以社會工程學助力網絡安全

網際網路陷阱、惡意電子郵件等威脅網絡安全、資訊安全的負面行為，不僅是科技層面亟待破解的現實問題，而且也是社會科學領域需要重點關注的研究問題——這些網際網路行為與“社會工程學”（social engineering）息息相關。“social engineering”的概念最早由黑客凱文·米特尼克在《欺騙的藝術》中提出，後來“社會工程學”逐漸成為正式學科。

與網絡安全息息相關

作為一門融合了自然科學與社會科學、理論科學與技術科學的交叉學科，社會工程學研究日益受到關注，其與網絡安全之間的密切關系也成為熱點問題。

“社會工程學旨在研究社會發展具體模式的建構，其核心是探索社會模式設計、社會選擇的理論與方法等。”西安交通大學馬克思主義學院院長王宏波認為，社會工程學所指稱的社會工程活動實際上有兩種形态，一種是通過以社會規則體系的設計和建構為核心，以改善社會運作結構為目标，促進社會進步的社會活動，這類活動多發生在現實生活中；另一種則是在網絡空間利用技術手段、社交方式來擷取他人隐私，進而實作自己目的的社會工程活動，西方網絡界将這種活動稱為“社交工程”或“社會工程”，具有較大的負面影響，頻發于網絡世界。兩種類型的社會工程學也随之産生，他們在學科性質、理論内容和方法論特點上迥然不同。是以，把握并适當運用與網絡世界相關的社會工程學，重視對網絡社會工程活動的内在規律性的研究，對維護我國網絡安全具有重要價值。

哈爾濱工業大學人文與社會科學學院教授唐魁玉認為，社會工程學研究既可以證明相關交叉學科的“合理性”，推動既有科學譜系的重組和建構，提供一種複雜性社會理論和經驗解釋方式；又可以深化人們對資訊化、網絡化和資料化時代社會工程的本質和現狀的認識。此外，社會工程學研究在提升國家網絡安全水準、網絡社會品質和反黑客攻擊的資訊抗衡能力方面也将起到關鍵作用。

王宏波表示，研究網絡世界的社會工程學，在了解和掌握網絡世界社會工程活動的特點、規律、手段，有效預防網絡詐騙方面具有非常實際的價值。提升網絡安全不能被單純地了解為技術問題，網絡社會工程的特點決定了解決這一問題還需結合非技術手段，例如，通過網絡教育來幫助人們提升網絡社交的安全意識，增強識别網絡風險并及時防範的能力。

網絡世界的社會工程活動具有雙重性，肆意濫用會導緻一系列嚴重後果。南開大學商學院教授柯平将某些負面的社會工程活動稱為“黑客社交工程伎倆”或“黑客社交工程技法”。“它利用的是網絡社會的不成熟性和網絡生态問題，對網民具有極大的欺騙性，對網絡技術安全、網絡社交安全、網絡文化安全産生了嚴重危害。”柯平說。

唐魁玉表示，對社會工程活動的不恰當運用會滋生資訊技術崇拜，引發對黑客攻擊的恐慌，甚至造成大規模的資訊欺詐、侵犯隐私的黑客叢集行為。對于負面網絡社會工程活動的原理，柯平表示，它往往采用較為先進的資訊技術手段，利用網民的獵奇心理和對資訊的崇拜，以及網絡漏洞，誤導部分資訊技術愛好者踏入歧途。它準确捕捉了受害者的心理弱點，利用受害者好奇、信任、貪婪等心理設下陷阱，通過欺詐、傷害等手段為自身謀取利益，不僅破壞了網絡環境，對組織安全、倫理安全、公民的身心安全也構成了極大威脅。

引導網絡世界良性發展

近年來，我國高度重視網絡安全和資訊化工作，緻力于營造一個風清氣正的網絡空間。被訪學者表示，在這個過程中，應當引導網絡世界中負面的社會工程活動向良性方向發展，發揮社會工程學的積極作用，有效維護國家網絡安全。

王宏波表示，因社會工程的負面效應而對其避而遠之的“鴕鳥态度”并不可取。對待社會工程，應正視其存在，積極研究，了解其内部規律性，在正确的世界觀、價值觀的支配下運用，在防範負面社會工程活動的同時，積極開展正面的社會工程活動，為人類福祉的增益作貢獻。柯平認為，社會工程活動需要網絡安全立法、網絡治理等多種途徑來規範，公安、資訊管理部門和全社會應形成關聯，建立打擊負面社會工程活動乃至黑客技術犯罪的體系。與此同時，需要加強網絡安全教育，加強對資訊技術人員的倫理、法制教育，進一步完善高校資訊技術教育和人才培養體系，切實維護網絡空間和資訊技術行業的健康發展。

====================================分割線================================

本文轉自d1net（轉載）