在保护网络安全方面，大多数信息安全管理者倾向于只使用访问控制防火墙、恶意软件防范、敏感数据加密、安全漏洞评估与管理、客户信息访问记录等安全措施，通常会忽略一个明显的安全漏洞，就是最终用户的弱点。对此，昆明亭长朗然科技有限公司网络安全观察员董志军表示：传统的网络基础架构安全体系已经非常成熟，这是因为很多组织机构已经投资了尖端的安全软件，并且拥有了出色的IT人才。不过，网络的连通性越来越强，最终用户可以借助强大的网络终端设备，随时随地连接到信息系统、获得并处理信息，这给传统的网络安全架构体系带来新的挑战，并非强化终端计算设备的安全管理就可以解决的，近来，网络钓鱼诈骗、社会工程攻击等等都是很多企业入侵事件的原因。

用户无疑是网络安全防范体系中最薄弱的环节，不过话说回来，也可能是最大的财富。网络大神通常说：在安全性方面，用户既是最大的资产，也是最薄弱的环节。用户了解遵循的流程和策略以及被忽略的流程和策略的真实情况，他们可以成为衡量安全措施有效性的一个很好的指数标和晴雨表。

教育最终用户关于他们在组织安全最佳实践中的作用是加强安全策略的最有效方法之一。为什么网络安全培训教育至关重要呢？有几个原因。技术几乎融入了现代生活的各个方面，包括我们的工作、电话、汽车到房屋。随着智能技术的发展，网络犯罪对我们的生活产生巨大影响的方式急剧增加。不幸的是，问题的范围常常被忽视。这是因为，当我们想到网络犯罪和黑客攻击时，往往会想到是上了全国头条新闻的坏事，例如大规模的网站入侵、身份盗窃和股票操纵。实际上，网络犯罪有无数种方式可以影响人们的个人和商业生活，并且必须意识到，这些犯罪的最严重后果并不总是金钱损失。

想象在不久的将来，大多数人都拥有自动驾驶汽车。再想象一下，即使其中一家汽车公司的网络安全受到破坏，也可能造成昂贵又致命的潜在损害。在技​​术不断以指数级增长的世界中，更相关的问题是，网络安全意识培训该如何进入到组织机构和社会大众，以便引起全民的重视？全国层面的网络安全宣传周流于形式，目标受众往往是没有信息基础的中老年人，缺乏有深度的内容。

昆明亭长朗然科技有限公司开发了大量的安全意识课程，该课程涵盖从如何识别最终用户最常见的威胁到使用强密码到与BYOD相关的风险以及如何防止常见安全漏洞的所有内容。我们将课程框架的重点放在最终用户面临的持续的日常威胁以及如何应对这些威胁上，并结合了动手学习。例如，我们希望最终用户知道网络钓鱼电子邮件是什么样子，以及他们如何检查邮件的的合法性以识别出那些社会工程手段。最终用户在应该了解最佳实践背后的原理时积极参与组织的安全策略，而不是死板地遵循IT安全部门下达的命令。

安全意识教育是双向的，有效的安全教育需要定期的沟通，并且必须共享信息，使安全性对话成为日常业务的一部分可以帮助最终用户理解安全性是每个人都应该关注的问题。通过发送定期的电子邮件公告或时事通讯，并提供更正式的基于计算机或讲师指导的教育和课程，将大大增强沟通的频率和效果。此外，还可以使宣教内容具有针对性，适用于人们的家庭生活，这样，安全意识信息才更容易被理解、接受和保留。

通常来讲，每年进行一次大型的全面的基于在线课程学习的活动，加之每月定期的安全公告或知识更新，每季度混合使用互动的安全测试及教学游戏，加之安全检查及整改行动，即可以达到良好的安全意识沟通效果。员工们即拥有了全面的知识体系并保持年度更新，又能了解到近期的安全态势和吸取安全事故原因，切能在实际工作中加以践行。

总之，人员是网络安全防范体系中的第一道防线，技术往往是最后一道防线。在技术控管方面，应该采用防病毒、反垃圾邮件和数据丢失防护解决方案等等，来监视所有的通信渠道包括电子邮件、网络浏览甚至所有终端设备上的关键信息丢失。不过，永远记住，信息安全管理是基于人员教育，作业流程和技术控管的解决方案的组合，只有三者紧密结合，方可帮助组织最大程度地降低其信息安全风险。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

安全是一种攻防双方的力量对比，也是一种共生的平衡艺术。对此，昆明亭长朗然科技有限公司网络安全研究员董志军说：在安全领域，警匪一家、养寇自重甚至攻防双方互换身份的情况很常见，网络安全行业也是如此，并不需要对此表示义愤。如同美国总是要在军事方面找一些敌人，甚至私下资助敌对势力一些军火“唯恐天下不乱”，以便不断获得军费预算提升军备水平一样，网络安全行业要发展，黑客也要进击，就是同样一个道理。

话说回来，当下平庸的黑客不容易混饭吃，因为软硬件方面的已有系统漏洞很容易被修复，而新的漏洞并不是菜鸟级“脚本小孩”容易发现的。故而，而纯粹依赖于人性弱点或人类漏洞的黑客群体开始壮大，他们往往则是心理学操控的高手，即所谓的社会工程黑客，依靠不断更新诈骗脚本和流水线式的标准化、系统化诈骗操作，这个群体发展盛行，带来的社会危害很严重，几近打破传统上的攻防平衡共生的关系，让公共安全界以及网络安全界深深感到不安。因为他们不必绕过例如强密码等技术保护，而只需与人交谈即可获取他们想要的利益，包括信息和金钱。到目前为止，人员是所有安全系统链条中最薄弱的一个环节。

通常来说，防范社会工程学黑客是一项社会性的人类工程，所有人都可以通过教育来提高安全性，面对社会工程黑客不断变化的伎俩，更新自己的安全大脑，锻造一双慧眼，保持坚定的安全信念，以“不变应万变”。因此，了解常见的社会工程攻击类型并遵循基本的安全预防措施，是网络时代所有“社会人”必备的江湖行走技能。

常见的社会工程学攻击手法有哪些呢？具体来讲包括多种方式。

1.假托。这是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以建立合情合理的假象。

2.调虎离山。这个多看看抢银行的片子应该就很好理解——押款车既定的路线重重安防，如果让其被迫改道，则实施攻击就容易多了。如果用户电脑上有机密资料，想要获取的有心人可以临时叫用户出去喝杯咖啡，另外的人就可以在其之上进行信息偷窥。

3.钓鱼。这个估计大家也有所耳闻——给用户发封邮件告诉用户由于安全事故可能导致用户某某银行的密码泄露，然后给个链接修改密码。打开的页面是和某某银行的界面高度一致，但实际上是事先构建好的钓鱼网站，用户输入账号密码等信息后便被窃取。

4.下饵。这个手段就多的去了，用户下载的软件，打开的E-mail附件都有可能被注入各种各样的恶意代码。

5.等价交换。攻击者伪装成市场推广人员或者问卷调查人员，通常以企业品牌推广的名义，用小礼品作为交换请求消费者进行微信扫码，悄悄植入恶意程序或盗取信息。

6.尾随。尾随者利用另一合法受权者的识别机制，通过某些检查点，进入一个限制区域。

7.肩窥。通过某人的肩膀来查看，来获取信息。在拥挤的地方，肩窥是获取信息的一种有效方法，因为当别人填表、在ATM机输入PIN码或者在公共付费电话亭使用电话卡时，比较容易站在他旁边观察。

8.垃圾站潜水。当用户不经过任何安全处理，丢弃含有商业机密的企业文件的时候，自然会有人在别人的垃圾中“寻找宝藏”。

正如您所看到的那样，社会工程学依赖于我们的易信度和用于验证人们身份的信息量。不要以为了解常识，您就永远不会被这些技巧所欺骗，要知道即使是精通技术的网络安全人员，甚至公安警察，也容易受到个人信息分享所带来的攻击。当黑客似乎处于权威地位或代表的领导或老板行事时，想逃过魔掌就更难了，

如何避免成为社会工程学黑客的受害者呢？

• 大部分人并非公安警察，也不是网络安全专家，在避免遭受社会工程黑客攻击方面，我们可以做的最重要的事情就是保持警惕，保持警惕，始终保持警惕。知晓一些常见的技巧可以使我们领先于游戏竞赛，但是切记不要太自以为是，对所有东西保持疑心是行走江湖的关键——小心驶得万年船。
• 无论是通过电话的、在线的还是面对面的，都绝不泄露任何有关个人或工作单位的机密信息，包括看似并非机密的信息，除非可以验证被问者的身份以及该需求的合理合规性。
• 永远记住，真正的IT部门、财务服务、人力资源部门绝不会通过电话询问您的密码或其他机密信息。
• 还有，防范个人信息泄露，充分利用碎纸机并正确销毁个人电子数据和隐私信息。

对于组织机构来讲，需要培训员工并赋能，以令其有意愿、有能力发现社交工程黑客并修复系统的安全性，以防止黑客轻易入侵。为了更好地防护社会工程学黑客，昆明亭长朗然科技有限公司推出了网络钓鱼攻击的基础知识课程，通过学习，学员可以掌握如何防范网络钓鱼、电信诈骗等社会攻击黑客。

总之，社会工程黑客想要打破安全攻防方面的平衡，电信网络新型违法犯罪猖獗，这也怪不了国家网安机关一次次出国“捞人”。对于公司企业来讲，网络空间安全世界不仅仅是自然科学技术方面的利益博弈，也是人文科学技术领域的战场，增强员工们的安全防范意识和思想觉悟，改善组织的安全文化建设，是保护知识产权、商业机密和核心资产的关键措施。如果您对这个话题有话说，或者需要一些网络安全培训和宣教内容，请不要客气地联系我们。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898