From 2efb9f3351a15be7886da3437b691eb1be1c6998 Mon Sep 17 00:00:00 2001 From: Noriu Date: Sat, 21 Sep 2024 11:11:43 +0800 Subject: [PATCH] =?UTF-8?q?2024=E5=B9=B49=E6=9C=8821=E6=97=A5=2011:11:44?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../5.4 社会工程学与培训教育.md | 110 +++++++++++++++++- 1 file changed, 108 insertions(+), 2 deletions(-) diff --git a/05_第五章 安全工程与运营/5.4 社会工程学与培训教育.md b/05_第五章 安全工程与运营/5.4 社会工程学与培训教育.md index 65d96f3..0599842 100644 --- a/05_第五章 安全工程与运营/5.4 社会工程学与培训教育.md +++ b/05_第五章 安全工程与运营/5.4 社会工程学与培训教育.md @@ -1,8 +1,115 @@ # 社会工程学与培训教育 -> +> **一、社会工程学**
+>     理解社会工程学攻击的概念及在信息安全中的重要性;
+>     了解社会工程学利用的6种“人类天性基本倾向”;
+>     理解社会工程学攻击方式及防御措施。 +> +> **二、培训教育**
+>     了解“人”在信息安全体系中的作用;
+>     理解以建立持续化体系的方式实施信息安全培训的必要性。 ### 一、社会工程学 + +#### 1、什么是社会工程学攻击 + +- 利用人性弱点(本能反应、贪婪、易于信任等)进行欺骗获取利益的攻击方法 + + 人性的弱点(Robert B Cialdini): + + - 信任权威 + - 信任共同爱好 + - 获得好处后报答 + - 期望守信 + - 期望社会认可 + - 短缺资源的渴望 + - ... ... + +#### 2、社会工程学的危险 + +- 永远有效的攻击方法 +- 人是最不可控的因素 + +> 凯文·米特尼克在他所著的关于社会工程学书籍《欺骗的艺术》中这样形容社会工程师:**一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。** + +#### 3、传统社会中的社会工程学 + +- 中奖通知 +- 欠费电话 +- 退税短信 +- 催交房租 +- ... ... + +#### 4、网络社会的社会工程学 + +- 直接用于攻击 + - 正面攻击(直接索取) + - 建立信任 + - 利用同情、内疚和胁迫 + - ... ... +- 间接用于攻击 + - 口令破解中的社会工程学利用 + - 网络攻击中的社会工程学利用 + +#### 5、社会工程学防御 + +1. 安全意识培训 + + - 知道什么是社会工程学攻击 + - 社会工程学攻击利用什么 + + > 安全意识:是信息安全的最低标准。
+ > 培训:向工作人员提供具体知识,以便他们履行职责。 + +2. 建立相应的安全响应应对措施 + + - 不构建完善的技术防御体系 + - 有效的安全管理体系和操作流程 + +3. 注意保护个人隐私 + + - 保护生日、年龄、E-mail邮件地址、手机号码、家庭电话号码等信息 + + ![image-20240921110842247](C:\Users\login\AppData\Roaming\Typora\typora-user-images\image-20240921110842247.png) + +### 二、培训及教育 + +1、人员培训的重要性 + +2、培训应持续性 + +3、建立培训计划 + +4、培训与发展挂钩 + + + +所有安全措施的基石都是教育: + +1. 首次加入组织时加以培训 +2. 定期接受最新的培训 + + + + + + + + + + + + + + + + + + + + + + @@ -10,4 +117,3 @@ -### 二、培训及教育 \ No newline at end of file