【51CTO.com 獨(dú)家特稿】企業(yè)網(wǎng)絡(luò)安全已經(jīng)不僅僅是安全技術(shù)層面上的問題，管理問題也在越來越凸現(xiàn)其在企業(yè)網(wǎng)絡(luò)安全方面的重要地位。當(dāng)前很多大型企業(yè)的安全問題無不在管理層上有所體現(xiàn)，管理安全無力導(dǎo)致員工沒有安全概念，部署和貫徹安全技術(shù)和安全理念的觀念淡薄，導(dǎo)致出現(xiàn)很多不應(yīng)該出現(xiàn)的"馬其諾防線"。本文將從企業(yè)信息安全標(biāo)準(zhǔn)化和在管理層面抵御"社會工程"攻擊兩方面來介紹企業(yè)管理層的安全防護(hù)手段和技術(shù)。

[[35517]]

1、企業(yè)信息安全標(biāo)準(zhǔn)化

信息安全評估是信息安全生命周期中的一個重要環(huán)節(jié)，是對企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、重要服務(wù)器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應(yīng)用流程等進(jìn)行全面的安全分析，并提出安全風(fēng)險(xiǎn)分析報(bào)告和改進(jìn)建議書。它主要可以發(fā)揮如下三方面的作用：

（1）明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進(jìn)行信息安全評估后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。

（2）確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行信息安全評估并進(jìn)行風(fēng)險(xiǎn)分級后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓企業(yè)選擇避免、降低、接受等風(fēng)險(xiǎn)處置措施。

（3）指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。對企業(yè)進(jìn)行信息安全評估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè)。

在當(dāng)今全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會，使得信息安全管理成為企業(yè)管理越來越關(guān)鍵的一部分。管理高層需要確保信息技術(shù)適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當(dāng)利用信息技術(shù)的優(yōu)勢。但現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所有地方，其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。沒有一個系統(tǒng)是完美的，沒有一項(xiàng)技術(shù)是靈丹妙藥。

網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化工作是國家信息安全保障體系建設(shè)的重要組成。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)研究與制定為國家主管部門管理信息安全設(shè)備提供了有效的技術(shù)依據(jù)，這對于保證安全設(shè)備的正常運(yùn)行，并在此基礎(chǔ)上保證我國國民經(jīng)濟(jì)和社會管理等領(lǐng)域中網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行安全和信息安全具有非常重要的意義。

國際上信息安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期，80年代有了較快的發(fā)展，90年代引起了世界各國的普遍關(guān)注。目前世界上有近300個國際和區(qū)域性組織制定標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下4個：

◆ISO（國際標(biāo)準(zhǔn)化組織）。ISO/IEC JTC1（信息技術(shù)標(biāo)準(zhǔn)化委員會）所屬SC27（安全技術(shù)分委員會）的前身是SC20（數(shù)據(jù)加密技術(shù)分委員會），主要從事信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化工作。而ISO/TC68負(fù)責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定，主要制定行業(yè)應(yīng)用標(biāo)準(zhǔn)，與SC27有著密切的聯(lián)系。ISO/IEC JTC1負(fù)責(zé)制定的標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全評估等方面的內(nèi)容。

◆IEC（國際電工委員會）。IEC在信息安全標(biāo)準(zhǔn)化方面除了與ISO聯(lián)合成立了JTC1下分委員會外，還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會（如TC56可靠性、TC74 IT設(shè)備安全和功效、TC77電磁兼容、TC 108音頻/視頻、信息技術(shù)和通信技術(shù)電子設(shè)備的安全等），并且制定相關(guān)國際標(biāo)準(zhǔn)（如信息技術(shù)設(shè)備安全I(xiàn)EC60950等）。

◆ITU（國際電信聯(lián)盟）。ITU SG17組負(fù)責(zé)研究網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，包括通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測定、安全通信服務(wù)。此外SG16和下一代網(wǎng)絡(luò)核心組也在通信安全、H.323網(wǎng)絡(luò)安全、下一代網(wǎng)絡(luò)安全等標(biāo)準(zhǔn)方面進(jìn)行研究。

◆IETF（Internet工程任務(wù)組）等。IETF標(biāo)準(zhǔn)制定的具體工作由各個工作組承擔(dān)。Internet工程任務(wù)組分成8個工作組，分別負(fù)責(zé)Internet路由、傳輸、應(yīng)用等8個領(lǐng)域，其著名的IKE和IPSec都在RFC系列之中，還有電子郵件、網(wǎng)絡(luò)認(rèn)證和密碼及其他安全協(xié)議標(biāo)準(zhǔn)。

◆國內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會（CITS）以及中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會。CITS成立于1984年，在國家標(biāo)準(zhǔn)化管理委員會和信息產(chǎn)業(yè)部的共同領(lǐng)導(dǎo)下負(fù)責(zé)全國信息技術(shù)領(lǐng)域以及與ISO/IEC JTC1相對應(yīng)的標(biāo)準(zhǔn)化工作，目前下設(shè)24個分技術(shù)委員會和特別工作組，是國內(nèi)最大的標(biāo)準(zhǔn)化技術(shù)委員會，也是具有廣泛代表性、權(quán)威性和軍民結(jié)合的信息安全標(biāo)準(zhǔn)化組織。

CITS主要負(fù)責(zé)信息安全的通用框架、方法、技術(shù)和機(jī)制的標(biāo)準(zhǔn)化及歸口國內(nèi)外對應(yīng)的標(biāo)準(zhǔn)化工作，其中技術(shù)安全包括開放式安全體系結(jié)構(gòu)、各種安全信息交換的語義規(guī)則、有關(guān)的應(yīng)用程序接口和協(xié)議引用安全功能的接口等。CCSA成立于2002年12月18日，是國內(nèi)企事業(yè)單位自愿聯(lián)合組織起來經(jīng)業(yè)務(wù)主管部門批準(zhǔn)的開展通信技術(shù)領(lǐng)域標(biāo)準(zhǔn)化活動的組織。CCSA下設(shè)了有線網(wǎng)絡(luò)信息安全、無線網(wǎng)絡(luò)信息安全、安全管理和安全基礎(chǔ)設(shè)施4個工作組負(fù)責(zé)研究：有線網(wǎng)絡(luò)中電話網(wǎng)、互聯(lián)網(wǎng)、傳輸網(wǎng)、接入網(wǎng)等在內(nèi)所有電信網(wǎng)絡(luò)相關(guān)的安全標(biāo)準(zhǔn)；無線網(wǎng)絡(luò)中接入、核心網(wǎng)、業(yè)務(wù)等相關(guān)的安全標(biāo)準(zhǔn)以及安全管理工作組；安全基礎(chǔ)設(shè)施工作組中網(wǎng)管安全以及安全基礎(chǔ)設(shè)施相關(guān)的標(biāo)準(zhǔn)。

當(dāng)前，國際上著名的信息安全評估標(biāo)準(zhǔn)有如下幾種，可以為企業(yè)借鑒：

◆可信的計(jì)算機(jī)系統(tǒng)安全評估標(biāo)準(zhǔn)（TCSEC，從橘皮書到彩虹系列）由美國國防部于1985年公布的，是計(jì)算機(jī)系統(tǒng)信息安全評估的第一個正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個級別，對用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

◆信息技術(shù)安全評估標(biāo)準(zhǔn)（ITSEC，歐洲百皮書）是由法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布的，它提出了信息安全的機(jī)密性、完整性、可用性的安全屬性。機(jī)密性就是保證沒有經(jīng)過授權(quán)的用戶、實(shí)體或進(jìn)程無法竊取信息；完整性就是保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會被偶然或故意破壞，保持信息的完整、統(tǒng)一；可用性是指合法用戶的正常請求能及時、正確、安全地得到服務(wù)或回應(yīng)。ITSEC把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識，對國際信息安全的研究、實(shí)施產(chǎn)生了深刻的影響。

◆信息技術(shù)安全評價的通用標(biāo)準(zhǔn)（CC）由六個國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實(shí)施這些功能的保證要求。CC標(biāo)準(zhǔn)是第一個信息技術(shù)安全評價國際標(biāo)準(zhǔn)，它的發(fā)布對信息安全具有重要意義，是信息技術(shù)安全評價標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個重要里程碑。

◆ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露（如系統(tǒng)高級管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露），會對資產(chǎn)的價值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價值所決定；對企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險(xiǎn)，并抗擊威脅。該模型闡述了信息安全評估的思路，對企業(yè)的信息安全評估工作具有指導(dǎo)意義。

◆AS/NZS 4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，第一版于1995年發(fā)布。在AS/NZS 4360:1999中，風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控與回顧、通信和咨詢七個步驟。AS/NZS 4360:1999是風(fēng)險(xiǎn)管理的通用指南，它給出了一整套風(fēng)險(xiǎn)管理的流程，對信息安全風(fēng)險(xiǎn)評估具有指導(dǎo)作用。目前該標(biāo)準(zhǔn)已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。

◆BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個標(biāo)準(zhǔn)，它分兩部分：第一部分為"信息安全管理事務(wù)準(zhǔn)則"；第二部分為"信息安全管理系統(tǒng)的規(guī)范"。目前此標(biāo)準(zhǔn)已經(jīng)被很多國家采用，并已成為國際標(biāo)準(zhǔn)ISO17799。 BS7799包含10個控制大項(xiàng)、36個控制目標(biāo)和127個控制措施。BS7799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議，并介紹了風(fēng)險(xiǎn)管理的方法和過程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險(xiǎn)評估實(shí)施步驟。

國內(nèi)主要是等同采用國際標(biāo)準(zhǔn)。公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》已正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個等級：自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)等，這些指標(biāo)涵蓋了不同級別的安全要求。GB18336也是等同采用ISO 15408標(biāo)準(zhǔn)。在制定的過程中，主要可以參照如下的方法進(jìn)行：

◆定制個性化的評估方法

雖然已經(jīng)有許多標(biāo)準(zhǔn)評估方法和流程，但在實(shí)踐過程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評估的能力，進(jìn)行"基因"重組，定制個性化的評估方法，使得評估服務(wù)具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網(wǎng)絡(luò)結(jié)構(gòu)評估、脆弱性掃描、策略評估、應(yīng)用風(fēng)險(xiǎn)評估等。

◆安全整體框架的設(shè)計(jì)

風(fēng)險(xiǎn)評估的目的，不僅在于明確風(fēng)險(xiǎn)，更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評估直接輸出，用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架，至少應(yīng)該明確。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期1～2年內(nèi)框架，這樣才能做到有律可依。

◆多用戶決策評估

不同層面的用戶能看到不同的問題，要全面了解風(fēng)險(xiǎn)，必須進(jìn)行多用戶溝通評估。將評估過程作為多用戶"決策"過程，對于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動，具有極大的意義。事實(shí)證明，多用戶參與的效果非常明顯。多用戶"決策"評估，也需要一個具體的流程和方法。

◆敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險(xiǎn)越來越隱蔽。要提高評估效果，必須進(jìn)行深入關(guān)聯(lián)分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病"根"，開出有效的"處方"。這需要強(qiáng)大的評估經(jīng)驗(yàn)知識庫支撐，同時要求評估者具有敏銳的分析能力。

◆集中化決策管理

安全風(fēng)險(xiǎn)評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項(xiàng)目成功的保障條件之一，它不僅是項(xiàng)目管理問題，而且是知識、能力等"基因"的組合運(yùn)用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺審計(jì)和滲透性測試，由不具備攻防經(jīng)驗(yàn)和知識的人執(zhí)行，就達(dá)不到任何效果。

◆評估結(jié)果管理

安全風(fēng)險(xiǎn)評估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個完整的風(fēng)險(xiǎn)管理系統(tǒng)，但至少是一個非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng)，使用它來指導(dǎo)評估過程，管理評估結(jié)果，以便在管理層面提高評估效果。#p#

2、"社會工程"攻擊防范

社會工程學(xué)（Social Engineering)是一種利用人的弱點(diǎn)：如人的本能反應(yīng)、好奇心、信任、貪婪等進(jìn)行諸如欺騙、傷害等危害手段，獲取自身利益的手法。近年來，由于信息安全廠商不斷開發(fā)出更先進(jìn)的安全產(chǎn)品，系統(tǒng)安全防范在技術(shù)上越來越嚴(yán)密，使得攻擊者利用技術(shù)上的漏洞變得越來越困難。于是，更多的人轉(zhuǎn)向利用人為因素的手段--社會工程學(xué)來進(jìn)行攻擊。

許多信息技術(shù)從業(yè)者都普遍存在著類似的一種觀念：他們認(rèn)為自己的系統(tǒng)部署了先進(jìn)、周密的安全設(shè)備，包括防火墻、IDS、IPS、漏洞掃描、防病毒網(wǎng)關(guān)、內(nèi)容過濾、安全審計(jì)、身份認(rèn)證和訪問控制系統(tǒng)，甚至于最新的UTM和防水墻，以為靠這些安全設(shè)施即可保證系統(tǒng)的安全。事實(shí)上，很多安全行為出現(xiàn)在騙取內(nèi)部人員（信息系統(tǒng)管理、使用、維護(hù)人員等）的信任，從而輕松繞過所有技術(shù)上的保護(hù)。信任是一切安全的基礎(chǔ)，對于保護(hù)與審核的信任，通常被認(rèn)為是整個安全鏈條中最薄弱的一環(huán)。為規(guī)避安全風(fēng)險(xiǎn)，技術(shù)專家精心設(shè)計(jì)的安全解決方案，卻很少重視和解決最大的安全漏洞，那就是人為因素。因此，對于當(dāng)前的企業(yè)來說，缺乏對社會工程學(xué)防范的信息系統(tǒng)，不管其安全技術(shù)多么先進(jìn)完善，很可能會成為一種自我安慰的擺設(shè)，其投入大筆資金購置的最先進(jìn)的安全設(shè)備，很可能成為一種浪費(fèi)。

社會工程學(xué)攻擊基本上可以分為兩個層次：物理的和心理的。與以往的入侵行為相類似，社會工程學(xué)在實(shí)施之前要完成很多相關(guān)的前期工作的，這些工作甚至要比后續(xù)的入侵行為本身更為繁重和更具技巧。這些工作包括：社會工程學(xué)的實(shí)施者（一般稱為社會工程師）必須掌握心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等知識與技能，以便收集和掌握實(shí)施入侵行為所需要的相關(guān)資料與信息。通常為了達(dá)到預(yù)期目的，社會工程學(xué)攻擊都要將心理的和行為的攻擊兩者結(jié)合運(yùn)用。其常見形式包括如下幾種：

第一，偽裝。從早期的求職信病毒、愛蟲病毒、圣誕節(jié)賀卡到目前流行的網(wǎng)絡(luò)釣魚，都是利用電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動的。有調(diào)查顯示,在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會對這些騙局做出響應(yīng)。攻擊者越來越喜歡玩弄社會工程學(xué)的手段，把惡件、間諜軟件、勒索軟件（ransom-ware）、流氓軟件等網(wǎng)絡(luò)陷阱偽裝起來欺騙被害者。

第二，引誘。社會工程學(xué)是現(xiàn)在多數(shù)蠕蟲病毒進(jìn)行傳播時所使用的技術(shù)，它使計(jì)算機(jī)用戶本能地去打開郵件，執(zhí)行具有誘惑性同時具有危害的附件。例如，用一些關(guān)于某些型號的處理器存在運(yùn)算瑕疵的"瑕疵聲明"或更能引起人的興趣的"幸運(yùn)中獎"、"最新反病毒軟件"等說辭，并給出一個頁面連接，誘惑你進(jìn)入該頁面運(yùn)行下載程序或在線注冊個人相關(guān)信息，利用人們疏于防范的心理引誘你上鉤。

第三，恐嚇。利用人們對安全、漏洞、病毒、木馬、黑客等內(nèi)容會特別敏感，以權(quán)威機(jī)構(gòu)的面目出現(xiàn)，散布諸如安全警告、系統(tǒng)風(fēng)險(xiǎn)之類的信息，使用危言聳聽的伎倆恐嚇欺騙計(jì)算機(jī)用戶，聲稱如果不及時按照他們的要求去做就會造成致命的危害或遭受嚴(yán)重?fù)p失。

第四，說服。社會工程師說服目標(biāo)的目的是增強(qiáng)他們主動完成所指派的任務(wù)的順從意識，從而變?yōu)橐粋€可以被信任并由此獲得敏感信息的人。大多數(shù)企業(yè)咨詢幫助臺人員一般接受的訓(xùn)練都是要求他（她）們熱情待人并盡可能地為來人來電提供幫助，所以這里就成了社會工程學(xué)實(shí)施者獲取有價值信息的"金礦"。

第五，恭維。社會工程師通常十分友善，很講究說話的藝術(shù)，知道如何借助機(jī)會去迎合人，投其所好，使多數(shù)人會友善地作出回應(yīng)，恭維和虛榮心的對接會讓目標(biāo)樂意繼續(xù)合作。

第六，滲透。通常社會工程學(xué)攻擊者都擅長刺探信息，很多表面上看起來豪無用處的信息都會被他們利用來進(jìn)行系統(tǒng)滲透。通過觀察目標(biāo)對電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料，比如一個人的姓名、生日、ID、電話號碼、管理員的IP地址、郵箱等都可能被利用起來，通過這些收集信息來判斷目標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容，從而用口令心理學(xué)來分析口令，而不僅僅是使用暴力破解。

除了以上的攻擊手段，一些比較另類的行為也開始在社會工程學(xué)中出現(xiàn)，其中包括像翻垃圾（dumpster diving）、背后偷窺（shoulder surfing）、反向社會工程學(xué)等都是竊取信息的捷徑辦法。

面對社會工程學(xué)帶來的安全挑戰(zhàn)，企業(yè)必須采用新的防御方法，其實(shí)這些工作更多的偏向于管理層面，主要包括：

第一，加強(qiáng)內(nèi)部安全管理。盡可能把系統(tǒng)管理工作職責(zé)時進(jìn)行分離，合理分配每個系統(tǒng)管理員所擁有的權(quán)力，避免權(quán)限過分集中。為防止外部人員混入內(nèi)部，員工應(yīng)佩戴胸卡標(biāo)示，設(shè)置門禁和視頻監(jiān)控系統(tǒng)；嚴(yán)格辦公垃圾和設(shè)備維修報(bào)廢處理程序；杜絕為貪圖方便，將密碼粘貼或通過QQ等方式進(jìn)行系統(tǒng)維護(hù)工作的日常聯(lián)系。

第二，開展安全防范訓(xùn)練。安全意識比安全措施重要的多。防范社會工程學(xué)攻擊，指導(dǎo)和教育是關(guān)鍵。直接明確地給予容易受到攻擊的員工一些案例教育和警示，讓他們知道這些方法是如何運(yùn)用和得逞的，學(xué)會辨認(rèn)社會工程攻擊。在這方面，要注意培養(yǎng)和訓(xùn)練企業(yè)和員工的幾種能力，包括：辨別判斷能力、防欺詐能力、信息隱藏能力、自我保護(hù)能力、應(yīng)急處理能力等。

第三，對企業(yè)有涉外業(yè)務(wù)的人員進(jìn)行強(qiáng)化管理。"社會工程"攻擊很多都是針對企業(yè)中負(fù)責(zé)對外業(yè)務(wù)的人員，如接待、咨詢?nèi)藛T等，由于他們需要頻繁地與外員打交道，所以久而久之更加容易掉以輕心，誤入"社會工程"的圈套和陷阱，所以企業(yè)要著重對他們進(jìn)行培訓(xùn)和教育，以提高他們的防范能力。