信息安全之社会工程学[5]：如何防范？

　　经过前面几个帖子的介绍，大伙儿应该能看出来，社会工程学的应用范围是很广泛滴。它的应用会涉及日常生活的许多领域，绝不仅限于信息安全。所以，如何防范就是一个重要的话题了。今年咱们就来聊一下如何防范。

　　★组织机构该如何做？
　　如果你是某公司/某机构里的一个小头目或大头目、甚至老板，那就得多看看这一节；否则的话，直接跳过本节，看下一个章节（个人该如何做）。

　　◇普及教育
　　最要紧的一条就是普及教育了。否则俺也不会在电脑前吭哧吭哧打这么多字，写这么个系列了。一些常识性的基础培训是很重要滴。按照二八原理 ，20%的简单培训就可以防范80%的潜在攻击。由于“人 ”是社会工程攻击的主要对象，并且有经验的攻击者都善于寻找组织机构的弱点，所以普及教育务必要涵盖到每一个人（连公司的扫地阿姨也不要放过哦:- ）。
　　另外要强调的一点是：要重视对新员工的培训。很多时候，新员工往往是攻击者的突破点。首先，新员工初来乍到，跟周围的同事不熟，容易把攻击者误认为同事；其次，新员工往往怕得罪人，容易答应攻击者的各种要求。

　　◇严格的认证
　　认证（Authentication）是一个信息安全的常用术语。通俗地说，认证就是解决某人到底是谁 ？
　　由于大部分的攻击者都会用到“身份冒充”这个步骤，所以认证就显得非常必要。只要进行一些简单的身份确认，就能够识破大多数假冒者。比如碰到公司内不认识的人找你索要敏感资料（参见“这里 ”的示例），你可以把电话打回去进行确认（最好是打回公司内部的座机）。

　　◇严格的授权
　　授权（Authorization）和认证一样，也是一个常用的信息安全术语。通俗地说，授权就是解决某人到底能干啥 ？
　　对于组织机构来说，授权要尽量细化、尽量最小化。
　　举个例子。如果某软件公司中，所有的 程序员都可以访问所有的 源代码，那源代码泄漏的风险就很大。只要有一个人出问题，攻击者就可以得逞；反之，如果每个人只能看到自己开发的那部分代码，那安全风险就会小很多。即使某人上当受骗，也只会泄漏部分代码。

　　◇信息分类
　　在组织机构中，最好要有信息分类的制度。根据信息的重要程度，定出若干级别。越是机密的信息，知道的人越少。
　　比如在我负责的团队中，源代码的敏感度高于软件安装包。因此，源代码服务器只有开发人员能够访问；而放置安装包的发布服务器，大部分人（比如测试人员、产品人员）都可以访问。

　　◇别乱丢办公垃圾
　　看完信息收集的帖子 ，大伙儿应该明白，乱扔垃圾可不光是砸到花花草草的问题，更危险的是给垃圾分析者提供了大量有价值的素材。这也就是为啥要给扫地阿姨培训社会工程学的道理。

　　◇文化
　　最后再来说一下企业文化对社会工程攻击的影响。
　　在之前的帖子 ，俺已经介绍了“通过权威来施加压力”的攻击手法。如果某个组织机构的等级很森严，就容易给攻击者留下利用的机会。还有一些组织机构，里面的人员都是好好先生，每个角落都是一团和气。这种机构和等级森严的组织一样，容易被攻击者利用。
　　所以，假如你碰巧是组织机构内部的一个实权人物，或许可以尝试改变一下现状。不过俺要提醒一句，一个组织机构（尤其是政府机构）的文化是很难轻易改变滴。所以，别对这个招数报太大希望 :-(

　　★个人该如何做？
　　前面介绍了企业内部的防范措施，接着就该说说个人该如何应对了。
　　◇多了解一些社会工程学的手法
　　俗话说：知己知彼，百战不殆。如果你不想被人坑蒙拐骗，那就得多了解一些坑蒙拐骗的招数。除了俺提到过好几次的《欺骗的艺术 》（凯文·米特尼克 所著），你还可以通过互联网找到很多类似的资料。这些资料有助于你了解各种新出现的社会工程的手法。
　　另外，很多文学作品、影视节目也会掺杂社会工程学的情节。比如前段时间热播的《潜伏》，里面的主人公余则成显然是一个社会工程学老手。细心的同学应该能从中窥探到不少奥妙。

　　◇保持理性
　　在如何施加影响的帖子 里，俺已经列举了很多种手法。这些手法不外乎都是利用人感性的弱点 ，然后施加影响。所以，尽量保持理性的思维（尤其在和陌生人沟通时）有助于减少你被攻击者忽悠的概率。不过捏，保持理性，说起来简单，做起来未必简单 :-( 以后俺有空再来聊聊这方面的话题。

　　◇保持一颗怀疑的心
　　这年头，除了骗子是真的，啥都可能是假的。比如，你收到的邮件，发件人地址是很容易伪造滴；比如，你公司座机上看到的来电显示，也可以被伪造；比如，你收到的手机短信，发短信的号码也可以伪造。
　　所以，保持一颗怀疑的心，也是非常必要的啊！

　　◇别乱丢生活垃圾
　　不光上述提到的办公垃圾有潜在风险，生活垃圾一样也会被垃圾分析者利用。比如有些粗心的同学会把帐单、发票、取款机凭条等东西随意丢在垃圾桶中。一旦碰上有经验的垃圾分析者，你没准就麻烦了。

---

版权声明
本博客所有的原创文章，作者皆保留版权。转载必须包含本声明，保持本文完整，并以超链接形式注明作者编程随想 和本文原始地址：

http://program-think.blogspot.com/2009/07/social-engineering-5-defend.html