你已经安装了两个防火墙，一个入侵防御系统（IPS）并配置了杀毒软件，因此对企业整个的网络安全状况感觉良好。服务器打过补丁了、信息数据包也处理过了，而且当网络流量出现异常的时候你会收到警报，并当场杀毒。耶！生活太美好了。那么问题出在哪儿呢？

　　黑客很聪明，而且在从毫不怀疑的员工身上获取信息的时候通常都很狡猾。你的服务台、IT员工和普通的用户关心的是对需要帮助的人伸出援手并安抚他们。不管你的员工付出了多大的代价，它们都不能想防火墙处理数据包一样处理电话。实际上，大部分人都想在看似无辜的人需要帮助的时候伸出援助之手。

　　社会工程是黑客可以取得更多成绩的策略，这样必识别或者绕过防火墙和IPS用的时间要少很多。幸运还是不幸都依赖于你问的人是谁，安全管理员不可能屏蔽每个人的电话或者询问进入公司的每个人的ID。你的员工，特别是那些非结构化的员工应过滤恶意请求，阻止它们通过大门和电话线进入。他们可以做这些昂工作吗？让他们做好准备的最好方式是对他们进行他们上下班时间可能遇到的社会工程黑客攻击策略的培训。

　　很简单，社会工程攻击包括采用明智的方式回答问题，然后使用这些问题还获取限制区域或者信息的访问。它可以是黑客假扮成服务台的技术人员询问用户的密码，或者假扮成其他人例如网络管理员、难过的用户或者需要访问通讯设备的电工、需要进入机房的消防人员、看门人或者其他可信人员。这些类型的人想要访问电脑或者机房的难度有多大呢？你向那些不期而遇的电工询问ID的次数有多少呢？如果你在布线室发现了一位“电工”，你会问他问题吗？如果你和大部分人一样，你就会认为一切正常，并继续做你的工作。这种行为试验模式正是黑客预计的行为。

　　除了员工培训，这些类型的攻击最好可以通过制定社会工程防御策略来阻止。这些策略要禁止在电话和邮件中泄露敏感信息，禁止通过大门，并要求访问者佩戴标志。我还高度推荐你读一下Kevin Mitnick关于社会工程的书，叫作《欺骗的艺术》（The Art of Deception）。通过查看安全的人为因素，你就可以防御对公司顶级机密的非授权访问。