原创《信息安全中的社会工程学攻击》
本文是信息安全方面在职开题报告范文和社会工程学和信息安全和攻击类在职开题报告范文。
一、引言
现阶段,随着网络技术的不断发展,社会工程学攻击呈现出一种迅速上升、甚至是滥用的趋势.这一攻击方式利用的是人的弱点而不是以往计算机系统的漏洞,因而有必要对这一问题引起重视.
二、社会工程学攻击的概述
所谓的社会工程学,它综合了社会科学以及自然科学、人文科学的一些知识,同时还涉及到工程科学的知识.它不是简单的将这些知识进行罗列,而是将众多的技术与知识进行重构与有机的整合.狭义的社会工程学,是通过利用受害者的心理弱点以及好奇心、盲目的信任、贪婪的心理进行一系列的欺骗或者是伤害活动,进而达到谋取利益的目的.一般来说,信息安全中的社会工程学攻击行为主要有以下几个方面:其一,就是网络钓鱼;其二,就是软件的捆绑;其三,就是一些恶意的链接;其四,就是一些具有针对性的病毒或者是木马等;按照攻击目标的不同以及行为的不同,可以把社会工程学攻击分为两种类型:一类就是偏重于计算机技术的攻击;另一类就是偏重于非计算机技术的攻击;对于前者来说,其代表性的攻击方式就是网络钓鱼,比如说早期的邮件病毒和木马等;这一类的攻击一般没有明确的目标,并且攻击过程比较简单.攻击过程主要是利用人的心理弱点进而引诱受害者暴露其个人的一些私密信息,进而达到谋取利益的目的.对于非计算机技术的攻击来说,主要是进行商业机密的窃取以及特定的获取.对于这种类型的攻击方式来说,其攻击目标一般是明确的,并且攻击者要对一些心理学知识、人际关系方面的知识有所掌握.同时,这一类型的攻击还要求攻击者有一定信息收集能力.
三、社会工程学的特征
3.1 综合集成
在进行社会工程学方法论的研究时,其原则就是对多学科的理论与规律进行综合应用,同时还要注重多重规律所蕴含的整体性规律,在研究社会工程学时,采用的方法来源较为广泛.不管是什么方法,只要能够解决相应的问题,都可以将其纳入到具体的实施方案中去.所以,在进行问题的解决上,社会工程学有着较为灵活、变通的方法,同时也在实践中进行积极的创新.
3.2 信息拓扑
社会工程学的特点,就是将多种学科进行交叉融合,进而实现多学科的融会贯通.在进行社会工程学研究时,强调的是协调分析以及综合分析的方法.在网络环境中,社会工程学方法利用的信息大多具备一些潜在的关联性,通过对广义网络中的信息碎片以及活动的痕迹进行收集,并通过一定的推理与分析,进而可以产生一些新的信息,最终不断完善信息的通路.以上就是社会工程学的主要活动过程.并且这一活动过程最终可以讲信息拓扑结构进行较为清晰的展示.
3.3 隐蔽性
社会工程学在其具体的实施过程中,攻击者为了能够避免风险,因而经常会采用一些方法与手段进行自身入侵痕迹的藏匿,这样一来将会造成目标对相应的入侵行为与目的没有意识.如果目标觉察到入侵行为,那就会及时的采取措施阻止入侵行为,这就意味着社会工程学攻击可能出现失败的现象.因而,人们要不断提升信息安全意识,这同时也是安全防护的最有效办法.对于一个企业来说,要注重信息安全构架的建立,同时还要注重信息安全意识的宣传工作,进而确保企业信息的安全.
四、社会工程学攻击的主要手段
4.1 伪装欺骗
一般来说,可以将伪装欺骗分为两种形式:其一就是信息伪装;其二就是身份伪装.对于前者来说,一般应用网络病毒或者是电话录音等形式进行诈骗活动,同时也可能利用电子邮件或者是伪造网站的形式从事诈骗活动.比如说近几年来经常会出现银行网站或者是交易平台网站虚造事件,进而从事相应的诈骗活动.对于身份伪装来说,其是社会工程学攻击中的一个较为重要的工作,这样做的目的就是为了降低受害者的怀疑,提升受害者的信任程度与好感.
4.2 引诱欺骗
对于引诱欺骗这一手段来说,利用的是用户知识上的匮乏以及寻求便利的投机心理,在这种状态下用户会主动的打开邮件或网站,进行相应的危险操作.比如说一些攻击者经常会打着技术支持的幌子提供一些“免费服务”的链接与网站,攻击者通过与受害者之间进行一系列的互动,进而争取计算机系统的更大权限.
4.3 说服和服从
所谓的说服,就是被攻击者主动完成任务的顺从意识.这一过程中,攻击者通过利用被攻击者的信任进行所需信息的获取,为攻击者下一步的攻击活动提供相应的基础与条件.
4.4 恭维
恭维通过利用多数人存在的虚荣心理,进而达到入侵的目的.一般情况下,攻击者会伪装的较为友善,并且入侵者的说话较为得体.在与被入侵者的交流间,不失时机的进行恭维,进而打消被入侵者的防范意识,最终达到入侵的目的.
4.5 恐吓
对于多数的计算机使用人员来说,其对系统的漏洞以及病毒都会有或多或少的排斥,同时他们也害怕自己的系统出现问题.这一过程中一旦攻击者以权威机构的身份出现时,通过对被攻击者进行恐吓欺骗,很容易就会达到入侵的目标.
五、信息安全中社会工程学攻击的防范措施
5.1 加强日常的管理工作
首先,要建立健全考勤制度与准入制度,不得允许无关人员进入.同时,还要设置相应的门禁系统以及监控系统,对于来访者要有专人陪同.其次,要禁止应用电话或者是不加密邮件的形式进行账户的设置以及的设置、获取等一系列的行为;另外,对于一些较为敏感的资料,要进行入柜上锁措施,并且钥匙要交有专门的人员进行保管.此外,要对办公室垃圾进行妥善的处理,对于设备的维修报废也要进行严格的规定.尤其是一些重要的资料,在丢弃之前要进行粉碎处理,确保相应的文件不会被恢复.
5.2 提升安全管理的等级
一方面,要加强内部的安全管理工作,尽量将系统内部的管理工作职责进行有效的分离.对于每一位系统管理人员的权力也要进行合理的分配,以防出现权限过于集中的现象.另一方面,对于系统安全方案与政策要进行合理的制定.这一过程中,要对每一个环节进行研究,比如说账户的设置问题、访问权限的获批问题以及的更改问题,都要制定详细的管理办法.比如说可以通过制定强有力的管理措施,规定的最短长度以及复杂性来提升安全效果.
5.3 对进行全面的分析
在进行社会工程学攻击的防范工作时,首先要对收集资料、信息的渠道进行了解与分析,同时还要对攻击者常用的心理学手段以及相关学科的知识进行研究,这样一来,不仅可以提升物理环境防范的效果,同时还能有效降低攻击事件的发生频率.其次,还要不断提升人员的素质,进而降低社会工程学攻击的成功概率.另外,还要针对系统的具体情况制定相应的安全方案,及时进行漏洞的查找与填补.在安全方案中,要对入侵活动发生之后的反制措施进行详细的说明.此外,要定期的开展安全培训工作,切实低于社会工程学攻击行为.通过对攻击案例进行分析,可以使工作人员充分了解到攻击者的手段,并且针对案例讲解相应的防范对策,训练员工保护数据安全的能力.同时,还要使员工明确保密工作的重要意义,明确自身工作的重要性.
5.5 社会工程学攻击的处理方法
如果企业的条件允许,公司内部可以专门成立门,并且要设置相应的社会工程学攻击应对小组.一旦有雇员发觉到有社会工程学攻击存在时,就要将相应的状况报给这个小组.对于从事这一类工作的雇员来说,要对攻击进行实时的追踪,并且针对追踪状况制定针对性的防范措施,最终将攻击挫败.
结束语:进入二十一世纪以来,伴随着信息安全技术的不断发展,以往的计算机技术研究工作已经不能有效的抵御的入侵.因而,要注重社会工程学知识的应用,并且对收集信息的方式以及攻击心理学方面的知识进行认真的研究,进而针对攻击手段提出有效的防范对策.
信息安全论文参考资料:
该文点评:此文为关于经典信息安全专业范文可作为社会工程学和信息安全和攻击方面的大学硕士与本科毕业论文信息安全论文开题报告范文和职称论文论文写作参考文献。
