社会工程学防御之注重信息保护

5.3.4  社会工程学防御

社会工程学攻击是一种非常危险的攻击，除了常规的建设完善的信息安全防护技术体系、实施良好的信息安全管理制度等措施外，还应该从以下几个方恧考虑。

1.注重信息保护

信息收集是社会工程学攻击实施的基础，因此攻击者在实施前会对目标进行信息收集， 了解目标所有相关的资料和信息。这些资料和信息对很多组织机构来说都是公开或者看似无用的，然而对攻击者来说，这些信息都是非常有价值的，这些信息收集得越多，离他们成功得实现身份伪装就越近。如果认为信息没有价值或者价值非常低，组织机构通常不会采取措施进行保护，这正是社会工程学攻击者所希望的。任何信息都是有价值的，组织机构应充分了解信息的价值并在工作中应用这样的理念，在组织机构日常的工作中，对信息的发布和公开应遵循“不是必须公开的信息都是敏感信息”原则，尽量避免信息泄露，这对防御社会工程学攻击禽旨起到良好的作用。另外，对于使用过的资料和数据，应及时进行销毁，例如打印机打印错误的纸张，快递单、取款凭证等。