关于网络安全的链接和网络中存在的社会问题的解决方案

网络中最薄弱的环节是哪一部分？用于移动办公的互联网防火墙、杀毒软件、远程控制的PC，还是笔记本电脑？大多数安全专家认为，狡猾的电脑黑客通常可以通过向特定用户提出一些简单的问题来入侵几乎所有的网络。

他们不仅会用各种技术手段，还会用社会工程的概念来作弊。一般来说，他们会利用人类与生俱来的信任，帮助他人的欲望和对未知事物的好奇心。他们会利用这些弱点骗取用户名和密码，使得采用各种先进技术的安全措施形同虚设。

如果你对这种情况没有特别感性的认识，可以参考我们的插页《黑客常用的5招》，反思自己在那种情况下会不会很容易上当。然而，该插件中涉及的技巧只是黑客用来窥探有用信息的方法的一部分。

事实上，电脑黑客不用和任何人说话就能获得大量信息。他们可以通过访问你公司的网站了解公司的领导职位、财务信息、组织结构图、电子邮件地址和员工电话号码。此外，他们还会从公司扔掉的旧文件中筛选出许多有价值的东西，如组织结构图、市场计划、备忘录、人力资源手册、财务报表、公司规章制度和流程说明等。黑客会利用这些信息取得公司员工的信任，比如伪装成员工，客户给公司员工打电话或发邮件，一步步取得对方的信任，最后通过他们进入公司网络。

从公司员工处获取信息的技术包括以下几类:

用一大堆看不懂的信息或者各种奇怪的问题来迷惑一个员工的思维，让你搞不清他到底想干什么。

黑客会故意给你设置一些技术故障，然后帮你解决，以赢得你的信任。这种方法被称为逆向社会工程。

用强烈的情绪化甚至威胁的语气命令你服从他的指令。

◆如果发现你有抵触情绪，他会适当放弃几个小要求。这样你觉得你也应该满足他的要求作为回报。

与你分享信息和技术而不要求任何回报(至少在一开始)，当黑客问你一些事情时，你会觉得有义务告诉他们。

◆假装和你有相同的爱好和兴趣，借机加入你的兴趣小组；

◆谎称自己可以帮助一个同事完成一项重要任务；

◆和你建立看似友好，没有任何利益纠葛的关系，然后一点一点从你那里得到公司常用条款，关键员工姓名，服务器，应用类型。

你也要注意，很大比例的安全问题是由心怀不满的员工或非员工(比如公司的客户或合作伙伴)造成的，他们往往会泄露一些不该泄露的信息。人们总是倾向于忽视来自内部的危险。

当然，社会工程并不仅限于骗取公司的机密信息。黑客经常使用这种技术来骗取个人用户的信用卡号、用户名和密码，这些信息可以用于网上购物。他们常用的伎俩是通过电子邮件和虚假网站让用户相信他们正在访问一家著名大公司的网站。

如果你还对社会工程的作用心存疑虑，你至少应该保持警惕和谨慎。凯文·米特尼克是20世纪最臭名昭著的黑客之一。他曾多次对媒体表示，他利用了人性的弱点而不是技术来断网。

另一方面，大多数公司更愿意在安全防护技术上投入大量资金，却忽视了对员工的管理。然而，大多数安全产品和技术都没有考虑社会工程。那么，你该如何应对呢？

你要从两个方面来解决这个问题:第一，你要保护好容易泄露公司信息的物理场所(包括办公桌、文件柜、网站)；其次，你要对公司员工进行安全防范教育，制定明确的规章制度。

物理空间的安全可能是比较简单的一部分。下面我们列出一些重要的提示，大部分都涵盖了以上两个方面(实物保护和规章制度)。

◆让公司的所有员工和访客佩戴徽章或其他身份证明。对于游客来说，必须有人护送他们到目的地。

◆检查哪些文件必须随时上锁，哪些可以扔进碎纸机处理。

◆文件柜应上锁，并放置在安全且可监控的地方。

◆确保所有系统(包括所有客户端PC)都有密码保护，应使用强密码并定期更换。

每台机器也要设置成闲置几分钟后进入屏保，还要设置屏保密码。

◆如果硬盘上的文件包含机密信息，应加密保存。

◆不要在公开的* * *网站上透露太多关于公司的信息。建立一个良好的安全体系并对员工进行相应的培训更加困难。公司员工通常不会意识到他们传播的信息有很大的价值。一定要经常教育他们面对陌生人的信息咨询要提高警惕，不要轻易上当受骗。

培训员工最好的方法是老师在培训前利用社会工程技术从他们口中提取一些有价值的信息，然后老师会把这些例子作为反面教材进行分析讲解。

你需要制定一套明确的规章制度，让大家知道什么样的信息在任何情况下都不能泄露给他人。很多看似无用的信息(如服务器名称、公司组织结构、常用术语等。)对黑客来说是有价值的。你的规章制度要规定各种信息的访问规则，也要规定应该采取的安全防范措施。对违反这些规定的行为应有明确的处罚措施。如果你制定了详细明确的规章制度，员工泄露公司信息的可能性就会降低。

目前，专门用于处理社会工程的工具很少，但可以使用一些内容过滤工具和反垃圾邮件产品(如MailFrontier Matador)来防止员工通过电子邮件泄露信息或防止来自外部的欺诈邮件。斗牛士使用一系列专利技术来识别可疑的电子邮件。

对抗社会工程是一项长期而艰巨的任务，因为攻击者会不断改进战术以突破现有的防范措施。所以一旦出现新的诈骗方式，你需要尽快制定新的规章制度来防范。而且你要不断提醒你的员工，他们才是公司真正的防火墙。

黑客常用的五招。

很多人都收到过这样的邮件:承诺给你一个获得高额奖金的机会，你需要做的就是填写一份登记表(写下你的用户名和密码)。令人惊讶的是，有相当一部分人会回复这种邮件，其中相当一部分人填写的用户名和密码与他们登录公司网络时使用的用户名和密码完全相同。黑客向一家公司的10多名员工发送这样一封电子邮件，就可以轻松获得两三个网络登录密码。

有时你的电脑会弹出一个对话框，告诉你网络连接已经中断，然后要求你重新输入用户名和密码来恢复网络连接。有时您可能会收到一封看似来自Microsoft的电子邮件，提醒您应该运行附件中的安全升级程序。你有没有怀疑过这个对话框和邮件的合法性？

出去抽根烟，加入聊天的时候，可能会聊到最近公司邮件服务器故障的事情。对于一个大公司来说，你可能不认识所有的员工，这些聊天的人很可能夹杂着一两个不明身份的黑客。

(4)突然有个男的来看你老板的电脑(正好老板可能不在)，说老板的Outlook有问题，让他帮忙修一下。这个理由听起来很有道理。Outlook软件确实经常出问题，但是为什么一定要在老板不在的时候修？

有时候你会接到一个自称是总裁助理的女人打来的电话，让你告诉她一些个人或者公司的信息。她会喊出公司领导的名字或者不经意间透露一些只有公司员工知道的信息来打消你的疑虑。

2.解决网络中存在的社会问题

/DownLoad/% BC % C6 % CB % E3 % BB % FA % C9 % F3 % BC % C6 % B4 % F3 % BD % B2 % CC % B3/% BC % C6 % CB % E3 % BB % FA % C9 % F3 % BC % C6 % B4 % F3 % BD % B2 % CC % B3-4-% BC % C6 % CB % E3 % BB % FA % CD % F8 % C2 % E7 % D0 % C5 % CF % A2 % B0 % B2 % C8 % ab . PPT # 292，

在社交网站中，由于人与人之间的交流通常在防火墙之外，雇主无法控制交流的内容，因此社交网站可能成为安全和合规的噩梦。比如，员工在日常交流中谈论彼此的工作时，可能会泄露出公司尚未公开的项目。

“这可能会给未来埋下隐患。”富国银行高级副总裁兼首席系统架构师黎先春说。让他担心的是，员工可能会将敏感信息放在公司控制范围之外的社交网站上，对此公司几乎无能为力。

企业社交网站的出现消除了这种担忧。“我们需要企业级的数据和应用安全性。”SelectMinds的伯克维奇说:“我们需要在足够自由的交流和相对保守的企业之间取得平衡，以向他们保证这种交流不是一场随意的脱口秀。”这种谨慎的方法帮助SelectMinds与许多大型会计和金融公司建立了合作关系。

然而，SelectMinds只在小范围内取得了成功。一些公司仍然避免使用不能给管理者提供绝对控制权的应用程序。

国家情报部门A空间面临的安全挑战令人咋舌。这在一定程度上是因为它选择了基于网络的社交网站，而不是需要经过16个不同安全检查点、穿越16个不同防火墙的桌面客户端。然而，即使它选择了后一种方法，那些存储在浏览器甚至安全内网中的敏感数据也必然会引来高度的“关注”。

事实上，这个区域可以通过观察流量模式来确保安全，例如寻找可疑的异常搜索。“我们绝不能掉以轻心，”韦特海默强调说。“这是一场窃取信息的噩梦。你要问问自己，如果一只坏虫子爬进来，它能偷多少东西？尽管如此，回报仍然大于风险。”他说。

同时，来自社交网络的风险显然不足以让企业安全厂商涉足。MessageGate营销副总裁罗伯特·皮斯(Robert Pease)说，电子邮件过滤公司MessageGate本可以将其业务平台扩展到社交网站，但他们认为没有必要。

当然，并不是所有的社交网站工具都遵循脸书和Linkedin以社区为中心的方法，Visible Path就是其中之一。使用20年前开发的统计技术，Visible Path的软件产品可以通过多种方式识别关系的强度，例如检查信息来源，收集和分析日历、电话和电子邮件中记录的个人活动，接收和发送信息的比例，以及私人通信的时间长度。

“我们非常关注商人从事的各种交易，”Visible Path首席执行官安东尼·布里登(Antony Brydon)说。Visible Path与商业研究机构Hoover's Connect合作，让用户了解自己如何与Hoover数据库中的公司和个人建立联系。这就是所谓的六度分隔概念。Linkedin的做法也差不多，也是把朋友的朋友当做潜在的人脉。

诺斯罗普·格鲁曼公司花费了近65，438+00年的时间建立了一个类似于社交网站的系统，连接了其在美国各州和其他几个国家的65，438+020，000名员工。

诺斯罗普公司称之为“实践社区”(Community of Practice)，员工围绕某个主题或技术组成不同的团队，从系统工程精英小组到新员工社区，几乎涵盖了公司的所有成员。这些社区包含一些与社区相关的文档和团队成员的详细列表。真正的协作也需要电子邮件分发列表，但这是促进这种交流的社区的任务。诺斯罗普公司知识管理主管斯科特·沙夫法尔说。

“实践社区”发挥了重要作用。例如，系统工程小组目前正在努力使工程程序、职业发展和招聘过程标准化；通过这个系统，找到了一个翻译为日本客人提供翻译。对工作感到困惑甚至不知所措的新员工也有了一个聚集和交流经验的地方。最令人兴奋的是，诺斯罗普公司甚至通过其社区找到了一名熟悉国防部应用程序中常用的Ada代码的程序员，从而每年节省了5万美元的招聘成本。

过去，年轻人推动了社交网站的发展趋势；如今，商务人士和IT精英也在加快步伐。诚然，社交网站的缺点是显而易见且不可避免的，但对于大多数公司来说，它的巨大价值仍有待发掘。