信息系统安全工程学[优秀范文五篇]

第一篇：信息系统安全工程学网络信息安全之社会工程学攻击摘要：提到网络安全就不得不提黑客。黑客，网络的最主要的玩家。有了网络，有了黑客，也就有了网络安全这个概念。社会工程学是黑客攻击网络的主要的手段之一。尤其是这几年社会工程学攻击越来越猖獗，所以了解社会工程学是很有必要的。知己知彼，百战不殆。本文主要介绍一下社会工程学的含义、起源，发展，其进攻手段以及防范社会工程学的攻击的方法与技术。关键词：非传统信息安全，社会工程学师，网络钓鱼攻击，数据加密，数据隐写。随着电子商务的不断发展，全球电子交易一体化将成为可能。信息成了越来越重要的财富。但是，开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，网络信息安全技术作为一个独特的领域越来越受到人们的关注。那么什么是社会工程学攻击？提到社会工程学不得不提一个人。相信对网络有较深入的玩家都知道凯文·米特尼克。他是黑客中的王者。在他身上体现了什么是真正的社会工程学。他缔造了一个又一个神话。15岁侵入“北美空中防务指挥系统”的计算主机内。紧接着又侵入了“太平洋电话”公司，更改了数据库中的数据。这只是他辉煌历史的一个小小的片段。他的这一切的辉煌经济靠得不仅是传统系统的系统的入侵，更主要的是社会工程学。社会工程学就是利用人的心理弱点（如人的本能反应、好奇心、信任、贪婪）、规章与制度的漏洞等进行诸如欺骗、伤害等手段，以期获得所需的信息（如计算机口令、银行帐号信息）。社会工程学有狭义与广义之分。广义与侠义社会工程学最明显的区别是会与受害者进行交互式行为。比如，你会设置一个陷阱使对方调入，或是你会伪造一封来自内部的虚假电子邮件，或者你会利用相关通信工具於他们交流获取敏感信息。广义的社会工程学师师不会乱去下载网站与论坛的数据库碰运气。而是清楚的知道自己需要什么信息，应该怎样去做，从收集的信息当中分析出应该与哪个关键人物交流。这就是真正的社会工程学师攻击的思想。社会工程学入侵与传统的黑客入侵有着本质的区别，是非传统的信息安全。它不是利用漏洞入侵，而是利用人为性的漏洞。它无法用硬件防火墙、入侵检测系统，虚拟专用网络，亦或是安全软件产品所能防御的。社会工程学不是单纯针对系统入侵与源代码窃取，本质上，它在黑客攻击边沿上独立并平衡着。它的威胁不仅仅是信息安全，更包括能源、经济、文化、恐怖主义等。国防大学卢凡博士曾经说过：“它（社会工程学攻击）并不能等同于一般的欺骗手法，即使自认为最警惕最小小心的人，一样会受到高明的社会工程学手段的损害，因为社会工程学主导着非传统信息安全，所以通过对它的研究可以提高对非传统信息安全事件的能力。”现在的大多数攻击的典型入侵手段既传统的系统攻击与脚本攻击，由于安全厂商不断提供完备的解决方案变得越来越难了。在这样的情况下社会工程学慢慢的成了主流入侵技术，他们通过信息搜集与拨打电话式的社交直接索取密码，使得入侵更加容易。但同时就网络安全提出了更高的要求。是不断完善的安全技术推动了社会工程学的进一步发展。因此，想确保网络信息安全，就必须了解其主要的进攻手段。首先介绍一下网络钓鱼攻击。网络钓鱼（Phishing）一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”。其含义是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。案例：今年2月份发现的一种骗取美邦银行（SmithBarney）用户的帐号和密码的“网络钓鱼”电子邮件，该邮件利用了IE的图片映射地址欺骗漏洞，并精心设计脚本程序，用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏，使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时，状态栏显示的链接是虚假的。当用户点击链接时，实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似SmithBarney银行网站的登陆界面，而用户一旦输入了自己的帐号密码，这些信息就会被黑客窃取。攻击者也在不断地进行技术创新和发展，目前新的网络钓鱼技术已经在使用中。例如，用户会受到一则即时通讯消息或一封电子邮件，消息或电子邮件自称是朋友想让用户看渡