［關鍵詞］社會工程學；電力系統(tǒng)；信息安全

［中圖分類號］TP393.08 ；TM73 ［文獻標志碼］A ［文章編號］2095–6487（2024）11–0077–03

1基于社會工程學的信息泄露途徑

1.1個人信息泄露

由于電網(wǎng)工作的特殊性，從業(yè)者通常會接觸到電網(wǎng)的內部隱私信息，包括一些電站的規(guī)劃設計、最新的電氣技術等，這些信息對于電網(wǎng)安全至關重要，因此，電力從業(yè)者的個人信息也成為了不法分子的目標，如他們發(fā)布的招聘簡歷、在打印店復印的身份證、隨手丟棄在家門口的快遞包裝、朋友圈曬出的照片等，都可能成為泄露個人信息的缺口。

此外，社工人員對于目標用戶的直接攻擊會導致更加敏感的數(shù)據(jù)泄露，如黑色產業(yè)鏈中個人信息的買賣、密碼撞庫、偽造的招聘信息、免費Wi–Fi 等手段，這些手段通常具有高度的隱蔽性和欺騙性，會在使用者不知情的情況下造成個人信息的泄露，且泄露的信息更加私密。

1.2物理層面信息泄露

除了個人信息的泄露風險外，公司或園區(qū)在物理環(huán)境層面同樣面臨著信息泄露的隱患，如企業(yè)員工進出園區(qū)大門、辦公室時，無刷卡或人臉識別等進行身份驗證的方式，公司周邊圍墻塌陷或空缺，敏感技術單位周邊存在可偷拍角度的高樓等，都可能成為潛在的信息泄露點。同時，對于辦公產生的廢棄發(fā)票、通知、信件、光盤、電腦、U 盤等物品，若未進行統(tǒng)一處理，也會在被丟棄后造成無法預料的信息泄露。此外，在一些特殊情況下，辦公大樓的外置攝像頭、供電系統(tǒng)、網(wǎng)絡設備、空調機組等外圍設備的維護服務提供商若沒有做好信息的保護，就有可能被社工人員利用，通過這些服務提供商順藤摸瓜，逐步獲取企業(yè)核心部分隱私信息。

2社工攻擊手段

2.1釣魚

電力從業(yè)者在辦公時會連接到外網(wǎng)進行辦公聊天或收發(fā)郵件，這就存在被釣魚攻擊的風險，如社工人員可以發(fā)送帶有木馬鏈接的郵件，起名為本月薪資結構調整或某工程項目結項等令人感興趣的話題，或使用相近域名或商標，布署帶有惡意代碼的網(wǎng)站，靜待有需求的目標上鉤，亦或發(fā)送帶有惡意URL 或二維碼的短信釣魚等等，手段變化多種多樣。

2.2盜取身份

在進行社工攻擊時，入侵者經(jīng)常需要面對他們獲取的信息通常并不能直接用于攻擊的問題，因為這些信息可能由于權限限制，無法直接利用，那么利用已有身份繼續(xù)進行社工則會提升效率，如利用單位負責人孩子的學校老師身份，將負責人調離本來監(jiān)督的崗位，再通過其他的社工手段，在目標單位監(jiān)督能力薄弱的情況下進行入侵工作。

2.3利用信息不對稱

大部分電力企業(yè)單位的高管信息都會公示在一些企業(yè)信息查詢軟件上，包括姓名、電話等，入侵者完全可以利用這一點，再加上一般員工與高管所獲得信息的不對稱，達到想要的目的，如假裝到某電力單位進行消防科普，以高管的名義向一般員工表明來意，并當場撥通高管的電話，實際撥打與高管名字相同但電話號碼相似的另一個假電話。一般來說普通員工不會知曉高管的實際安排，也不會向高管再次確認，于是就可以獲得信任，再進行想要的滲透活動。

2.4監(jiān)聽監(jiān)控

通過在用電重地、領導辦公室、電力系統(tǒng)操作人員家中等重要的場所放置設備進行監(jiān)聽監(jiān)控，或利用攝像頭漏洞遠控，可以直接獲取到想要的重要信息，包括設備運行情況、人際關系、賬號密碼等極其隱私的信息，這比起其他社工手段更加直接高效。

2.5社工庫的利用

一些專業(yè)的社工人員會自己搭建社工庫，每次需要搜集信息時可以直接從社工庫獲取，這樣能減少信息收集耗費的時間。社工庫的數(shù)據(jù)大多來自于一些平臺的信息泄露，不少平臺存在漏洞，社工人員利用這些漏洞所泄露的數(shù)據(jù)，對其進行加工并制成社工庫。這些數(shù)據(jù)大多是個人的賬號信息和身份信息，多來自于銀行機構、保險機構、中介、社交平臺、政府和教育部門。

2.6密碼心理學

許多人的常用密碼數(shù)量通常不會超過3 個，并且這些密碼中包含了一些容易記憶的信息，如生日、姓名拼音等。這種密碼設置方式雖然方便記憶，但卻給信息安全帶來了極大的隱患。

更為嚴重的是，有些電網(wǎng)一線操作員在使用內網(wǎng)設備進行操作時，會使用與自己平時生活中相同的密碼。這種做法大幅增加了使用內部系統(tǒng)時的風險。一旦這些內網(wǎng)設備被社工人員入侵，那么整個內部系統(tǒng)的安全性都將遭受嚴重威脅。社工人員可以利用這些密碼進一步滲透到系統(tǒng)的核心區(qū)域，竊取重要數(shù)據(jù)或進行惡意操作。

2.7拼湊碎片化的信息

現(xiàn)在一些系統(tǒng)在信息展示時會將敏感信息進行脫敏，僅展示部分內容，但有經(jīng)驗的社工人員可以通過其他途徑獲得的信息拼湊出完整信息，如在某網(wǎng)站獲知一個人的脫敏后的手機號是133****3344，而他所在地區(qū)是北京，可以搜索到手機號4～7位的地區(qū)編碼，這樣就可以通過暴力猜解獲得此人的手機號碼。

2.8近源滲透

近源滲透指測試人員靠近或位于測試目標建筑內部，利用各類無線通信技術、物理接口和智能設備進行滲透測試的方法總稱[1]。近源滲透的出現(xiàn)，源于現(xiàn)代網(wǎng)絡安全防御體系的日益完善，使得攻擊者越來越難以通過外網(wǎng)滲透達到目的。因此，近源滲透成為了一種頗具破壞性的攻擊方式，其更接近滲透測試的本質，對目標系統(tǒng)的安全性構成了嚴重威脅。

在近源滲透的場景中，社工人員以接近目標企業(yè)或進入建筑內部為目標，努力靠近企業(yè)核心區(qū)域，挖掘被企業(yè)忽視的安全盲點。他們通常偽裝成各種身份，如設備供應商、乙方駐廠人員、水電工、外賣員、面試人員等，以獲取更多的信息，從而發(fā)起對目標系統(tǒng)的攻擊。

近源滲透的手段較多，如社工人員通過使用TheWi–Fi Pineapple工具，模擬出一個虛假的Wi–Fi 網(wǎng)絡，誘騙目標員工連接，從而獲取其個人信息和敏感數(shù)據(jù)。此外，社工人員還可以使用Proxmark 等工具復制目標員工的門禁卡，或在目標企業(yè)的園區(qū)內粘貼含有惡意代碼的問卷調查二維碼，一旦有員工掃描了二維碼，手機、電腦等設備就可能被植入惡意軟件，導致數(shù)據(jù)泄露或被社工人員監(jiān)控。

近源滲透不僅具有高度的隱蔽性，而且其破壞性也極大。由于社工人員身處目標企業(yè)內部，他們能夠深入了解目標系統(tǒng)的網(wǎng)絡狀態(tài)、現(xiàn)場環(huán)境及物理位置等信息，從而制訂出更加精準的攻擊策略，一旦攻擊成功，其后果通常比遠程攻擊更嚴重。

3防范措施

（1）物防，即物理環(huán)境方面的安全防范措施。變電站、用電設備園區(qū)、機房等物理環(huán)境，在建設規(guī)劃之初就要考慮到是否會存在安全問題，如職能部門與一線員工辦公場所的布局、監(jiān)控的分布、門衛(wèi)或門禁管理系統(tǒng)的人員認證能力、配套服務企業(yè)的資質等，這些設施的建設越完善，社工攻擊成功的可能性就越小。

（2）技防，則是基于國家統(tǒng)一標準，采用經(jīng)國家認證的技術、算法和設備，在技術層面最大限度地降低風險。目前在電力系統(tǒng)中所使用的自動化仿真、IPDR 主動防御等技術，SM2、SM3、SM4 等國密加密算法，隔離裝置、入侵檢測系統(tǒng)、防火墻等設備，都具有相應的國家標準、企業(yè)標準、行業(yè)標準等，這些標準保障了電網(wǎng)運行，極大地提高了電力系統(tǒng)的安全性。

（3）通過物防和技防，可以在系統(tǒng)、環(huán)境和制度上做到零漏洞、零缺陷，但人防的缺失通常會成為遭受攻擊的最大隱患。有人的地方就會有漏洞，企業(yè)員工平時未鎖屏的終端設備、白板遺留的紀要、未受保護的打印材料、辦公筆記、紙質文檔、移動設備、公文包、未上鎖的抽屜及未粉碎的紙質材料等，都可能成為社工攻擊的關鍵點。想要減少人為漏洞，從心理層面來看，企業(yè)員工需消除對權威的盲目迷信，防范可能存在的心理暗示，在面對誘惑時時刻保持清醒和冷靜，不斷提高安全警惕性，增強個人安全防范意識。在技術層面，管理部門可以對關鍵工作進行環(huán)節(jié)的分割，確保風險不會在一個環(huán)節(jié)內持續(xù)擴大，同時積極采購合規(guī)有效的第三方監(jiān)察工具，監(jiān)督員工的工作流程是否合規(guī)，還可以組織統(tǒng)一的培訓、考試、演習和紅藍對抗等活動，增加員工的安全意識。安全部門要對可能發(fā)生的安全事件制訂相應的應急方案，將事件發(fā)生后的損失降至最低。

只有電力系統(tǒng)內各方共同參與，不斷強化信息安全意識，嚴格執(zhí)行各項信息安全措施和紀律，才能有效杜絕信息安全事件的發(fā)生。

4結束語

電力行業(yè)作為我國的重要產業(yè)，其安全性和穩(wěn)定性關乎到人們的工作和生活。國家近年來不斷更新技術手段及標準要求，以確保技術層面上電網(wǎng)的安全性，但從業(yè)人員的安全意識也必須同步提升，認識到社工攻擊對人的針對性，從身邊小事做起，避免安全事件的發(fā)生，確保電力系統(tǒng)的安全穩(wěn)定運行，保障國家的能源安全和人民的用電需求。