社會工程學防御措施

社會工程學攻擊是一種利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段，獲取自身利益的手法。針對社會工程學攻擊，企業或單位還應主動采取一些積極的措施進行防范。這里將防范措施歸納為兩大類，即網絡安全培訓和安全審核：

• 網絡安全培訓

  社會工程學主要是利用人性的弱點來進行各種攻擊的。所以說“人”是在整個網絡安全體系中最薄弱的一個環節。為了保證企業免遭損失，要對員工進行一些網絡安全培訓，讓他們知道這些方法是如何運用和得逞的，學會辨認社會工程學攻擊，在這方面要注意培養和訓練企業員工的幾種能力，包括辨別能力、防欺詐能力、信息隱藏能力、自我保護能力、應急處理能力等。

  • 網絡安全意識培訓

    在進行安全培訓時要注重社會工程學攻擊以及反社會工程學攻擊防范的培訓，無論是老員工還是新員工都要進行網絡安全意識的培訓，培養員工的保密意識，增強其責任感。在進行培訓時,結合一些身邊的案例進行培訓，如QQ賬號的盜取等，讓普通員工意識到一些簡單社會工程學攻擊不但會給自己造成損失，而且還會影響到公司利益。

  • 網絡安全技術培訓

    雖然目前的網絡入侵者很多，但對于有著安全防范意識的個人或老公司網絡來說，入侵成功的概率很小。因此對員工要進行一些簡單有效的網絡安全技術培訓,降低網絡安全風險。網絡安全技術培訓主要從系統漏洞補丁、應用程序漏洞補丁、殺毒軟件防火墻運行可執行應用程序等方面入手，讓員工主動進行網絡安全的防御。

• 安全審核

  加強企業內部安全管理，盡可能把系統管理工作職責進行分離，合理分配每個系統管理員所擁有的權力，避免權限過分集中。為防止外部人員混入內部，員工應佩戴胸卡標識，設置門禁和視頻監控系統;嚴格按照辦公垃圾和設備維修報廢處理程序;杜絕為貪圖方便，將密碼隨意粘貼在記事本中或通過QQ等方式進行系統維護工作的日常聯系等。

  • 身份認證

    認證是一個信息安全的常用術語。通俗地講，認證就是解決某人到底是誰。由于大部分的攻擊者都會用到“身份冒充”這個步驟，所以認證就顯得非常必要。只要進行一些簡單的身份確認，就能夠識破大多數假冒者。例如，碰到公司內不認識的人找你索要敏感資料，你可以把電話打回去進行確認（最好是打回公司內部的座機)。而對于公司網絡進出口的身份審核，一定要認真仔細，層層把關，只有在真正的核實身份之后并進行相關登記后才能給予放行。在某些重要安全部門，還應根據實際情況需要,采取指紋識別、視網膜識別等方式進行身份核定，以確保網絡的安全運行。

  • 審核安全列表

    定期對公司的個人計算機進行安全檢查,這些安全檢查主要包括計算機的物理安全檢查和計算機操作系統安全檢查。計算機物理安全是指計算機所處的周圍環境或計算機設備能夠確保計算機信息不被竊取或泄露。

  • 審核操作流程

    要求在操作流程的各個環節進行認真的審查,杜絕違反操作規程的行為。一般情況下，遵守操作流程規范，進行安全操作,能夠確保信息安全;但是如果個別人員違規操作就有可能泄露敏感信息,危害網絡安全。

  • 建立完善的安全響應應對措施

    應當建立完善的安全響應措施，當員工受到了社會工程學的攻擊或其他攻擊，或者懷疑受到了社會工程學和反社會工程學的攻擊，應當及時報告，相關人員按照安全響應應對措施進行相應的處理,降低安全風險。

回答所涉及的環境：聯想天逸510S、Windows 10。