《预防利用社交工程攻击的政策程序》由会员分享,可在线阅读,更多相关《预防利用社交工程攻击的政策程序(3页珍藏版)》请在装配图网上搜索。
1、东莞XX有限公司文件编号:FYD-QP-024版本:A/0预防利用社交工程攻击的政策程序修改码:00贞码:1 /5预防利用社交工程攻击的政策程序制订:XXX 审核:XXX 生效日期:2019年8月1日 版本:AO1、目的对公司能够控制和可望施加影响的产品风险进行识别和评估,并从中评价出重大产品风险, 设为关键控制点进行重点控制,降低产品可能存在的风险。2、范围与公司生产的产品相关的影响产品质量的人员、生产设备和工艺装备、物料、生产过程、生 产环境、监视和测量有关过程风险识别和评价。3、职责3.1各部门负责识别本部门可能出现的产品风险,并对风险因素的控制进行落实。3.2风险评估小组负责审核和评价
2、产品风险。3.3风险评估小组负责产品风险的汇总、审核,组织评价及确定重要产品风险,并制定对应的控制措施。4、工作程序4.1社交工程攻击概述4.1.1社交工程学利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机 密信息的一门艺术与学问。4.1.2社交工程学不等同于欺骗、诈骗。a)社交工程学攻击比较复杂,再小心的人也可能被高明的手段损害利益b)层次不一样,社会工程学攻击会根据实际情况,进行心理战。c)目的不一样,社会工程学攻击其目的是获得信息系统的访问控制权,从而得到机密信息并 从中获利。4.1.3社会工程学攻击者:一般这类人具有很强的人际交往能力。他们有魅力、讲礼貌、讨人 喜欢,
3、并具有快速建立起可亲近、可信任感。4.1.4社会工程学攻击对象一一人,计算机信息安全链中最薄弱的环节,人具有贪婪、自私、 好奇、信任等心理弱点。4.2社会工程攻击的形式:社会工程学攻击是信息安全的最大威胁!4.2.1信息收集:通过各种手段去获取机构、组织、公司的一些不敏感信息。a)不敏感信息容易获取b)不敏感信息降低了攻击者的风险东莞XX有限公司文件编号:FYD-QP-024版本:A/0预防利用社交工程攻击的政策程序修改码:00贞码:2/5a)某些关键人物的资料:部门、职位、邮箱、手机号、座机分机号等b)机构内部某些操作流程步骤:如报销流程、审批流程等c)机构内部的组织关系:隶属关系、业务往来
4、、职权划分、强势还是弱势等d)机构内部常用的术语和行话4.2.3信息收集方法:a)官方网站b)搜索引擎c)离职员工或新员工d)垃圾分析e)微博、微信、QQ、FB、人人等等f)电话询问(常常是面对前台或客服人员)4.2.4信息收集案例QQ聊天:攻击者:你多大啊?受害者:我84年的攻击者:我也84的,我3月1号的,你呢?受害者:那我比你大,我2月3号得到受害者的生日信息:840203:4.3社会工程攻击的手法4.3.1假冒身份a)为什么要假冒身份:哪个攻击者,愿意暴露自己真实身份呢?b)假冒的效果:获得信任、好感或同情、树立权威性c)假冒的方法:选择一个合适的身份,秘书,同学,新员工。外貌粉饰:仪
5、表堂堂、气质非 凡等4.3.2施加影响a)博取好感通过外在特征的“光环效应”:以貌取人(如马云)、以名取人(如明星的人品)b)通过相似性:如同学、同乡、校友、经历等c)通过互惠原理骗取好处:投桃报李:给予小恩惠,索取小回报d)拒绝-退让式:先A要求,再B要求,A远大于Be)通过社会认同来施加影响、快乐大本营等节目的笑声、好评多的物品,一定好f)通过威权来施加压力:专家、总裁秘书、某个官、威胁、恐吓。东莞XX有限公司文件编号:FYD-QP-024 版本:A/0预防利用社交工程攻击的政策程序修改码:00贞码:3 /5网络钓鱼(Phishing)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾
6、邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。下饵(Phishing)软件下载、各种附件(邮件、QQ群里等)、各种资源(如XX行业或公司大揭秘、黑客工具集合)4.4社会工程攻击的防范4.4.1组织机构1)普及教育:每个人、新员工、打扫清洁的阿姨。2)严格认证:某人到底是谁,防止假冒3)严格授权:某人到底能干啥,授权细化、最小化4)信息分类:分类、授权5)办公垃圾清理:碎纸机的使用、垃圾统一焚毁等6)文化:等级森严、一团和气都可能被利用4.4.2个人1)多了解一些社会工程学的手法2)保持理性3)保持怀疑的心4)别乱丢垃圾5、相关文件无6、相关记录无
预防利用社交工程攻击的政策程序
