# 社会工程学与培训教育

> **一、社会工程学**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>社会工程学攻击的概念及在信息安全中的重要性；<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>社会工程学利用的6种“人类天性基本倾向”；<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>社会工程学攻击方式及防御措施。
>
> **二、培训教育**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>“人”在信息安全体系中的作用；<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>以建立持续化体系的方式实施信息安全培训的必要性。

### 一、社会工程学

#### 1、什么是社会工程学攻击

- 利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法

  人性的弱点（Robert B Cialdini）：

  - 信任权威
  - 信任共同爱好
  - 获得好处后报答
  - 期望守信
  - 期望社会认可
  - 短缺资源的渴望
  - ... ...

#### 2、社会工程学的危险

- <span style="color:blue;">永远有效的攻击方法</span>
- <span style="color:blue;">人是最不可控的因素</span>

> 凯文·米特尼克在他所著的关于社会工程学书籍《欺骗的艺术》中这样形容社会工程师：**一个无所顾忌的魔术师，用他的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是件荣幸的事情。**

#### 3、传统社会中的社会工程学

- 中奖通知
- 欠费电话
- 退税短信
- 催交房租
- ... ...

#### 4、网络社会的社会工程学

- 直接用于攻击
  - 正面攻击（直接索取）
  - 建立信任
  - 利用同情、内疚和胁迫
  - ... ...
- 间接用于攻击
  - 口令破解中的社会工程学利用
  - 网络攻击中的社会工程学利用

#### 5、社会工程学防御

1. 安全意识培训

   - 知道什么是社会工程学攻击
   - 社会工程学攻击利用什么

   > 安全意识：是信息安全的最低标准。<br>
   > 培训：向工作人员提供具体知识，以便他们履行职责。

2. 建立相应的安全响应应对措施

   - 不构建完善的技术防御体系
   - 有效的安全管理体系和操作流程

3. 注意保护个人隐私

   - 保护生日、年龄、E-mail邮件地址、手机号码、家庭电话号码等信息 

   ![image-20240921110842247](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240921110842247.png)

### 二、培训及教育

1、人员培训的重要性

2、培训应持续性

3、建立培训计划

4、培训与发展挂钩



<span style="color:red;">所有安全措施的基石都是教育：</span> 
1. 首次加入组织时加以培训
2. 定期接受最新的培训