剖析網(wǎng)絡(luò)安全中的社會工程學(xué)

　什么是社會工程學(xué)？

　　總體上來說，社會工程學(xué)就是使人們順從你的意愿、滿足你的欲望的一門藝術(shù)與學(xué)問。它并不單純是一種控制意志的途徑，但它不能幫助你掌握人們在非正常意識以外的行為，且學(xué)習(xí)與運用這門學(xué)問一點也不容易。

　　它同樣也蘊涵了各式各樣的靈活的構(gòu)思與變化著的因素。無論任何時候，在需要套取到所需要的信息之前，社會工程學(xué)的實施者都必須：掌握大量的相關(guān)知識基礎(chǔ)、花時間去從事資料的收集與進(jìn)行必要的如交談性質(zhì)的溝通行為。與以往的的入侵行為相類似，社會工程學(xué)在實施以前都是要完成很多相關(guān)的準(zhǔn)備工作的，這些工作甚至要比其本身還要更為繁重。

　　你也許會認(rèn)為我們現(xiàn)在的論點只是集中在證明“怎樣利用這種技術(shù)也能進(jìn)行入侵行為”的一個突破口上。好了，其實這樣夠公平的了。無論怎么說，“知道這些方法是如何運用的”也是唯一能防范和抵御這類型的入侵攻擊的手段了。從這些技術(shù)中提取而得出的知識可以幫助你或者你的機(jī)構(gòu)預(yù)防這類型的攻擊。在出現(xiàn)社會工程學(xué)攻擊這類型攻擊的情況下，像CERT發(fā)放的、略帶少量相關(guān)信息的警告是毫無意義的。它們通常都將簡單地歸結(jié)于：“有的人通過‘假裝某些東西是真的’的方式去嘗試訪問你的系統(tǒng)。不要讓他們得逞。”然而，這樣的現(xiàn)象卻常有發(fā)生。

　　那又如何呢？

　　社會工程學(xué)定位在計算機(jī)信息安全工作鏈路的一個最脆弱的環(huán)節(jié)上。我們經(jīng)常講：最安全的計算機(jī)就是已經(jīng)拔去了插頭（注釋：網(wǎng)絡(luò)接口）的那一臺（注釋：“物理隔離”）。真實上，你可以去說服某人（注釋：使用者）把這臺非正常工作狀態(tài)下的、容易受到攻擊的（注釋：有漏洞的）機(jī)器接上插頭（注釋：連上網(wǎng)絡(luò)）并啟動（注釋：提供日常的服務(wù)）。

　　也可以看出，“人”這個環(huán)節(jié)在整個安全體系中是非常重要的。這不像地球上的計算機(jī)系統(tǒng)，不依賴他人手動干預(yù)（注釋：人有自己的主觀思維）。由此意味著這一點信息安全的脆弱性是普遍存在的，它不會因為系統(tǒng)平臺、軟件、網(wǎng)絡(luò)又或者是設(shè)備的年齡等因素不相同而有所差異。

　　無論是在物理上還是在虛擬的電子信息上，任何一個可以訪問系統(tǒng)某個部分（注釋：某種服務(wù)）的人都有可能構(gòu)成潛在的安全風(fēng)險與威脅。任何細(xì)微的信息都可能會被社會工程學(xué)使用者用著“補給資料”來運用，使其得到其它的信息。這意味著沒有把“人”（注釋：這里指的是使用者/管理人員等的參與者）這個因素放進(jìn)企業(yè)安全管理策略中去的話將會構(gòu)成一個很大的安全“裂縫”。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]