39、社会工程攻击防范：政策与程序的关键作用

社会工程攻击防范：政策与程序的关键作用

1. 社会工程攻击防范的重要性

在当今数字化时代，信息安全面临着诸多威胁，其中社会工程攻击已成为头号网络安全威胁。要实现对信息资产的有效保护，需要通过正式的政策和程序提高安全意识，并配合包含社会工程内容的安全意识培训项目。

以特洛伊围城为例，如果当时有关于接受意外礼物的严格政策，或者特洛伊居民接受过强调利用人性弱点的安全意识培训，围城的结局可能会大不相同。这表明，良好的安全政策和程序对于保护资产至关重要。

1.1 政策实施的常见问题

许多企业在实施政策和程序时存在问题，以下是两个典型例子：
- 例一 ：某组织因遭遇盗窃引入了一系列物理安全控制措施，随后制定了下班检查程序，要求最后离开的人确保门窗关闭和敏感文件妥善保管。起初效果良好，但随着时间推移，员工产生懈怠，窗户再次被打开，管理部门的警告也未能有效阻止类似情况再次发生，甚至高级管理人员也未认真执行该程序。
- 例二 ：某公司为保护敏感数据引入了桌面整洁政策，要求员工将敏感数据锁在安全的办公家具中。然而，该政策仅作者和审批人知晓，未向所有处理敏感信息的员工公开。结果，一名清洁工在清理时误将敏感文件当作垃圾扔掉，可能导致机密泄露或业务受到重大影响。

这些例子说明，政策和程序对于解决人员相关的安全弱点、确保资产保护至关重要。如果负责安全的人员不认真执行，再好的安全措施也会失去价值。

1.2 社会工程攻击的阶段与人性弱点

社会工程攻击者通常通过四个阶段（准备、操纵、执行和利用）来利用人类行为中的固有弱点，包括： <