最近幾年，信息安全方面的問題日益嚴(yán)重，許多同學(xué)深受其害（比如網(wǎng)絡(luò)釣魚、盜用銀行卡、蠕蟲木馬泛濫、僵尸網(wǎng)絡(luò)盛行等等）。俺竊以為，很大一部分原因在于相應(yīng)的掃盲教育沒有跟上。且不說普通的電腦菜鳥對(duì)信息安全一無所知，即便是很多IT公司的專業(yè)技術(shù)人員，對(duì)此也知之甚少。其后果就是：很多菜鳥級(jí)的攻擊手法屢試不爽，很多平庸的攻擊者屢屢得手。有鑒于此，俺打算抽空普及一下信息安全相關(guān)的東東，或許能對(duì)某些同學(xué)有所幫助。
　　其實(shí)信息安全方面的話題非常之多，俺經(jīng)過左思右想之后，決定先拿社會(huì)工程學(xué)來掃盲一下。至于為啥先說它，后面會(huì)解釋原因。

　　★社會(huì)工程學(xué)是啥玩意兒？
　　俺喜歡把信息安全分為“硬安全”和“軟安全”兩個(gè)部分。所謂“硬安全”主要包括具體的IT安全技術(shù)（比如防火墻、入侵檢測(cè)、漏洞掃描、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、等等）；而“軟安全”主要涉及管理、心理學(xué)、文化、人際交往等方面，與具體的IT技術(shù)無關(guān)。今天所說的社會(huì)工程學(xué)，實(shí)際上就是“軟安全”的范疇。
　　通俗地說，社會(huì)工程就是：攻擊者利用“人”自身的弱點(diǎn)（往往是心理學(xué)層面）來獲取信息、影響他人，從而達(dá)到自己不可告人的目的。光這么說稍顯簡(jiǎn)單，更詳細(xì)的定義可以參見“這里”。不懂洋文的同學(xué)可以看“這里”。

　　★為啥要了解社會(huì)工程學(xué)？
　　開頭已經(jīng)提到了安全基礎(chǔ)知識(shí)的普及度不夠。那為啥俺要先介紹社會(huì)工程學(xué)捏？主要有如下幾點(diǎn)原因：
　　◇普及度不夠
　　首先，社會(huì)工程是信息安全中一個(gè)經(jīng)常被忽視的偏僻角落。即便很多IT安全領(lǐng)域的從業(yè)人員，往往也缺少社會(huì)工程學(xué)的相關(guān)常識(shí)。比如很多人都知道什么是防火墻、殺毒軟件，但是卻從來沒有聽說過社會(huì)工程學(xué)。
　　◇重視不夠
　　大部分的安全廠商都把注意力集中在“硬安全”方面（比如現(xiàn)在防火墻廠商、殺毒廠商多如牛毛），很少有安全廠商把社會(huì)工程掛在嘴邊的。以此相反的是：現(xiàn)有的信息安全攻擊，大都以“軟安全”作為攻擊者的突破口，只有一小部分是純粹通過“硬安全”來進(jìn)行的。（這又是一個(gè)二八原理的生動(dòng)例子）
　　為啥攻擊者喜歡從“軟安全”層面進(jìn)行突破捏？因?yàn)槿诵缘娜觞c(diǎn)是很難在短時(shí)間內(nèi)得到改善的（尤其是人多大公司、大機(jī)構(gòu)，更是如此）。所以，“軟安全”方面會(huì)遺留很多可以利用的漏洞，攻擊者只要善于利用這些漏洞，就可以輕易侵入。
　　◇用處大大滴
　　不過捏，光是鮮為人知、重視不足，還不至于讓俺花這么多口水大力忽悠。還有另一個(gè)原因是：社會(huì)工程學(xué)的常識(shí)非常有用，而且它的用處不限于信息產(chǎn)業(yè)（幾乎所有行業(yè)都用得著）。具體有些啥用處捏？
　　首先，了解起碼的社會(huì)工程學(xué)常識(shí)能夠讓你對(duì)相關(guān)的攻擊手法（攻擊手法的介紹參見“這里”）有基本的防范，不至于輕易上當(dāng)。要知道，有很多人被攻擊者利用了之后，自己還渾然不覺。
　　其次，如果你是公司的老板或者某個(gè)管理層的頭頭，你可以在自己的職權(quán)范圍內(nèi)進(jìn)行相關(guān)的掃盲培訓(xùn)（后面的帖子會(huì)介紹如何防范）。
　　最后，假如你看完本系列后，發(fā)現(xiàn)自己在社會(huì)工程方面很有天賦，那或許可以考慮朝這個(gè)方向發(fā)展。比如搞個(gè)商業(yè)間諜之類的工作干干，沒準(zhǔn)也很有前途哦。不過捏，一旦將來被抓被關(guān)、被殺被剮，本博主是概不負(fù)責(zé)滴 :-)

　　★本系列帖子能給你啥幫助？
　　如果你從來沒有聽說過社會(huì)工程學(xué)，僅僅想掃盲，那只需看本帖即可，后續(xù)的內(nèi)容無需多看。
　　如果你希望對(duì)社會(huì)工程攻擊能夠有基本的防范，建議看看后續(xù)的“攻擊手法”、“如何防范”。
　　如果你對(duì)社會(huì)工程學(xué)這門學(xué)問很有興趣，建議看完本系列所有帖子。
　　如果你已經(jīng)是社會(huì)工程學(xué)的老手，請(qǐng)不吝賜教，本系列帖子您老就不用看了。

　　★本系列帖子不能給你哪些幫助？
　　本系列帖子不能幫你成為社會(huì)工程學(xué)的高手。要達(dá)到此目的，請(qǐng)先確保自己有這方面的天賦，接著再通過《欺騙的藝術(shù)》（凱文·米特尼克所著）進(jìn)行深造。
　　本系列帖子不能幫你化解所有的社會(huì)工程攻擊。畢竟社會(huì)工程學(xué)的手法太多、涉及的面太廣。有些新穎的手法，其設(shè)計(jì)之巧妙、用心之險(xiǎn)惡，估計(jì)連俺都會(huì)輕易入套。

　　為了方便閱讀，把本系列帖子的目錄整理如下：
　　1、攻擊手法之信息收集
　　2、攻擊手法之假冒身份
　　3、攻擊手法之騙取信任
　　4、幾個(gè)攻擊的示例
　　5、你該如何防范？
　　6、書評(píng)：《欺騙的藝術(shù)》

---

追求原創(chuàng)，歡迎轉(zhuǎn)載。
轉(zhuǎn)載必須包含本聲明、保持本文完整。并以超鏈形式注明作者編程隨想和本文原始地址：
http://program-think.blogspot.com/2009/05/social-engineering-0-overview.html