“社交工程学”（Social Engineering）和“网络钓鱼”（Phishing）这两个话题确实很接近，甚至在某些方面有重合的地方。对此，昆明亭长朗然科技有限公司网络安全研究员董志军补充说：中国人更喜欢“电信诈骗”这种简单的词汇，这是因为它们都属于网络安全领域中利用“人性弱点”而非纯技术手段的攻击方式。它们的相似性和重合点主要体现在目标、方法和依赖的原理上。接下来，让无所不知的人工智能来详细解释一下，为什么它们看起来很像，以及它们有哪些相同或不同的知识点。

一、为什么很接近很相似？

1. 共同的核心：操控人性

• 社交工程学是一个广义的概念，指通过心理操纵、伪装或欺骗，诱导目标主动泄露信息或执行特定操作。它可以发生在任何场景，比如电话、面对面交流，甚至是数字渠道。
• 网络钓鱼是社交工程学的一种具体形式，通常通过电子渠道（如邮件、短信、假网站）实施，目标是骗取用户的敏感信息（如密码、银行卡号）或诱导下载恶意软件。
• 相似点：两者都靠“忽悠”而不是直接破解技术系统，瞄准的是人的信任、好奇心、恐惧或贪心，而不是设备的漏洞。

2. 目标高度重合

• 两者都想从你身上“捞点东西”，比如密码、账户信息、钱，或者更进一步控制你的设备。
• 比如，社交工程学可能通过假装客服打电话要验证码，而网络钓鱼可能发封假邮件让你输入同样的验证码，结果都是偷你的账户。

3. 手法有交集

• 伪装身份：社交工程学可能冒充老板、IT人员；网络钓鱼也常伪装成银行、快递公司。
• 制造紧迫感：社交工程学会说“快给我密码，不然系统崩溃”；网络钓鱼会说“24小时不登录，账户就没了”。
• 诱饵策略：两者都可能用“中奖”“紧急情况”这样的诱惑，让你放松警惕。

二、重合的知识点有哪些？

因为网络钓鱼是社交工程学的一种“分支”，它们共享了不少核心知识点，尤其是在防范和识别层面：

1. 警惕陌生联系
   • 社交工程学教你防着假客服电话，网络钓鱼提醒你别信陌生邮件，都是让你对“来路不明”的东西多留个心眼。
2. 核实身份
   • 无论是接到“领导”电话，还是收到“银行”邮件，解决办法都是一个：别急着信，去官方渠道确认。
3. 保护个人信息
   • 社交工程学说别随便告诉别人你的生日、账号；网络钓鱼也警告别在假网页填这些东西。
4. 慢下来思考
   • 两者都强调别被“赶紧行动”的压力冲昏头，停下来想想总没错。
5. 工具辅助
   • 防病毒软件、垃圾邮件过滤，这些在两种场景下都能帮你挡住一部分“鱼钩”或“骗术”。

三、它们有啥不一样？

虽然很像，但社交工程学和网络钓鱼还是有些区别，主要在范围和实施方式上：

1. 范围大小

• 社交工程学是个“大篮子”，包括所有利用人性的攻击方式，比如电话诈骗、尾随进办公室，甚至当面套话。
• 网络钓鱼是“专攻选手”，只聚焦在数字渠道，尤其是邮件、短信、假网站这些“线上钓鱼场”。

2. 实施媒介

• 社交工程学可能完全线下，比如假扮快递员上门骗你开门；网络钓鱼必须依赖网络，比如伪造一个登录页面。

3. 具体目标

• 社交工程学可能更广，比如骗你帮忙开门进入公司大楼；网络钓鱼通常直奔密码、银行信息等“数字果实”。

4. 技术含量

• 网络钓鱼往往涉及一些技术元素，比如伪造网站、嵌入恶意链接；社交工程学有时纯靠口才和演技，不一定碰电脑。

四、为什么课程内容会有些重复？

因为它们的“根”都在社交工程学，所以在教用户防范时，很多建议是通用的。比如：

• “别信陌生人”适用于电话骗子和假邮件。
• “核实再行动”能防住假客服和伪装链接。
• “别贪小便宜”对中奖电话和中奖邮件都管用。

这种重合其实是好事，说明学会防一种，另一种也能轻松应对。就像学骑自行车，掌握了平衡，不管是山地车还是公路车，都能骑得稳。

五、总结：相似但不完全一样

社交工程学和网络钓鱼就像“大哥”和“小弟”的关系。社交工程学是大框架，网络钓鱼是它在网络上的“得意门生”。它们重合的地方多（都玩心理战），但网络钓鱼更具体、更数字化。理解了两者的联系和区别，你就能更全面地防住这些“数字骗子”，不管他们是打电话来，还是发邮件来。

如果还有疑问，或者想深入聊聊某个点，随时告诉我吧！

昆明亭长朗然科技有限公司是定制信息安全培训课程的领先提供商，这一点让我们与众不同。我们通过提供多种灵活的设计、制作与技术服务，来为帮助客户成功地发起安全意识宣教活动，进而为工作人员做好安全知识和能力的准备，以便保护组织机构的成功。我们也创作了大量的安全意识内容资源，安全培训负责人员可以从中，选择符合组织机构实情的培训主题。部分叙述性文本（比如单位名称）、音频和图形（比如单位LOGO、整体配色）都可以自定义，以适合组织的需求。我们的课程也会经常更新，以便学员能够及时掌握迅速变化的信息安全形势和挑战，以确保我们的客户能够应对各类新型信息安全威胁。欢迎有兴趣或有需求的客户及伙伴联系我们，获得作品预览，洽谈采购及商务合作事宜。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

前几天同一位网络安全老同志聊起来，自然要推荐我司的安全意识产品及服务。对方深知安全意识的重要性，可是提到花钱，便连连摇头，称：有家传统的老牌网络安全厂商免费赠送信息安全意识素材给他们，当然前提是要购买该厂家的新型网络威胁防护装备或者安全技术保障服务。

很自然，老牌网络安全厂商根本看不上信息安全意识这项业务，也无心在这上面长期精心专研。当初创作了一些培训宣教内容，可能是受到行业竞争或整体环境的影响的跟风行为。现在看来，这些知识性的内容见效较慢，来钱也不快，特别是在很多国人觉得知识应该免费的观念之下，不容易成为一个新的“赚钱中心”。于是，该厂商转念一想，不如将相关内容素材作为赠品，作为安全技术的补充进行搭售。可能该厂商也有一些不光彩的想法，比如：万一安全技术系统或安全服务失效了，还可以说是客户的安全意识薄弱，因为没有很好地使用他们赠送的安全意识宣教素材。

为什么老牌厂商还会有这种不光彩的想法呢？昆明亭长朗然科技有限公司网络安全研究员董志军说：说起信息安全的成功要素，并非技术管控措施一项，更多的是管理，即流程、人员和技术的综合作用。即使人才济济非常重视技术产品开发的老牌网络安全厂商，也几乎都无一例外遭遇过多起严重的信息安全事故。因此，对于技术措施的不足之处非常明白，也非常想提升信息安全管理水平，好处无需多言：一方面强化内部管理，另一方面尝试对外服务。只是内部的安全极客们往往不服管理，再说制度过于严格容易造成人才流失；对外搞安全管理咨询和服务也不容易，小厂商怎么也赶不上大客户的企业管理水平，因此不好靠忽悠客户来钱。于是老牌的安全厂商干脆集中精力，极力研制及开发更多技术方面的安全控制产品，以期弥补和替代安全管理特别是流程管理和人员管理方面的需求。

这种做法有些有效、有些剑走偏锋、甚至也有些饮鸩止渴，最终造成安全业界越来越重视技术产品，而广大用户特别是社会大众得不到基本的安全知识科普。全社会层面的悬殊的安全认知水平差异，造成了扭曲的网络安全空间世界，也给网络诈骗分子很大的利好机会，当然网络黑客团体更是乐开了怀，他们知道终端用户的弱点明显，而且很多业务流程和管理体系有漏洞，这些弱点或漏洞都很难得到修复，很容易被利用。

最近“护网”运动非常热火，网络安全“攻防比赛”活动也很受欢迎，这对于提升安全界的技术水平非常有帮助。不过，分析多数的攻击成果，我们可以看见：利用社会工程学、网络钓鱼、诈骗邮件等方式的渗透测试占了很大比重，这些基本上可以划为人性的弱点；针对业务系统的攻击，主要集中在网站代码中的逻辑或流程错误，这显然也是软件开发管理的问题，以及开发人员的安全意识不足。很多网络安全厂商本身的产品也被成功渗透，关键还是管理和运维安全问题，例如：要么默认密码一直没有被更改，要么其运作的支撑环境被发现了安全漏洞而没有得到及时的更新。归根结底，网络安全厂商深知纯靠安全技术永远是不够的，然而在行动中，还是不断重复地用一个新的网络安全产品去控管另一项网络安全产品的弱点，从管理的角度看，这个逻辑多么可笑啊！然而从经济的角度来看，这种商业逻辑是再正常不过的了。您可能会问：难道客户智力低下吗？您这显然是外行的问题和不着边际的假想，您可以说他们是懒散的官大爷，但是永远不要低估甲方的聪明才智。

言归正传，保护数据应成为所有组织范围的信息安全意识计划的一部分。安全意识计划的交付方式应适合组织的整体文化，这样才能最大程度地影响人员的安全大脑。用于保持高水平的安全意识应作为一项持续进行的计划进行，要确保不仅要每年度每季度提供知识培训和宣传活动，更需要每月每周甚至每天都有安全意识流入。确保员工意识到数据安全的重要性对于安全意识计划的成功至关重要，并将有助于满足各种法规和标准的要求。

开发正式的安全意识计划的第一步是组建一个安全意识团队。该团队负责安全意识计划的开发、交付和维护。安全意识团队的规模和成员将取决于每个组织的特定需求及其文化，小规模机构内一人牵头各部门领导兼职足亦，大规模复杂的需求需要至少三五人员的专职工作团队加上各部门的领导以及安全意识联络员。

安全意识可以通过多种方式提供，包括课堂形式的培训、基于计算机的培训、基于移动设备的学习、电子邮件沟通、纸质的期刊文章、电子公告通知、海报漫画等。将网络安全意识内容定向到适当的受众，让其阅读并理解对于确保信息安全非常重要。通过多个通信渠道传播安全意识培训，组织可以确保员工以不同的方式多次接触相同的信息。通过将内容材料和沟通渠道定位于相关人员，安全意识团队可以改善对安全意识计划的采用。有效的安全意识计划的一个关键要素在于以及时有效的方式将相关内容材料交付给适当的受众。

基于角色的安全意识为组织提供了参考，以根据人员的工作职能对人员进行适当的培训。为包括管理层和基层员工在内的所有人员建立最低级别的意识基线是安全意识计划的工作起点。在确定基于角色的安全意识计划时，首要任务是根据个人在组织中的工作职能将其分组。通过分配安全意识责任计划，将职责细化到部门和人员，可以很大程度确保该计划的成功。比如：信息安全部门创作或采购适当的知识内容，建立线上学习平台和定期发布微信内容，各部门领导组织内部的课堂式培训，发动部门员工参加线上学习和微信移动学习，并加以考核；信息安全部门印制期刊漫画，各部门安全协调员进行部门内分发和张贴等等。扎实的意识计划将帮助所有人员识别威胁，将安全视为习惯于，并乐于报告潜在的安全问题。

高阶管理团队对安全意识计划的支持对于成功至关重要。部门（中层）管理人员应该：

• 鼓励下属人员积极参与安全意识学习活动，并在工作中进行实践。
• 对适当的安全意识流程和做法进行表率，以强化安全意识学习。
• 将安全意识指标纳入管理和员工绩效评估之中。

如上所述，建议根据角色和组织的文化确定培训内容。安全意识团队可能希望与适当的业务部门进行协调，以对每个角色进行分类，以确定这些特定工​​作职责所需的安全意识培训的水平。这对于内容开发至关重要，以避免员工“过度培训”或“培训不足”。除了一般的安全意识培训以外，建议人员根据其在组织中的角色，触及信息安全的一般概念，以促进整个组织范围内的信息安全。当然，为了确保意识影响行为，安全意识培训还应包括有关违反信息安全政策的后果的详细信息。

此外，管理层不仅应了解信息资产未能得到充分保护可能带来的金钱损失，而且应了解声誉（品牌）损害对组织造成的持久伤害。管理层需要充分了解安全要求，以讨论和加强安全要求，并鼓励人员遵循这些要求。建议对管理安全意识进行在线式的培训以及课堂式的研讨会互动，包括与责任领域相关的特定内容，尤其是可以访问敏感数据的领域。总之，具有安全意识的管理层可以更好地了解组织信息的风险因素。这些知识有助于他们做出与业务运营相关的明智决策。具有安全意识的管理人员还可以协助制定数据安全策略、安全作业流程和安全意识培训。

培训材料应可用于组织的所有领域，例如公司内部网站、微信企业号等等。选择在安全意识培训计划中使用哪些材料高度依赖于组织。每个组织在选择用于安全意识培训的材料时都应考虑其独特的文化因素。

度量标准可以是衡量安全意识计划成功与否的有效工具，并且还可以提供有价值的信息以使安全意识计划保持最新和有效。根据规模，行业和培训类型等因素的不同，用于衡量安全意识计划成功与否的特定指标将针对每个组织而有所不同。通常的做法是通过在线的考核，以及线下的走访和桌面安全检查来实现。

昆明亭长朗然科技有限公司是定制信息安全培训课程的领先提供商，这一点让我们与众不同。我们通过提供多种灵活的设计、制作与技术服务，来为帮助客户成功地发起安全意识宣教活动，进而为工作人员做好安全知识和能力的准备，以便保护组织机构的成功。我们也创作了大量的安全意识内容资源，安全培训负责人员可以从中，选择符合组织机构实情的培训主题。部分叙述性文本（比如单位名称）、音频和图形（比如单位LOGO、整体配色）都可以自定义，以适合组织的需求。我们的课程也会经常更新，以便学员能够及时掌握迅速变化的信息安全形势和挑战，以确保我们的客户能够应对各类新型信息安全威胁。欢迎有兴趣或有需求的客户及伙伴联系我们，获得作品预览，洽谈采购及商务合作事宜。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898