您的位置:360文档中心› 浅谈社会工程学的入侵与防范

浅谈社会工程学的入侵与防范

浅谈社会工程学的入侵与防范
浅谈社会工程学的入侵与防范

浅谈社会工程学的入侵与防范

陈伟力

【期刊名称】《科学之友》

【年(卷),期】2011(000)027

【摘要】当今社会信息化正向人们生活的各个角落逐渐渗透,公司的机密文件及关于个人隐私的信息越来越多的依靠计算机进行存储.而处于各种目的的窃取公司或个人信息的行为也逐渐出现.文章以窃取信息的方式作为切入点,针对目前流行的以社会工程学为辅助手段的密码破译行为进行分析并提出解决办法,为人们提供一个友好安全的网络环境.

【总页数】2页(66-67)

【关键词】密码;社会工程学;穷举

【作者】陈伟力

【作者单位】邯钢培训中心,河北邯郸056000

【正文语种】中文

【中图分类】TP309

【相关文献】

1.浅谈社会工程学入侵军队涉密信息的防范 [J], 苏肖; 陈燕

2.浅析社会工程学入侵网络的机制与防范措施 [J], 任利宁

3.解析黑客之社会工程学入侵手段及防范措施 [J], 崔成

4.浅谈社会工程学入侵 [J], 韩法旺

5.社会工程学入侵黑客入侵的终极手段 [J], 夏勇峰

社会工程学之网络钓鱼攻击案例分析

社会工程学之网络钓鱼攻击案例分析 社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已呈迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。它蕴涵了各式各样的灵活构思与各种嬗变的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作,这些准备工作甚至要比其本身还更为繁重。 社会工程学陷阱通常以交谈、欺骗、假冒或口语等方式,从合法用户那里套取用户系统的秘密,例如:用户名单、用户密码及网络结构。比如:如果抗拒不了好奇心而打开了充满诱惑字眼的邮件,邮件携带的病毒就有可能被传播。MYDOOM与Bagle都是利用社会工程学的陷阱而传播的病毒。 随着网络的发展,社会工程学走向多元化,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法逐步多起来。社会工程学是一种与普通的欺骗/诈骗不同层次的手法。系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理进行攻击,是防不胜防的。借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。 一、网络钓鱼攻击手法 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,从而创造了“Phishing”,Phishing 发音与 Fishing相同。 “网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。 1.网络钓鱼特点 网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击的,存在着多个特点:

人因工程学课后习题及解答.doc

《人因工程学》课后复习思考题答案 郭伏、钱省三主编 第一章 一、简述人因工程学的定义。 答:人因工程学就是按照人的特性设计和改进人一机一环境系统的科学。 人一机-?环境系统是指由共处于同一时间和空间的人与其所操纵的机器以及他们所处的周围环境所构成的系统,也可以简称为人一机系统。 为了实现人、机、环境之间的最佳匹配,人因工程学把人的工作优化问题作为追求的重要目标。其标志是使处于不同条件下的人能高效、安全、健康、舒适地工作和生活。 二、人因工程学的发展历程经历了哪几个阶段? r萌芽时期(2。世纪初期) J 人因工程学的兴起时期(1910—1940年) ] 人因工程学的成长时期(1940—1960年) I 人因工程学的发展时期(I960年以后) 1.人因工程学的萌芽时期 20世纪初,美国人泰勒(科学管理的创始人)进行了著名的铁铲实验和时间研究实验,他还对工人的操作进行了时间研究,改进操作方法,制定标准时间,在不增加劳动强度的条件下提高了工作效率。 与泰勒同一时期的吉尔布雷斯夫妇开展了动作研究,创立了通过动素分析改进操作动作的方法。 在这一时期,德国心理学家闵斯托伯格倡导将心理学应用于生产实践,其代表作是《心理学与工业效率》,提出了心理学对人在工作中的适应与提高效率的重要性。 20世纪初,虽然己孕育着人因工程学的思想萌芽,但人机关系总的特点是以机器为中心,通过选拔和培训使人去适应机器。由于机器进步很快,使人难以适应,因此大玷存在着伤害人身心的问题。 2.人因工程学的兴起时期 这一?阶段处于第一次世界大战至第二次世界大战之前。第一次世界大战为工作效率研究提供了重要背景°该阶段主要研究如何减轻疲劳及人对机器的适应问题。 自1924年开始,在美国芝加哥西方电气公司的霍桑工厂进行了长达8年的“霍桑实验”, 这是对人的工作效率研究中的一个重要里程碑。实验得到的结论是工作效率不仅受物理的、生理的因素影响,还发现组织因素、工作气氛和人际关系等都是不容忽视的因素。 3.人因工程学的成长时期 这一阶段包括笫二次世界大战至20世纪60年代。二战以前,人与机器装备的匹配,主要是通过选拔和培训,使人去适应机器装备。

社会工程学

社会工程学 什么是社会工程学? 定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下,像CERT 发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而,这样的现象却常有发生。 那又如何呢? 社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲:最安全的计算机就是已经拔去了插头(注释:网络接口)的那一台(注释:“物理隔离”)。真实上,你可以去说服某人(注释:使用者)把这台非正常工作状态下的、容易受到攻击的(注释:有漏洞的)机器接上插头(注释:连上网络)并启动(注释:提供日常的服务)。

13.从电影《防火墙》看黑客的社会工程学

《防火墙》Firewall简介:哈里森-福特饰演一位国际银行保安主管,掌控银行的安全系统。犯罪份子绑架了他的家人,走投无路的福特,发誓要救回妻子和孩子……“防火墙”就是这场正邪大战的关键…… 名词解释:黑客的社会工程 什么是社会工程?在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。 以下是正文: 我这个人比较落伍,经常在电影热放很久以后才会去看,比如这次的firewall。 因为是自己的本行,所以对这部电影有很高的兴趣,对整个过程也看的比较仔细。看完以后

不仅慨叹,这是多么经典的一次暴力社会工程呀,只可惜精明的劫匪犯了一系列低级错误,造成最后的功亏一篑。真的应该好好总结一下这次的经验教训,以为后来者鉴。(叮咚!警察叔叔,找我有事吗?什么请我去喝茶?好呀好呀,我知道一个不错的茶馆。诶?去茶馆干嘛还带手铐呀?) 嗯!嗯!嗯!郑重声明,以下评论仅做技术性 讨论,并不代表本人支持任何类似的行为,或为其出谋划策。任何人利用本评论做任何事情都与本人无关。简而言之,我最多就是一个磨菜刀的(连卖菜刀的都不算),持菜刀抢劫的行为与本人无关。 ok,言归正传。首先来名词解释一下,什么是社会工程。在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。这里介绍一个著名的针对Microsoft的社会工程案例,一个黑客给Microsoft的网管发了一封邮件,

人因工程学课后习题及解答

课 后 习 题 集 解 答 第一章 一、简述人因工程学的定义。 答:人因工程学就是按照人的特性设计和改进人一机一环境系统的科学。人一机一环境系统是指由共处于同一时间和空间的人与其所操纵的机器 以及他们所处的周围环境所构成的系统,也可以简称为人一机系统。 为了实现人、机、环境之间的最佳匹配,人因工程学把人的工作优化问题作为追求的重要目标。其标志是使处于不同条件下的人能高效、安全、健康、舒适地工作和生活。 二、人因工程学的发展历程经历了哪几个阶段? 答:

发 世纪初期)萌芽时期(20 1940—人因工程学的兴起时期(1910 展 1.人因工程学的萌芽时期 20世纪初,美国人泰勒(科学管理的创始人)进行了着名的铁铲实验和时间研究实验,他还对工人的操作进行了时间研究,改进操作方法,制定标准时间,在不增加劳动强度的条件下提高了工作效率。 与泰勒同一时期的吉尔布雷斯夫妇开展了动作研究,创立了通过动素分析改进操作动作的方法。 在这一时期,德国心理学家闵斯托伯格倡导将心理学应用于生产实践,其代表作是《心理学与工业效率》,提出了心理学对人在工作中的适应与提高效率的重要性。 20世纪初,虽然已孕育着人因工程学的思想萌芽,但人机关系总的特点是以机器为中心,通过选拔和培训使人去适应机器。由于机器进步很快,使人难以适应,因此大量存在着伤害人身心的问题。 2.人因工程学的兴起时期 这一阶段处于第一次世界大战至第二次世界大战之前。第一次世界大战为工作效率研究提供了重要背景。该阶段主要研究如何减轻疲劳及人对机器

的适应问题。 自1924年开始,在美国芝加哥西方电气公司的霍桑工厂进行了长达8年的“霍桑实验”,这是对人的工作效率研究中的一个重要里程碑。实验得到的结论是工作效率不仅受物理的、生理的因素影响,还发现组织因素、工作气氛和人际关系等都是不容忽视的因素。 3.人因工程学的成长时期 这一阶段包括第二次世界大战至20世纪60年代。二战以前,人与机器装备的匹配,主要是通过选拔和培训,使人去适应机器装备。 二战期间,由于战争的需要,首先在军事领域开始了与设计相关学科的综合研. 究与应用,使人适应机器转入到使机器适应人的新阶段。 1945年第二次世界大战结束时,本学科的研究与应用逐渐从军事领域向工业等领域发展。并逐步应用军事领域的研究成果来解决工业与工程设计中的问题。 此外,美国、日本和欧洲的许多国家先后成立了学会。为了加强国际间交流,1960年正式成立了国际人类工效学会(IEA),标志着该学科已经发展成熟,该组织为推动各国的人因工程发展起了重要作用。 4.人因工程学的发展时期 20世纪60年以后,人因工程学进入了一个新的发展时期。这个时期人因工程学的发展有三大基本趋向。 (1)研究领域不断扩大。研究领域扩大到:人与工程设施、人与生产制造、人与技术工艺、人与方法标准、人与生活服务、人与组织管理等要素

8社会工程学攻击

社会工程学入侵 目前网络网络中最常用的攻击手段主要有以下几种: 1、社会工程学攻击 2、物理攻击 3、暴力攻击 4、利用Unicode漏洞攻击 5、利用缓冲区溢出漏洞进行攻击等技术。 在今天这篇文章中我将结合实际,介绍一些常用的的攻击工具的使用以及部分工具的代码实现。 下面首先给大家介绍一下社会工程学攻击,社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。 一、社会工程学攻击 目前社会工程学攻击主要包括两种方式:打电话请求密码和伪造E-mail 1、打电话请求密码 尽管不像前面讨论的策略那样聪明,打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。 2、伪造E-mail 使用telnet一个黑客可以截取任何一个身份证发送E-mail的全部信息,这样的Email消息是真的,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。

二、物理攻击之获取管理员密码 物理安全是保护一些比较重要的设备不被接触。物理安全比较难防,因为攻击者往往是来自能够接触到物理设备的用户。下面一案例来说明如何获得用户的管理员帐号。 如果你的电脑经常被别人接触,别人就有可能利用一些工具软件来获得你的管理员帐号,这样一来下次他就可以成功的登录你的计算机了。 一般来说我们自己使用的计算机的时候我们都是采用管理员登录的,而管理员帐号在登录后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,物理攻击者就可以利用程序将当前登录用户的密码解码出来。 在这种情况下,如果你的计算机给别人使用的话,你虽然不安告诉别人你的计算机密码是多少,别人仍然可以使用软件解码出你的管理员的帐号和密码。比如说使用FindPass.exe如果是Windows Server 2003环境的话,还可以使用FindPass2003.exe等工具就可以对该进程进行解码,然后将当前用户的密码显示出来。具体使用的方法就是将FindPass.exe或者FindPass2003.exe拷贝到C盘根目录,在cmd下执行该程序,就可以获得当前用户得登录名。 所以在此告诫大家如果你的计算机中有非常重要的信息的话也不要轻易给别人使用,这也是很危险的。 三、物理攻击之提升用户权限 有时候,管理员为了安全,给其他用户建立一个普通用户帐号,认为这样就安全了。其实不然,用普通用户帐号登录后,可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。例如利用Hacker帐户登录系统,在系统中执行程序GetAdmin.exe,这样一来程序就会自动读取所有用户列表,在对话框中点击按钮“New”,在框中输入要新建的管理员组的用户名。 输入一个用户名“IAMHacker”,点击按钮“确定”以后,然后点击主窗口的按钮“OK”,出现添加成功的窗口。 黑客社会工程学攻击的八种常用伎俩 著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益.此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩.

人因工程学论文

人因工程学论文 在人类的进化过程中,从最原始的完全依靠自然的生活(比如采集食物、狩猎以及逃避猛兽的追捕)到逐渐学会制作简单的工具,再到各种复杂工具和技术的发展。人类经历如此漫长的道路,才从原始社会发展到今天。现在,我们已经能够使用各种技术生产大量的产品和设备,其中包括我们的祖先所不可能想象的产品。在这个过程中,科学技术作为第一生产力发挥着至关重要的作用。然而技术发展与人的因素是不可分割的,他们的关系就是人们开始研究人因的起因。人们都有这样的经历,一些工具、装置、设备或机器的使用十分不方便,而只要稍加改动,用起来就会舒服的多。这些只是非常简单的人因工程学的应用。随着生产技术的发展和人类对于自身认识的加深,人因工程学学也越来越深入与技术融合再一起,同时也越来越深入地溶入人们的生活之中,例如在各种日常用品,家用摄像机、浴盆,电视机的遥控器等都非常典型地应用到人因工程学。下面将对人因工程学这门学科从总体进行认识并且较深入地理解几个比较重要的概念。 、人因工程学的定义 目前国际上对人因工程学有几种不同的称呼。美国称之为人因工程学(Human Factors),在欧洲工效学(Ergonomics)更为流行。有些学者称之为人类工程学(Human Engineering)、人机工程, 也有一些心理学家喜欢使用工程心理学(Engineering Psychology)的叫法。在具体的定义上,也没有统一。例如国际人机工程学会将人机工程学定义为:研究人在某种工作环境中的解剖学、生理学和心里学等方面的因素,研究人和机器及环境的相互作用,研究在工作中、生活中和休息时怎样统一考虑工作效率、人的健康、安全和舒适等问题的学科。中国企业管理百科全书将人机工程学定义为研究人和机器、环境的相互作用及其合理结合,使设计的机器和环境系统适合人的生理、心理等特点,达到在生产中提高效率、安全、健康和舒适的目的的学科。有些学者通过对于各种定义的归结,认为人机工程学可定义为:按照人的特性设计和改善人-机-环境系统的科学。 我们认为人因工程学的定义应该结合人因工程学研究的核心、目标以及方法来给出。在研究重点上,人因工程学着重于研究人类以及在工作和日常生活中所用到的产品、设备、设施、程序与人之间的相互关系。研究重点在于人和通过设计来影响人。人因工程学试图改变人们所用的物品和所处的环境,从而使其更好地满足人的工作能力和限制,适应人的需要。在研究目标上,人因工程学有两个主要的目标:第一是为了提高工作的效率和质量,例如简化操作、增加作业准确性、提高劳动生产率等;第二是为了满足人们的价值需要,如提高安全性、减少疲劳和压力、增加舒适感、获得用户认可、增加工作的满意度和改善生活质量等。在研究方法上,人因的基本方法就是对人的能力、限制、特点、行为和动机等相关信息进行系统研究,并将之用于产品、操作程序及使用环境的设计。它包括对人本身和人对事物、环境等反应的有关信息的科学研究。这些信息是进行设计的基础,并且可以用来分析当设计有所变化时可能产生的影响。作为一门注重设计的科学,人因工程学还包括对设计的评价等方面。 要了解一门学科,就必须了解这门学科的历史,人因工程学的发展分为四个阶段: 1.前导期 1945之前 人因工程的发展与人类的技术发展息息相关,由考古学的研究可知,在石器时代原始人已经开始发展简单的手工具、器皿,以扩展人的能力。为了便利使用,工具与器皿的设计与製造不断地改进,虽然当时所有的改善与设计皆以试误(Trial and Error)方式进行,并非经过严谨的设计与考虑步骤,但是其成效仍然非常惊人,在二、三千年之前,人类已在埃及、印度、中国具有非凡的成就。

社会工程学攻击方法总

社会工程学攻击方法总结时间:2010-08-24 14:00来源:未知作者:编辑A 点击:228次 著名黑客Kevin Mitnick在上世纪90年代让黑客社会工程学这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 著名黑客Kevin Mitnick在上世纪90年代让"黑客社会工程学"这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩。 1. 十度分隔法 利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核人员)。但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X。 在社会心理学中,六度分隔的古老游戏是由很多分隔层的。纽约市警察局的一位老资格探员Sal Lifrieri,如今正定期举办一个叫做"防范性运营"的企业培训课程,教授如何识别黑客穿透某个组织的社会工程学攻击手段。他说,黑客在一个组织中开始接触的人可能会与他所瞄准的目标或人隔着十层之远。 "我讲课时不断地在告诫人们,多少得具备一些放人之心,因为你不知道某人到底想从你这儿获得什么,"Lifrieri说。渗透进入组织的起点"可能是前台或门卫。所以企业必须培训员工彼此相识。而作为犯罪起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之远。" Lifrieri说,犯罪分子所用的方法很简单,就是奉承某个组织里更多可以接近的人,以便从职务更高的人那里获得他们所需的信息。 "他们常用的技巧就是伪装友好,"Lifrieri说。"其言辞有曰:‘我很想跟您认识一下。我很想知道在您的生活中哪些东西是最有用的。'然后他们很快就会从你那里获得很多你原本根本不会透露的信息。" 2. 学会说行话 每个行业都有自己的缩写术语。而社会工程学黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感。 "这其实就是一种环境提示,"Lifrieri说,"假如我跟你讲话,用你熟悉的话语来讲,

人因工程研究的现状及发展趋势

人因工程研究的现状及发展趋势 宋寒梅 (湖南大学机械与运载工程学院 20110407105) 摘要:以人因工程学科研究方向和对象范畴为基础,以2001年~2005年人因工程各研究领域发表文章关键词和主要相关杂志内容检索统 计为依据,通过对已检索文献的阅读和比较,分析了21实际最初五 年国内外人因工程学研究的内容和特征。对国内外人因工程研究的热点问题进行了比较分析,并对所用的研究方法及应用对象进行比较。最后,结合国内科学技术水平和社会环境发展现状,提出了人因工程学在我国的发展趋势,并对其今后的研究方向提出了建议。 关键词:人因工程学;研究方法;比较分析;研究热点 1.引言 人因工程学是近几十年发展起来的边缘学科,该学科从人的心理、生理等特征出发,研究人-机-环境系统优化,以达到提高系统效率,保证人的安全、健康和舒适的目的。人因工程研究领域涉及到几乎所有与“人”有关的系统。国外人因工程学科的发展经历了萌芽时期(科学管理),初始阶段(疲劳研究、人员选拔和培训)、成长阶段(人机界面设计)和发展阶段(应用领域和应用范围不断扩大)。我国的人 因研究比国外晚20年~50年,真正的发展是在1980年以后,主要以学习和引进西方人因工程理论和方法为主。 人类社会进入21实际,信息技术和制造技术的飞速发展改变着 人们的生活和工作方式,人的因素的影响和作用日益得到重视。与此

相关的人因工程学科在理论研究及应用上取得了丰硕的成果,新的研究领域不断诞生并发挥着重要的作用。本文通过对国内外人因工程研究成果进行对比分析,比较其研究内容和研究方法上的异同,明确研究热点,进而把握人因工程学科的发展方向。 2.国内外人因工程学研究现状 2.1国外人因工程学研究现状 一直以来,我国理论界对国外人因工程学研究规模和成果的分析鲜有涉猎,因此本文首先进行了大量的英文文献阅读与翻译的准备工作,并通过专家咨询、因子分析,最终确定与人因工程学研究、应用和相关的外文期刊。其次,统计了从2001年1月到2005年6月为止的共1416篇英文文献,对其内容进行了逐一分析、统一甄选和聚类。 总体来看,国外涉及人因工程研究的期刊较多,发表的论文旨在解决生产、生活中的实际问题,研究热点不断更新,适应社会经济发展,领导学术前沿。国外近五年人因工程研究内容包括人体研究、工作负荷与职业健康、作业环境研究、作业场所改善与作业方法研究、人因工程与行业研究、特殊人群研究、产品设计与评价、人机系统整体研究、组织和管理中的人因工程研究,以及人因工程项目成本绩效分析。图1描述了不同研究领域论文所占比重。

警惕“社会工程学”攻击!

警惕“社会工程学”攻击! 信息产业数字化进程逐步深入,各行业与信息化的结合越来越密不可分――数字化油田、数字电网、物联网、数字化家庭、数字云⋯⋯信息化的快捷和便利已成为社会发展和进步不可缺少的催化剂。然而,信息化的“双刃剑”效应也随着信息化的普及和发展逐步凸显。 随着安全防护技术的日益完善,利用技术弱点对信息系统进行攻击变得越来越困难,攻击者开始更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵防御和桌面安全、行为审计、身份认证、数据加密等先进的产品技术解决方案,使得信息安全在一定程度上取决于技术完备性。企业希望通过采购大量的安全产品,并通过安全防护产品的组合,来保护公司及员工的信息资产安全。但是,花费大量资金打造的传统安全防护体系往往会被很多低成本、低科技含量的非技术因素――“社会工程学”攻击轻松绕过。 非技术弱点 美国黑客凯文•米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定

义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。” 现实社会利用社会工程学进行攻击的手段多种多样,其中一个代表应用是“网络钓鱼”。社会工程师利用欺骗性的电子邮件和伪造的网络站点来进行诈骗,专门骗取电子邮件接收者的个人资料,例如身份证号、银行密码、信用卡卡号等信息。 其次,攻击者也通常会利用“垃圾桶”来收集有效信息,一些公司对打印过的文档不进行粉碎处理,攻击者就会在公司垃圾中找到诸如标书标底等商业信息。 上述两个案例都存在一个共性:并没有利用任何高技术含量的攻击手段,并且企业花巨资建造的信息安全系统对于上述“攻击”并没有任何干预,可是,社会工程攻击者已经拿到他们需要的足够的个人及企业信息了。 社会工程学攻击者的主要攻击手段,是选择“非技术弱点”进行攻击。这些非技术弱点通常体现在对人性及人格特质的利用,例如:逃避责任、义气、愧疚、轻信、野心等。“人”是攻击者最主要的突破口。从某种意义上讲,突破“人”这道防线通常比通过技术手段攻破防火墙更容易,甚至不需要很多投资和成本,冒的风险也很小。

常见黑客攻击手段

常见黑客攻击手段 转自鸿鹄论坛:https://www.360docs.net/doc/891008202.html,/read.php?tid-29751.html 在上期中列举了很多著名的Windows9x安全缺陷和漏洞。从理论上来讲,这些缺陷和漏洞都可以成为黑客攻击的着手点。但一般情况下,偏好攻击Windows9x系统的黑客,其网络及编程功底通常并不深厚,且攻击对象常带有很大的随机性。他们常使用现成的傻瓜型黑客工具来实施其攻击。 下面介绍一些常见的针对Windows9x系统的攻击手段和原理,所谓“知己知彼,百战不殆”,对黑客多一分了解,有助于采取更好的防范措施。 一、攻击前的热身 很多人都把黑客看做神乎其神的电脑技术天才,以为他们要入侵某个系统,就是简单按几下键盘而已。事实上并非如此。即便是超级黑客在入侵前,也要对目标对象作出一番全面的探查和信息搜集,并编制入侵计划,准备入侵工具。这个步骤要花费大量时间。而真正的实质性攻击,常常只有几分钟而已。下面简单的介绍一下准备工作。 1.搜集目标机构信息 黑客要攻击A机构的网络系统,首先做的是了解A机构,包括机构人员组成,系统管理员水平等。通过互联网上的机构网站,以及搜索引擎等,可以获得大量的信息。黑客甚至会冒充受信任人员从电话中套取安全信息。在黑客群体中,大名鼎鼎的超级黑客Kevin Mitnick技术上并不拔尖,但其在诈取目标对象机密信息方面却经验老到。 2.目标系统扫描 了解了机构信息,接下来就需要对目标系统作一番研究。如果黑客不知道目标系统布置了哪种防火墙,用的什么操作系统,打开了哪些服务端口,是无法入侵的。用各种各样的端口扫描工具,就基本上可以收集到上述重要信息。有了这样的信息,黑客就可以知道目标系统的弱点和漏洞在哪里,以便实施有针对性的攻击。利用NT系统漏洞的攻击工具被用来攻击UNIX系统,这是初级黑客的低水平体现。 有了上面所述的信息,黑客就可以部署严密的攻击计划了。一般情况下,对Windows9x系统的攻击无需上述的复杂步骤,因为Windows9x系统非常容易的就可以从网络上辨识出来(开139号端口的基本上就是Windows9x或者NT了,再通过其他开放的服务器端口,就可以确定操作系统了)。 二、DoS攻击

人因工程学的重要性及应用

第一章人因工程学概述 第一节学科概述 在人类的进化过程中,从最原始的完全依靠自然的生活(比如采集食物、狩猎以及逃避猛兽的追捕)到逐渐学会制作简单的工具,再到各种复杂工具和技术的发展。人类经历如此漫长的道路,才从原始社会发展到今天。现在,我们已经能够使用各种技术生产大量的产品和设备,其中包括我们的祖先所不可能想象的产品。在这个过程中,科学技术作为第一生产力发挥着至关重要的作用。然而技术发展与人的因素是不可分割的,他们的关系就是人们开始研究人因的起因。人们都有这样的经历,一些工具、装置、设备或机器的使用十分不方便,而只要稍加改动,用起来就会舒服的多。这些只是非常简单的人因工程学的应用。随着生产技术的发展和人类对于自身认识的加深,人因工程学学也越来越深入与技术融合再一起,同时也越来越深入地溶入人们的生活之中,例如在各种日常用品,家用摄像机、浴盆,电视机的遥控器等都非常典型地应用到人因工程学。下面将对人因工程学这门学科从总体进行认识并且较深入地理解几个比较重要的概念。 、人因工程学的定义 目前国际上对人因工程学有几种不同的称呼。美国称之为人因工程学(Human Factors),在欧洲工效学(Ergonomics)更为流行。有些学者称之为人类工程学(Human Engineering)、人机工程, 也有一些心理学家喜欢使用工程心理学(Engineering Psychology)的叫法。在具体的定义上,也没有统一。例如国际人机工程学会将人机工程学定义为:研究人在某种工作环境中的解剖学、生理学和心里学等方面的因素,研究人和机器及环境的相互作用,研究在工作中、生活中和休息时怎样统一考虑工作效率、人的健康、安全和舒适等问题的学科。中国企业管理百科全书将人机工程学定义为研究人和机器、环境的相互作用及其合理结合,使设计的机器和环境系统适合人的生理、心理等特点,达到在生产中提高效率、安全、健康和舒适的目的的学科。有些学者通过对于各种定义的归结,认为人机工程学可定义为:按照人的特性设计和改善人-机-环境系统的科学。 我们认为人因工程学的定义应该结合人因工程学研究的核心、目标以及方法来给出。在研究重点上,人因工程学着重于研究人类以及在工作和日常生活中所用到的产品、设备、设施、程序与人之间的相互关系。研究重点在于人和通过设计来影响人。人因工程学试图改变人们所用的物品和所处的环境,从而使其更好地满足人的工作能力和限制,适应人的需要。在研究目标上,人因工程学有两个主要的目标:第一是为了提高工作的效率和质量,例如简化操作、增加作业准确性、提高劳动生产率等;第二是为了满足人们的价值需要,如提高安全性、减少疲劳和压力、增加舒适感、获得用户认可、增加工作的满意度和改善生活质量等。在研究方法上,人因的基本方法就是对人的能力、限制、特点、行为和动机等相关信息进行系统研究,并将之用于产品、操作程序及使用环境的设计。它包括对人本身和人对事物、环境等反应的有关信息的科学研究。这些信息是进行设计的基础,并且可以用来分析当设计有所变化时可能产生的影响。作为一门注重设计的科学,人因工程学还包括对设计的评价等方面。 综上所述,人因工程学可以简单地定义为:人因工程学是基于对人和机器,技术的深入研究,发现并利用人的行为方式、工作能力、作业限制等特点,通过对于工具、机器、系统、任务、和环境进行合理设计,以提高生产率、安全性、舒适性和有效性的一门工程技术学科。 作为一门工程技术,人因工程学不同于其他一般工程技术学科的一些要点

社会工程学之网络钓鱼攻击案例分析(文档)

[原创]社会工程学之网络钓鱼攻击案例分析(文档) 社会工程学(SocialEngineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势.那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益. 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重. 社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构。只要有一个人抗拒不了本身的好奇心看了邮件,病毒就可以大行肆虐。MYDOOM与Bagle都是利用社会工程学陷阱得逞的病毒。从社会工程学慢慢伸延出以其为首要核心技术的攻击手法,网络钓鱼攻击、密码心理学以及一些利用社会工程学渗入目标企业或者内部得到所需要信息的大胆手法.社会工程学是一种与普通的欺骗/诈骗不同层次的手法,因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法.系统以及程序所带来的安全往往是可以避免得,而在人性以及心理的方面来说,社会工程学往往是一种利用人性脆弱点,贪婪等等的心理表现进行攻击,是防不胜防的.借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法. 网络钓鱼攻击手法 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”,Phishing发音与Fishing相同。 “网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。 网络钓鱼是基于人性贪婪以及容易取信他们的心理方面来进行攻击,存在着多个特点: 存在着虚假性(欺骗性)大家都已经会听说过假币,利用极度模仿的手法去伪造真实货币的样貌,不管是什么角度来看都是和真实的没有什么两样,钓鱼者可以利用自己的站点去模仿被钓网站的克隆,然后结合含有近似域名的网址来加强真实程度。更有甚者会先入侵一台服务器,在服务器上面做相同的事情,让自己可以更好的脱离其中,逃避追踪以及调查。 存在针对性,我们可以在APWG(Anti-PhishingWorkingGroup)的钓鱼报告可以看出,通常与钓鱼者紧紧相关的网站都是一些银行、商业机构等等的网站机构,随着互联网飞速的发展,电子商务、网上购物已经成为了和网民息息相关的服务。庞大的网络资金流动,带动了很多的新兴行业,也带来了潜在的安全隐患。网络钓鱼就是潜在当中最严重最令人头痛的安全隐患。

网络黑客及其常用攻击方法

计算机网络系统面临的严重安全问题之一就是黑客攻击。黑客由产生初期的正义的“网络大侠”演变成计算机情报间谍和破坏者,他们利用计算机系统和网络存在的缺陷,使用手中计算机,通过网络强行侵入用户的计算机,肆意对其进行各种非授权活动,给社会、企业和用户的生活及工作带来了很大烦恼。 1.黑客的概念及类型 (1)黑客及其演变 “黑客”是英文“Hacker”的译音,源于Hack,本意为“干了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门利用计算机进行破坏或入侵他人计算机系统的 人的代言词。 “骇客”是英文“Cacker”的译音,意为“破坏者和搞破坏的人”。是指那些在计算机技术上有一定特长,非法闯入他人计算机及其网络系统,获取和破坏重要数据,或为私利而制造麻烦的具有恶意行为特征的人。骇客的出现玷污了黑客,使人们把“黑客”和“骇客”混为一体。 早期的“黑客”是一些专门研究、发现计算机系统和网络漏洞的计算机爱好

者。他们只对计算机系统有着狂热的兴趣和执着的追求,不断地研究计算机和网络知识,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。“黑客”不是恶意破坏者,是一群纵横于网络上的大侠,追求共享、免费,提倡自由、平等,“黑客”的出现推动了计算机和网络的发展与完善。 现在,黑客一词已经被用于那些专门利用计算机进行破坏或入侵他人计算机系统的代言词,指少数凭借掌握的计算机技术,怀着不良的企图,采用非法手段获得系统访问权或逃过计算机网络系统的访问控制,进入计算机网络进行未授权或非法访问的人。 虚拟的网络世界里,黑客已成为一个特殊的社会群体。在世界上很多国家,有不少完全合法的黑客组织,经常召开黑客技术交流会,利用因特网在自己的网站上介绍黑客攻击手段,免费提供各种黑客工具软件,出版网上黑客杂志,致使普通用户也很容易下载并学会使用一些简单的黑客手段或工具,对网络进行某种程度的攻击,进一步地恶化了网络安全环境。有统计数据显示,世界上平均每5秒就有一起黑客事件发生,无论是政府机构、军事部门,还是各大银行和公司,只要与互联网接轨,就难逃黑客的“黑手”。 (2)中国黑客的形成与发展 1994年4月20日,中国国家计算与网络设施工程(The National Computing andNetworking Facility of China,NCFC)通过美国Sprint公司,连入Internet的64K国际专线开通,实现了与Internet的全功能连接。中国成

社会工程学攻击的防御机制

近日,翼火蛇安全的客服人员在对客户张先生进行回访时,张先生向客服人员讲诉了这样一件事情。 张先生是沪上一家弱电集成企业的老板,前几日,他们的工程师收到一封电子邮件,发件人称是张先生公司的项目经理刘某,让该工程师将正在接洽的一家客户的设计方案及报价发送给他,由于刘某的确负责该客户的项目,所以该工程师也就没有多想,就将设计方案及报价回复给了发件人。次日,项目经理刘某询问该工程师项目设计方案进展情况,该工程师方知自己被那封邮件给骗了,于是赶紧将此事报告给老板张先生。张先生在了解了事情的来龙去脉之后,并没有发怒埋怨,只是提醒员工以后多加注意,并吩咐两人尽量查清该邮件诈骗的始作俑者。 之所以张先生并未将此事放在心上,不是他不在乎数百万的项目机密资料被人骗去,而是张先生公司部署了翼火蛇安全系统,机密资料在内部流传时,员工只要有相应权限都是可以正常查看的,如果外发的话是需要解密的,否则别人收到的文件都是以乱码形式呈现的。由于项目经理刘某是内部员工而且有阅读权限,所以该工程师在发邮件时并未解密,骗子收到邮件后是不能正常读取的。 该工程师的遭遇属于社会工程学攻击的一种,“社会工程学攻击”名字听上去很高大上,实际在我们日常生活中却是经常会碰到的,比如泛滥的电信诈骗。社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段获取非法利益的手法。前面讲述的当事工程师正是出于对发信者的信任才未加留意就将企业的机密资料发送给了骗子。 由于企业信息化建设的深入,越来越多的企业开始重视信息安全,然而,如果黑客或者商业间谍将黑客攻击手段与社会工程学攻击融合在一起,那么也就不存在所谓的安全系统了,因为它不是利用软件或系统的漏洞实现入侵的。个人用户或企业用户经常会通过安装硬件防火墙、入侵检测系统、虚拟专用网络或者其他安全软件产品的方式进行防护,但是这些并不能防御黑客的社会工程学攻击。黑客通过社会工程学攻击的方式只需要拨打一个电话或者发送一个正常的电子邮件,就可以让受攻击者出于信任、恐惧、好奇心等奉送黑客想要获取的信息。 调查发现,很多此类安全事件的发生就是出现在骗取敏感信息管理员或拥有者的信任,从而轻松绕过所有技术上的防护,实现恶意攻击的目的。上面讲述的事件中,张先生后来经过调查得知,骗子是竞争对手的一名销售人员,该竞争对手也在觊觎张先生正在接洽的客户项目,这名销售人员在千方百计得到张先生公司工程师及项目经理的信息后,于是上演了文中讲述的骗局。该销售人员不是大家心目中有着卓越计算机技能的黑客,也不是职业的商业间谍,然而就是这样一名普通人,就能轻松绕过张先生公司坚固的网络防护系统,骗取自己想要获得的机密信息。 在我国,企业机密信息泄露多数是因为员工有意或者无意间造成的,而员工无意间泄露企业机密信息也多是因为受到了黑客或者商业间谍的社会工程学攻击。Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学攻击是未来10年最大的信息安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的”,一些信息安全专家预言,社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。

人因工程学课后习题及解答

第一章 一、简述人因工程学的定义。 答:人因工程学就是按照人的特性设计和改进人一机一环境系统的科学。 人一机一环境系统是指由共处于同一时间和空间的人与其所操纵的机器以及他们所处的周围环境所构成的系统,也可以简称为人一机系统。 为了实现人、机、环境之间的最佳匹配,人因工程学把人的工作优化问题作为追求的重要目标。其标志是使处于不同条件下的人能高效、安全、健康、舒适地工作和生活。 二、人因工程学的发展历程经历了哪几个阶段? 答 萌芽时期(20世纪初期) 人因工程学的兴起时期(1910 —1940年)人因工程学的成长时期(1940 — 1960年)人因工程学的发展时期(1960年以后) 1.人因工程学的萌芽时期 20世纪初,美国人泰勒(科学管理的创始人)进行了著名的铁铲实验和时间研究实验,他还对工人的操作进行了时间研究,改进操作方法,制定标准时间,在不增加劳动强度的条 件下提高了工作效率。 与泰勒同一时期的吉尔布雷斯夫妇开展了动作研究,创立了通过动素分析改进操作动作 的方法。 在这一时期,德国心理学家闵斯托伯格倡导将心理学应用于生产实践,其代表作是《心 理学与工业效率》,提出了心理学对人在工作中的适应与提高效率的重要性。 20世纪初,虽然已孕育着人因工程学的思想萌芽,但人机关系总的特点是以机器为中 心,通过选拔和培训使人去适应机器。由于机器进步很快,使人难以适应,因此大量存在着 伤害人身心的问题。 2.人因工程学的兴起时期 这一阶段处于第一次世界大战至第二次世界大战之前。第一次世界大战为工作效率研究 提供了重要背景。该阶段主要研究如何减轻疲劳及人对机器的适应问题。 自1924年开始,在美国芝加哥西方电气公司的霍桑工厂进行了长达8年的“霍桑实验”,这是对人的工作效率研究中的一个重要里程碑。实验得到的结论是工作效率不仅受物 理的、生理的因素影响,还发现组织因素、工作气氛和人际关系等都是不容忽视的因素。 3.人因工程学的成长时期 这一阶段包括第二次世界大战至20世纪60年代。二战以前,人与机器装备的匹配,主 要是通过选拔和培训,使人去适应机器装备。 二战期间,由于战争的需要,首先在军事领域开始了与设计相关学科的综合研究与应用,使人适应机器转入到使机器适应人的新阶段。 1945年第二次世界大战结束时,本学科的研究与应用逐渐从军事领域向工业等领域发展。并逐步应用军事领域的研究成果来解决工业与工程设计中的问题。 此外,美国、日本和欧洲的许多国家先后成立了学会。为了加强国际间交流,1960年正式成立了国际人类工效学会(IEA),标志着该学科已经发展成熟,该组织为推动各国的人因工程发展起了重要作用。 4.人因工程学的发展时期

相关主题
相关文档
最新文档