引言

为了保证信息系统和网络的安全，企业往往投入大量资金进行信息安全建设。由于企业管理的特点，公司的信息安全投入集中在信息安全设备和信息安全防护系统的建设上。通过网络架构设计、入口管理、防火墙、备份设备、安全、审计、行为管理等设备，通过技术手段防止攻击。通过技术手段进行安全基本上可以防止大多数随机攻击者的积极入侵，但对于企业来说，很难防止竞争对手或其他恶意组织或个人获得商业秘密或数据APT（AdvancedPersistentThreat）攻击。利用社会工程学APT攻击，往往是最难、最有效的攻击手段。对于企业安全管理者来说，狭义或常见的社会工程攻击方法，如通过狭义或常见的社会工程攻击方法，如QQ，电话和其他伪装来欺骗公司基本数据的社会工程手段已经很熟悉，而且很容易预防，但很难使用移动设备、大数据和社交网络来攻击社会工程。社会工程学最早由KevinDavidMitnick在《欺骗的艺术》一书中，这种攻击的核心是一种针对性“人”非传统信息安全领域的入侵手段。然而，随着技术的进步和社会工程攻击的发展，社会工程攻击的延伸也在逐渐扩大，目前还没有统一、完整的定义。由于互联网技术的快速发展，社会工程攻击手段涵盖了更广泛的方面，通过结合大数据技术、社交网络、人类因素，毫不夸张地说，只要充分准备，通过社会工程可以“黑”失去大部分的企业网站和系统。

企业常见管理漏洞分析

1.1.绩效管理驱动导致企业安全管理重点偏离

一般企业管理采用绩效考核、目标管理等方法进行管理。由于目标管理法的特点，企业在年初制定绩效目标时应有具体的目标和内容。当涉及到信息安全时，往往只强调结果，而不强调路径，如“今年不发生泄漏，泄”，“本年度因XX服务器终止服务时间小于X小时”等指标类目标。对于采购，技改类往往比较明确，比如“本年度完成XX设备采购，完成XX系统升级”等节点类目标。如果需要过程控制，路径不明确的工作目标在分解工作时容易造成遗漏，考虑不周，工作结果难以明确，日常控制难以进行。管理者在处理这类工作时，只要不发生事故，多做，少做是一样的，不影响年终考核的侥幸心理。实施、施工工作由于其任务非常明确，完成识别度高，一般是企业优先开展的工作。由于管理难度大、泄露因素多、攻击隐蔽性强，信息泄露防范工作往往不受企业管理者的重视。而且很多企业在信息泄露后并不知道信息已经泄露，长期不会采取相关措施。

1.2.缺乏信息安全管理能力，导致一般企业容易受到攻击

由于企业的性质和规模，除总部公司、大型公司和网络相关公司外，中小企业不会招聘从事网络安全攻击测试的专业技术人员进行网络安全管理。即使是掌握企业安全防护理论知识的信息安全从业者，对新的攻击手段和非常规攻击手段的防护能力也较弱。一般来说，许多公司通过安全设备、网络出入口、终端设备、系统管理、关键防范服务器、核心网络不被积极打破、系统不瘫痪、数据不丢失等方式采购设备或外包服务。但由于企业管理人员管理水平有限，一些黑客正在获取网站Webshell或者系统权限后长期窃取企业信息，企业管理者根本找不到，造成大量数据泄露。

1.3全员防范意识薄弱，导致信息安全工作失败

与企业信息安全管理部门和人员相比，企业普通员工往往对信息安全、信息安全和预防手段了解不够。部分员工不同意企业的信息安全保护手段，不合作，甚至抵制，通过公司网络社交，使用公司邮箱发送私人邮件，申请注册网络服务，使用内部网络计算机非法操作，甚至部分员工通过百度图书馆网络共享文档平台内部信息获取积分，这些行为给网络攻击带来机会；此外，企业在制定员工账户时配置默认密码，许多员工从不修改，即使修改很容易破解。

1.4人移动设备隐患，风险从企业外部带入内部

个人移动设备是指携带自己的移动设备，如笔记本电脑、移动硬盘、智能手机等设备，这些设备由于个人使用往往接入不同的网络环境，比公司固定计算机更容易被黑客攻击，一旦接入公司内部网络，就会造成很大的风险。现在智能手机几乎是必要的设备，但手机保护的企业应用较少，已成为安全风险和风险。

1.5为方便使用，牺牲安全管理

企业信息安全管理、规定和规范使用过程往往与使用方便、方便相矛盾。信息安全管理人员在部署信息安全系统、保护措施及其系统时，往往会平衡和灵活地考虑这些问题，这往往会降低公司的安全保护水平。一般来说，企业领导的账户往往是黑客的突破，因为企业领导的账户权限很高，而且由于领导工作繁忙，密码通常相对简单。

1.企业保护测试忽略了社会工程学测试

许多企业会邀请安全厂商或技术团队对企业网站、系统进行攻击测试，这些测试基本上都是正面攻击，DDOS攻击是主要的，更容易测量系统的压力数据，也更容易暴露一些系统漏洞，效果更好。但由于社会工程攻击的攻击点较多，单次攻击反馈的问题可能无法反馈企业管理的核心漏洞，整改难度较大。例如，攻击者通过弱密码进入企业管理系统，但背后的原因往往方面的和随机的。