第五章  企业质量管理


                   4. 社会工程学攻击
                   社会工程学攻击是网络攻击的一种新形式，攻击者利用人性的弱点，如贪婪、
               好奇、同情、炫耀等，通过巧妙的接触、诱导、欺骗，在获取受害人的信任后，

               操控受害人，达到进入系统、获取信息的目的。社会工程学攻击的目标是企业中
               的人，企业中的每一个人都有可能成为被攻击的对象，这个人上至高管、网络管
               理员，下至普通员工，甚至是清洁工，虽然清洁工不掌握公司的资源、业务，但
               清洁工的门禁卡却可以让攻击者在公司畅通无阻，清洁工搜集的办公垃圾中却可

               以让攻击者搜集到公司相关信息，甚至是一些机密资料。
                   早期时候，由于设备、程序的安全漏洞较多、安全设备部署较少、人的安
               全防范意识不高等原因，黑客主要的攻击方式多为纯技术型攻击，如常见的 web

               渗透、缓冲区溢出、SQL 注入、暴力破解等等，但随着信息安全防范意识的增强，
               信息安全设备的配备，纯技术攻击的难度越来越大，常常耗费大量的时间、精力，
               却收效甚微，因此，黑客转向社会工程学攻击，原因在于最完备的技术装备都需
               要人去操作，最完善的管理制度都需要人去遵守，根据切斯维克提出的“软心糖
               安全”理论，一旦企业中某个人被社会工程学突破，并以此为跳板，利用获取到

               的账号密码以正常的方式访问系统或网络，那么保护该网络和系统的各种安全技
               术、制度就形同虚设，整个企业信息安全防线，就会变成“马奇诺防线”。

                   三、企业信息安全管理工作优化


                   （一）加强企业信息安全管理组织体系
                   1. 建立信息安全决策机构
                   安全组织机构的第一个层级就是信息安全决策机构，是负责企业信息安全工
               作的最高管理机构。企业主要负责人承担主要责任，负责审批信息安全方案的构

               建、信息安全策略的分发和信息安全建设方案的执行监督，为企业的信息安全工
               作提供权利保障和资源支撑。
                   基于此，企业成立专门的信息安全领导小组，作为信息安全管理工作的最高

               决策机构，小组设信息安全管理办公室，负责执行和推广信息安全领导小组的一
               切指令。其工作内容为：以国家和行业有关信息安全的法律和法规、政策制度为
               基准，身体公司领导小组制定的信息安全策略规划、管理规范和技术标准等；明
               确公司信息安全相关的各部门工作职责，监督、指导信息安全工作的顺利执行。



                                                                                      115