2024年9月21日 11:11:44

2024-09-21 11:11:43 +08:00 · 2024-09-21 11:11:43 +08:00 · 2efb9f3351
commit 2efb9f3351
parent 66e46bc25c
1 changed files with 108 additions and 2 deletions
--- a/05_第五章安全工程与运营/5.4
+++ b/05_第五章安全工程与运营/5.4
@ -1,8 +1,115 @@
 # 社会工程学与培训教育

-> 
+> **一、社会工程学**<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>社会工程学攻击的概念及在信息安全中的重要性；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:black;">了解</span>社会工程学利用的6种“人类天性基本倾向”；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>社会工程学攻击方式及防御措施。
+>
+> **二、培训教育**<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:black;">了解</span>“人”在信息安全体系中的作用；<br>
+> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>以建立持续化体系的方式实施信息安全培训的必要性。

 ### 一、社会工程学
+
+#### 1、什么是社会工程学攻击
+
+- 利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法
+
+  人性的弱点（Robert B Cialdini）：
+
+  - 信任权威
+  - 信任共同爱好
+  - 获得好处后报答
+  - 期望守信
+  - 期望社会认可
+  - 短缺资源的渴望
+  - ... ...
+
+#### 2、社会工程学的危险
+
+- <span style="color:blue;">永远有效的攻击方法</span>
+- <span style="color:blue;">人是最不可控的因素</span>
+
+> 凯文·米特尼克在他所著的关于社会工程学书籍《欺骗的艺术》中这样形容社会工程师：**一个无所顾忌的魔术师，用他的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是件荣幸的事情。**
+
+#### 3、传统社会中的社会工程学
+
+- 中奖通知
+- 欠费电话
+- 退税短信
+- 催交房租
+- ... ...
+
+#### 4、网络社会的社会工程学
+
+- 直接用于攻击
+  - 正面攻击（直接索取）
+  - 建立信任
+  - 利用同情、内疚和胁迫
+  - ... ...
+- 间接用于攻击
+  - 口令破解中的社会工程学利用
+  - 网络攻击中的社会工程学利用
+
+#### 5、社会工程学防御
+
+1. 安全意识培训
+
+   - 知道什么是社会工程学攻击
+   - 社会工程学攻击利用什么
+
+   > 安全意识：是信息安全的最低标准。<br>
+   > 培训：向工作人员提供具体知识，以便他们履行职责。
+
+2. 建立相应的安全响应应对措施
+
+   - 不构建完善的技术防御体系
+   - 有效的安全管理体系和操作流程
+
+3. 注意保护个人隐私
+
+   - 保护生日、年龄、E-mail邮件地址、手机号码、家庭电话号码等信息 
+
+   ![image-20240921110842247](C:\Users\login\AppData\Roaming\Typora\typora-user-images\image-20240921110842247.png)
+
+### 二、培训及教育
+
+1、人员培训的重要性
+
+2、培训应持续性
+
+3、建立培训计划
+
+4、培训与发展挂钩
+
+
+
+<span style="color:red;">所有安全措施的基石都是教育：</span> 
+
+1. 首次加入组织时加以培训
+2. 定期接受最新的培训
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+



@ -10,4 +117,3 @@



-### 二、培训及教育