù)艽_認(rèn)請(qǐng)求者的身份。 弱點(diǎn)：當(dāng)員工回?fù)茈娫挄r(shí)，準(zhǔn)備充分的攻擊者可以將其呼叫轉(zhuǎn)移到一個(gè)外部的電話號(hào)碼。 擔(dān)保。由一個(gè)可信的人為請(qǐng)求者的身份擔(dān)保。 弱點(diǎn)：攻擊者可以偽裝成一個(gè)可信員工，讓另一個(gè)員工為他擔(dān)保。 接頭暗號(hào)。在企 業(yè)范圍內(nèi)使用接頭暗號(hào)，比如每日密碼。 弱點(diǎn)：如果有很多人知道這個(gè)接頭暗號(hào)，攻擊者也可以輕易地知道。 員工管理員 /經(jīng)理。打電話給員工的頂頭上司并請(qǐng)求驗(yàn)證。 弱點(diǎn)：如果請(qǐng)求者提供了他（或她）的上司的電話號(hào)碼，員工聯(lián)系上的也許是攻擊者的同謀。 安全 Email。請(qǐng)求數(shù)字簽名信息。 弱點(diǎn)：如果攻擊者入侵了員工的計(jì)算機(jī)并通過(guò)鍵盤記錄程序獲取了密碼，他便可以像普通員工一樣發(fā)送數(shù)字簽名 。 個(gè)人語(yǔ)音識(shí)別。通過(guò)聲音判斷請(qǐng)求者的身份。 弱點(diǎn)：這是相當(dāng)安全的方法，攻擊者無(wú)法輕易突破，但是如果沒(méi)有見(jiàn)過(guò)請(qǐng)求者（或 者和請(qǐng)求者說(shuō)過(guò)話），這一方法就沒(méi)有任何用處。 動(dòng)態(tài)密碼方案。請(qǐng)求者通過(guò)一個(gè)動(dòng)態(tài)的密碼方案（比如安全 ID）識(shí)別自身。 弱點(diǎn)：攻擊者可以獲取其中的動(dòng)態(tài)密碼設(shè)備和相應(yīng)的員工 PIN 碼，或者欺騙員工讀出PIN 設(shè)備上顯示的信息。 佩戴 ID。請(qǐng)求者佩戴員工證件或其它合適的照片 ID。 弱點(diǎn)：攻擊者可以偷竊員工證件，或者直接偽造一張。然而，攻擊者通常會(huì)避免這樣做，以減小被發(fā)現(xiàn)的可能性。 第二步： 驗(yàn)證員工身份 最大的信息安全威脅并不是專業(yè)的社會(huì)工程師，也不是熟練的計(jì)算機(jī)入侵者，而是剛剛解雇想要報(bào)復(fù)或者偷竊公司商業(yè)信息 的員工。（注意，這