欢迎来到天天文库
浏览记录
ID:5340009
大小:153.08 KB
页数:2页
时间:2017-12-08
《信息安全领域社会工程学的应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、仨目搠辑:Rl
2、服磊』ruc~'or“r£““r“o[1ecnnotogy信息安全ApplicationsofSocialEngineeringintheFieldofInformationSecurity黑龙江省电子信息产品监督检验院黄俊强孟昕王智摘要在信息安全领域中,社会工程学是以通引言过分析人们的心理特征,利用人们的信任和对重要资料当今社会通过单纯的以安全技术为主的安全保障已经的敏感性,为获取机密信息和系统设置等不公开资料而越来越困难地阻止系统被入侵,为了解决这个问题,信息安全人员通过设置安全机制和安全策略采弥补安全技术上进行的木马攻击和病毒感
3、染等手段创造有利条件的学科。的缺陷。实际上,大多数的安全事件郡是人为因素造成的,网络安全技术发展到现在,很大程度上起决定因素的不也就是说人为因素是导致入侵得以实现的主因。因此可以再是技术问题,而是管理员和管理机制。因此,网络安说,“人”在整个信息安全保障体系中是非常重要的,换而全往往被入侵者攻破于系统内部。只有从源头上了解社言之,随着入侵者利用系统上的漏洞进行入侵变得越来越会工程学的本质和实施手段才能有效地从源头上遏制利困难,就会越来越多的通过利用人为因素来为攻击做准备,用社会工程学的网络入侵。变相的创造出漏洞,也就使得社会工程学在网络入侵中的应用越
4、来越广泛。因此,研究社会工程学在八侵中的应用,关键词社会工程学安全机制网络入侵以及如何防范和降低这方面的损失变得越来越重要。Abstract:Inthedomainofinformationsecurity,1社会工程学的原理socialengineering,SocialEngineeringisasubjectwhichcreatesbeneficialconditionfo,Trojanhorseattackandvirus1.1社会工程学的定义社会工程学是通过自然的、社会的和制度上的途径,infectionfo,‘obtaininginfor
5、mationthatofftherecord,just并特别强调根据现实的双向计划和设计经验来一步步地解likeconfidentialinformationandsystemconfiguration,etc.决各种社会问题,并建立相应理论的学科。在信息安全中,Bynow,thepivotalfactorisnottechniquebutthe社会工程学就是入侵者对人类本性中信任倾向的巧妙利用。administratorandmanagementmechanism.So,network入侵者的目标是获得有价值的信息,以便使自己可以通过securit
6、yisbreakthroughbyinterior.Onlyfromthesourceof未经授权的路径访问某些重要数据。社会工程学被认为是反映社会现象当代发展复杂性程natureandsocietyengineeringimplementationmethodcall度的一门综合性的社会科学,其目标是对各种社会问题进efectivelycurbusefromthesourceofsocialengineeringof行实例分析和解决。它并不是将人文科学、社会科学、自然networkintrusioninformationsecurityinform
7、ationsecurity科学的知识与技术简单相加,而是根据计划、政策的概念,Keywords:socialengineering;securitymechanism;在重构这些知识和技术的基础上,进行新的探索和整合”]。networkIntrusion1.2社会工程学的核心思想社会工程学攻击的核心思想是:找到系统管理人员的疏忽之处或心理弱点比查找程序的漏洞更简单。基于此思2010年第7期信息技术与标准化43http:llwww,itscesicrl己习l1fuLKJUlotUft~tCt
8、uo‘lcLrtfLU‘Uy想,攻击者通过搜集信息,对所要入
9、侵系统的相关人员进行(1)建立完善的信息安全管理策略。信息安全管理策弱点分析,在弱点分析后实施有效的社会工程学攻击策略。略是通过对系统整体中关于安全问题所采取的原则、对安因此,以社会工程学为基础产生了很多攻击手段,这全产品使用的要求、如何保护重要数据信息、以及关键系些方法无疑使黑客技术有了新的发展方向,如网络钓鱼、统的安全运行。信息安全策略中确定对每个资源管理授权密码心理学以及一些欺骗性的利用社会工程学渗透系统内者的同时,还要设立安全监督员。如果安全监督员没有对部网络或者相应网络管理人员的手段,部是一种利用人的资源管理授权者的操作进行审核,就无法对资
10、源的合法使疏忽之处或心理弱点进行攻击。用进行约束和监管。于系统中的关键数据资源,对其可操作的范围应尽可能小,
此文档下载收益归作者所有