3 提早预防社会工程学攻击

策略

好的规定是安全项目中的重要基石。应该被写进听众的脑海中。换句话说，策略应该使用清晰的，简练的，无IT行话的文字书写。也应该说明在出现问题的时候应该问谁。

策略规定也有自己的生命周期，也应有一个评审日期，因为他们必须与时俱进。为了保持便于管理，作为一种凭经验制定的方法，应该至少每五年被全部审查一次，同时20%的内容应该每年评审。易变的规定，应该更频繁的审查，当问题出现，规定可能会被重写或修改来适应新的需求变更和新的技术。这样可以更新旧规定，清除过时的规定，新需求的加入，策略规定文件就更有活力了。更新后，带有版本号和日期的规定可以公布在企业内部网络中，这样，当前的版本总是易于获取的。

用于防范社会工程学攻击的规定可以落实在：

· 信息发布安全规定应该明确谁可以在什么情况下发布信息。举个例子，好的规定指出所有的审查应该通过哪位指定的工作人员。

· 获得批准安全规定应该决定：

u 在获得批准之前担保协议需要签字，

u 谁有权赋予访问系统的权限，他们能赋予何种级别的权限，

u 决定建立账户，终结账户所使用的方法，

u 制订具体的建立账户的流程，防止混乱，减少错误。

· 改变密码规定应该允许使用特殊字符，数字，大小写字母来加强密码的强度。还应指出密码应该经常更换。要在易记性和密码牢固度上取得平衡，否则整个安全系统会因为雇员将密码写在纸上而前功尽弃。

· 调制解调器规定应该清楚地指出不允许公司内部网络访问调制解调器，因为这将绕过公司设置的防火墙，留下后门。规定的附加条款应该允许IT安全部门员工能够经常地对调制解调器进行审查。

· 咨询台应该有规定在没有首先核实雇员身份的情况下，禁止咨询台向其提供任何密码。通过以下方式核查：

u 回拨电话给职员验证地点；

u 在拨打电话时使用拨号身份号码；

u 雇员在电子邮件中使用数字签名；

u 雇员亲自来取信息。

4 参考资料

l Social engineering (computer security)

http://en.wikipedia.org/wiki/Social_engineering_%28computer_security%29

www.wikipedia.org

l A Proactive Defence to Social Engineering

Wendy Arthurs

August 2, 2001

http://www.sans.org/rr/papers/download.php?id=511&c=e6d84633591168825d37aa86392cfe87

l Social Engineering Fundamentals

Sarah Granger

2001-12-18

http://www.securityfocus.com/infocus/1527

http://www.securityfocus.com/infocus/1533