剖析网络安全中的社会工程学

也可以看出，“人”这个环节在整个安全体系中是非常重要的。这不像地球上的计算机系统，不依赖他人手动干预（注释：人有自己的主观思维）。由此意味着这一点信息安全的脆弱性是普遍存在的，它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。

无论是在物理上还是在虚拟的电子信息上，任何一个可以访问系统某个部分（注释：某种服务）的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被社会工程学使用者用着“补给资料”来运用，使其得到其它的信息。这意味着没有把“人”（注释：这里指的是使用者/管理人员等的参与者）这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。

一个大问题？

安全专家常常会不经意地把安全的观念讲得非常的含糊，这样会导致信息安全上的不牢固性。在这样的情况下社会工程学就是导致不安全的根本之一了。我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实，原因我在之前已经声明过了，地球上的计算机系统不可能没有“人”这个因素的。几乎每个人都有途径去尝试进行社会工程学“攻击”的，唯一的不同之处在于使用这些途径时的技巧高低而已。

方法

试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。第一种方法也是最简单明了的方法，就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。毫无疑问这是最容易成功的，也是最简单与最直观的方法了。当然，被指引的个体也会清楚地知道你想他们干些什么。

第二种就是为某个个体度身订造一个人为的（注释：通过捏造的手段）特定情形/环境。这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素，例如如何说服你的对象，你可以设定（注释：刻意安排）某个理由/动机去迫使其为你完成某个非其本身意愿的行为结果。这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作，与大量你想得到的“目标”的相关知识。这意味着那些特定的情况/环境必须建立在客观事实的基础上。少量的谎言会使效果更好一些。