人是最坚固的防火墙(3)

　　社会工程学，并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益；即使最先进的网络防火墙，一样无法阻挡没有电信号的信息泄露。企业在制定社会工程攻击防护方法时一定要充分考虑自身的特点，千万不能生搬硬套。根据受到过攻击的企业所提供“亡羊补牢”的方法大致归纳如下：

　　建立事故响应小组

　　从信息安全的观点，任何外部威胁的处理（包括社会工程）将被认为是一次事故。事故响应小组的目的就是有效检测潜在的信息安全事件并且提供一个有效的手段来降低事件对公司的影响。同一般性的网络攻击所不同的是，事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成，他们要经过良好培训并随时准备对社会工程攻击做出反应，有效的分析出入侵的目的与方式。

　　制定规章与教育相结合

　　防范社会工程攻击的困难在于大多数物理硬件和安全控制措施是无效的。因为社会工程攻击的目标是人，所以其防范措施需要集中在信息安全的管理部分。一个有效的防御措施就是建立全员的信息安全策略，策略指导应包含所有员工的“信息安全行为规则”。另外，有效的抵抗措施就是用户意识培训，在整个公司的层面上，将这个信息传递给所有员工是非常关键的。这样，整个公司在所有层次上都非常警觉。

　　模拟入侵程序

　　模拟入侵测试是一种从外部观点来评价安全控制措施的方法，是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司如果想测试他们对于社会工程攻击的防备程度，也可以采用模拟入侵测试来发现一些证据。但是必须注意的是，尽管渗透性测试是评估组织的控制措施的最好方法之一，但这种方法的有效性强烈依赖于测试者的水平和努力程度。另外，制定立即通告制度也很重要，一旦员工发现一个社会工程攻击的企图，必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤，以及精心配备的事故响应小组也要将其效能最大化。

　　其他

　　尽可能应用其他技术措施，比如电话录音、客户访问记录、文档等级制度。这里需要提醒的是如果制定更多的员工行为监视和审核制度有可能遭到员工反对，或者触及到个人隐私，所以要在法律允许的范围内进行，以避免企业的违法行为发生。