预防利用社交工程攻击的政策程序
《预防利用社交工程攻击的政策程序》由会员分享,可在线阅读,更多相关《预防利用社交工程攻击的政策程序(3页珍藏版)》请在装配图网上搜索。
1、东莞XX有限公司文件编号:FYD-QP-024版本:A/0预防利用社交工程攻击的政策程序修改码:00贞码:1 /5预防利用社交工程攻击的政策程序制订:XXX 审核:XXX 生效日期:2019年8月1日 版本:AO1、目的对公司能够控制和可望施加影响的产品风险进行识别和评估,并从中评价出重大产品风险, 设为关键控制点进行重点控制,降低产品可能存在的风险。2、范围与公司生产的产品相关的影响产品质量的人员、生产设备和工艺装备、物料、生产过程、生 产环境、监视和测量有关过程风险识别和评价。3、职责3.1各部门负责识别本部门可能出现的产品风险,并对风险因素的控制进行落实。3.2风险评估小组负责审核和评价
2、产品风险。3.3风险评估小组负责产品风险的汇总、审核,组织评价及确定重要产品风险,并制定对应的控制措施。4、工作程序4.1社交工程攻击概述4.1.1社交工程学利用人的粗心、轻信、疏忽、警惕性不高来操纵其执行预期的动作或泄漏机 密信息的一门艺术与学问。4.1.2社交工程学不等同于欺骗、诈骗。a)社交工程学攻击比较复杂,再小心的人也可能被高明的手段损害利益b)层次不一样,社会工程学攻击会根据实际情况,进行心理战。c)目的不一样,社会工程学攻击其目的是获得信息系统的访问控制权,从而得到机密信息并 从中获利。4.1.3社会工程学攻击者:一般这类人具有很强的人际交往能力。他们有魅力、讲礼貌、讨人 喜欢,
3、并具有快速建立起可亲近、可信任感。4.1.4社会工程学攻击对象一一人,计算机信息安全链中最薄弱的环节,人具有贪婪、自私、 好奇、信任等心理弱点。4.2社会工程攻击的形式:社会工程学攻击是信息安全的最大威胁!4.2.1信息收集:通过各种手段去获取机构、组织、公司的一些不敏感信息。a)不敏感信息容易获取b)不敏感信息降低了攻击者的风险东莞XX有限公司文件编号:FYD-QP-024版本:A/0预防利用社交工程攻击的政策程序修改码:00贞码:2/5a)某些关键人物的资料:部门、职位、邮箱、手机号、座机分机号等b)机构内部某些操作流程步骤:如报销流程、审批流程等c)机构内部的组织关系:隶属关系、业务往来
4、、职权划分、强势还是弱势等d)机构内部常用的术语和行话4.2.3信息收集方法:a)官方网站b)搜索引擎c)离职员工或新员工d)垃圾分析e)微博、微信、QQ、FB、人人等等f)电话询问(常常是面对前台或客服人员)4.2.4信息收集案例QQ聊天:攻击者:你多大啊?受害者:我84年的攻击者:我也84的,我3月1号的,你呢?受害者:那我比你大,我2月3号得到受害者的生日信息:840203:4.3社会工程攻击的手法4.3.1假冒身份a)为什么要假冒身份:哪个攻击者,愿意暴露自己真实身份呢?b)假冒的效果:获得信任、好感或同情、树立权威性c)假冒的方法:选择一个合适的身份,秘书,同学,新员工。外貌粉饰:仪
5、表堂堂、气质非 凡等4.3.2施加影响a)博取好感通过外在特征的“光环效应”:以貌取人(如马云)、以名取人(如明星的人品)b)通过相似性:如同学、同乡、校友、经历等c)通过互惠原理骗取好处:投桃报李:给予小恩惠,索取小回报d)拒绝-退让式:先A要求,再B要求,A远大于Be)通过社会认同来施加影响、快乐大本营等节目的笑声、好评多的物品,一定好f)通过威权来施加压力:专家、总裁秘书、某个官、威胁、恐吓。东莞XX有限公司文件编号:FYD-QP-024 版本:A/0预防利用社交工程攻击的政策程序修改码:00贞码:3 /5网络钓鱼(Phishing)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾
6、邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。下饵(Phishing)软件下载、各种附件(邮件、QQ群里等)、各种资源(如XX行业或公司大揭秘、黑客工具集合)4.4社会工程攻击的防范4.4.1组织机构1)普及教育:每个人、新员工、打扫清洁的阿姨。2)严格认证:某人到底是谁,防止假冒3)严格授权:某人到底能干啥,授权细化、最小化4)信息分类:分类、授权5)办公垃圾清理:碎纸机的使用、垃圾统一焚毁等6)文化:等级森严、一团和气都可能被利用4.4.2个人1)多了解一些社会工程学的手法2)保持理性3)保持怀疑的心4)别乱丢垃圾5、相关文件无6、相关记录无
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 一元回归及相关分析课件
- 第六章北方地区第四节-祖国的首都——北京(课堂ppt)课件
- 第十三课《规划每一天》ppt课件
- 第十三课从蒸汽机到互联网ppt课件
- 第八章-真核基因表达调控ppt课件
- 第10章-中枢神经系统感染性疾病ppt课件
- 第十一课-公正处理民事关系ppt课件
- 第十三课《人的本质与利己利他》-一、正确处理利己和利他的关系ppt课件
- 第十四章-消息标题ppt课件
- 第23章第1节生物的生存依赖一定的环境ppt课件
- 第十八章电功率第1节电能电功ppt课件
- 第十二章-公共关系评估ppt课件
- 第十二章-词的初创及晚唐五代词ppt课件
- 一元二次方程解法——配方法课件
- 第十四章-流变学基础ppt课件