司业务运转的数据和秘密信息十分重视并为之感到担心，请仔细的阅读本书第三部分（第十至第十四章）。这里需要注明的是：“除非另做声明，本书中的故事情节纯属虚构。”

    本书第四部分(第十五至十六章)我将谈到，在业务对话中如何成功的防止社会工程学给企业带来的攻击。第十五章提供一套有效的安全防范培训计划；第十六章也许正解你的燃眉之急——它包含一个完整的安全策略，你可以按公司的需要来立刻应用，以保证企业的信息安全。

    最后，本书提供一个由列表、表格组成的“安全一瞥”，用来概括说明一些关健信息，以帮助员工在工作中阻止社会工程学带来的攻击。这些方法还可以为你做出自己的信息安全培训计划提供颇具价值的帮助。

    纵览全书，你还可以发现一些非常有用的内容条目：“术语箱”提供社会工程学和计算机黑客的术语；“米特尼克信箱”发出精典短语，有助于加深安全策略的印象；注释与工具条则带来一些有趣的背景知识等附加信息。

    第一部　幕后的故事

    第一章　安全软肋

    某公司也许购置了能用钱买到的最好的安全技术，员工们也训练有素，每晚回家前把所有的秘密都锁起来，并从业内最好的保安公司雇用了保安，但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议，安装了各种受推荐的安全产品，并十分谨慎的处理系统配置以及应用安全补丁，但他们仍然很不安全。

    人为因素

    在国会听证会前的一次证言中，我解释到我经常可以从企业获得密码口令或其他类似的敏感信息，只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主，他有一套麦迪科（译者注：Medico,知名品牌、价格昂贵）防撬锁装在屋子的大门上，以保护他的妻子、孩子和他的家。他觉得很心安，因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢？再安装一套强壮的安全系统么？虽然有用，但还是不够安全。无论防盗锁是昂贵还是便宜，屋主的安全仍然难以保障。为什么？因为人为因素才是安全的软肋。

    安全，通常情况下仅仅是个幻想，由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道：“只有两种事物是无穷尽的——宇宙和人类的愚蠢。但对于前者，我不敢确定。”最终，社会工程学的攻击，成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。

    与这位屋主一样，有许多信息技术（IT）从业者都有着类似的错误观念。他们认为自己的公司固若金汤，因为其配置了精良的安全设备——防火墙、入侵检测，或是更为保险的身份认证系统，如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中，这就是一个生活在幻想世界中的例子，他们迟早会不可避免的遭遇安全事故。

    正如著名的安全顾问布鲁斯?施尼尔（Bruce Schneier）所说：“安全不是一件产品，它是一个过程。”近一步说，安全不是技术问题，它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越来越困难。于是，越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易，只需打一个电话的成本和冒最小的风险。

    一个欺骗的经典案例

    企业资产安全最大的威胁是什么？很简单，社会工程师。一个无所顾忌的魔术师，用他的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学

『加入书签，方便阅读』