119 lines
2.8 KiB
Markdown
119 lines
2.8 KiB
Markdown
# 社会工程学与培训教育
|
||
|
||
> **一、社会工程学**<br>
|
||
> <span style="color:blue;">理解</span>社会工程学攻击的概念及在信息安全中的重要性;<br>
|
||
> <span style="color:green;">了解</span>社会工程学利用的6种“人类天性基本倾向”;<br>
|
||
> <span style="color:blue;">理解</span>社会工程学攻击方式及防御措施。
|
||
>
|
||
> **二、培训教育**<br>
|
||
> <span style="color:green;">了解</span>“人”在信息安全体系中的作用;<br>
|
||
> <span style="color:blue;">理解</span>以建立持续化体系的方式实施信息安全培训的必要性。
|
||
|
||
### 一、社会工程学
|
||
|
||
#### 1、什么是社会工程学攻击
|
||
|
||
- 利用人性弱点(本能反应、贪婪、易于信任等)进行欺骗获取利益的攻击方法
|
||
|
||
人性的弱点(Robert B Cialdini):
|
||
|
||
- 信任权威
|
||
- 信任共同爱好
|
||
- 获得好处后报答
|
||
- 期望守信
|
||
- 期望社会认可
|
||
- 短缺资源的渴望
|
||
- ... ...
|
||
|
||
#### 2、社会工程学的危险
|
||
|
||
- <span style="color:blue;">永远有效的攻击方法</span>
|
||
- <span style="color:blue;">人是最不可控的因素</span>
|
||
|
||
> 凯文·米特尼克在他所著的关于社会工程学书籍《欺骗的艺术》中这样形容社会工程师:**一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。**
|
||
|
||
#### 3、传统社会中的社会工程学
|
||
|
||
- 中奖通知
|
||
- 欠费电话
|
||
- 退税短信
|
||
- 催交房租
|
||
- ... ...
|
||
|
||
#### 4、网络社会的社会工程学
|
||
|
||
- 直接用于攻击
|
||
- 正面攻击(直接索取)
|
||
- 建立信任
|
||
- 利用同情、内疚和胁迫
|
||
- ... ...
|
||
- 间接用于攻击
|
||
- 口令破解中的社会工程学利用
|
||
- 网络攻击中的社会工程学利用
|
||
|
||
#### 5、社会工程学防御
|
||
|
||
1. 安全意识培训
|
||
|
||
- 知道什么是社会工程学攻击
|
||
- 社会工程学攻击利用什么
|
||
|
||
> 安全意识:是信息安全的最低标准。<br>
|
||
> 培训:向工作人员提供具体知识,以便他们履行职责。
|
||
|
||
2. 建立相应的安全响应应对措施
|
||
|
||
- 不构建完善的技术防御体系
|
||
- 有效的安全管理体系和操作流程
|
||
|
||
3. 注意保护个人隐私
|
||
|
||
- 保护生日、年龄、E-mail邮件地址、手机号码、家庭电话号码等信息
|
||
|
||
|
||
|
||
### 二、培训及教育
|
||
|
||
1、人员培训的重要性
|
||
|
||
2、培训应持续性
|
||
|
||
3、建立培训计划
|
||
|
||
4、培训与发展挂钩
|
||
|
||
|
||
|
||
<span style="color:red;">所有安全措施的基石都是教育:</span>
|
||
1. 首次加入组织时加以培训
|
||
2. 定期接受最新的培训
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|