第五章 我来帮你（八）

 保持敏感信息的安全

如同本章中所讲的那样，当一个陌生人以提供帮助的名义与工作人员接近时，工作人员必须遵循为适合公司文化、业务需要而定制的合适的安全策略。

注：个人认为，并不是所有的企业都需要共享和交换密码，建立一个严格的规则来禁止员工共享和交换机密口令很容易，而且也更安全，但每个企业必须结合自己的工作环境和安全要点来做选择。

绝不要配合陌生人查询信息、在计算机上键入不熟悉的命令、改变软件设置，或是打开邮件的附件和下载未经检测的程序（这最有可能造成危害）。任何软件程序，即便是那些看上去无碍的程序，也很可能暗藏危险。

有些工作，无论我们的培训做得有多好，时间一长，我们就又粗心大意起来。接着便忘掉了非常时期的培训，因为那时正需要它。你可能认为不要泄露你的用户名和口令是一件无需提醒的事，任何人都知道或都应知道，这是一种普遍的认识。但实际上，每个员工都需要被经常提醒――泄露办公室计算机、家庭计算机、甚至是邮资机的用户名和口令与泄露ATM卡的个人身份识别码一样危险。

有时，在非常偶然的情况下，在有限的环境下，把机密信息透露给别人是必要，甚至可能是十分重要的。为此，制定“永远不要”的绝对规则是不合适的。然而，为特定环境制定相应的安全策略和规程十分必要，员工在非常时期可以把口令透露给别人，但对方必须被授权。

注意对方身份

在大多数机构中，安全规则要囊括所有可能给企业或工作人员带来损失的信息，只能是亲自认识的人，或是十分熟悉对方声音的情况下才能将信息透露。在高度防范的情况下，只有人员亲自在场的要求才被许可，或是通过一个强有力的认证模式，比如通过两个单独的检验条件，像共享密码和时间令牌。数据分类措施也必须指明公司敏感工作部门的信息不要透露给不认识的人或以某种形式担保的人。

注：很难让人相信，即使在企业员工数据库中查询打电话人的名字和电话号码并拨打回去，也不足已保证对方的身份。社会工程师懂得如何把名字放入数据库中和把电话转拨的方法。

那你又该如何处理公司的另外一名工作人员听起来十分合理的要求呢？比如，他需要你们部门的名单和电子邮件列表。实际上，对这种仅供内部使用，且明显没什么价值（这与新产品说明书的价值不可同日而语）的信息，很难对其提升安全意识。一个主要的解决方法就是，为每个部门指派一个负责处理对外发布信息的人，并给他们安排相应的培训，以使其明白应该遵循的确认程序。

勿有遗漏

任何人都可以对企业哪里需要高级别的安全防护以杜绝恶意攻击的事情夸夸其谈，可我们却经常忽略其它地方，这些地方并不明显，但极易受攻击。在上述的故事中，发传真到公司内部的一个号码似乎比较安全，没什么害处，但攻击者却利用了这一点。从这个例子中应该吸取如下教训：

公司的每一个人，从秘书、行政助理到执行人员和高层管理者都需要进行专门的安全培训，以使他们面对类似的欺骗手段时保持警醒。而且，别忘了看好前门――接线员，通常也是社会工程师的首要目标，必须让他们了解某些来访者和打电话人的骗术。企业安全部门应该建立一个单一的联系点，类似于情报中心，为那些认为自己可能成为社会工程师的攻击目标的员工汇报情况时所用。这样的一个情报中心会提供有效的预警系统，清晰化悄然发生的攻击，从而令任何破坏行动得到及时的控制。