5.3.4  社會工程學防御

社會工程學攻擊是一種非常危險的攻擊，除了常規的建設完善的信息安全防護技術體系、實施良好的信息安全管理制度等措施外，還應該從以下幾個方恧考慮。

1.注重信息保護

信息收集是社會工程學攻擊實施的基礎，因此攻擊者在實施前會對目標進行信息收集， 了解目標所有相關的資料和信息。這些資料和信息對很多組織機構來說都是公開或者看似無用的，然而對攻擊者來說，這些信息都是非常有價值的，這些信息收集得越多，離他們成功得實現身份偽裝就越近。如果認為信息沒有價值或者價值非常低，組織機構通常不會采取措施進行保護，這正是社會工程學攻擊者所希望的。任何信息都是有價值的，組織機構應充分了解信息的價值并在工作中應用這樣的理念，在組織機構日常的工作中，對信息的發布和公開應遵循“不是必須公開的信息都是敏感信息”原則，盡量避免信息泄露，這對防御社會工程學攻擊禽旨起到良好的作用。另外，對于使用過的資料和數據，應及時進行銷毀，例如打印機打印錯誤的紙張，快遞單、取款憑證等。