邢超 李喆 图力古尔

中国人民公安大学 北京 100038

0 引言

截至2011年12月底，中国网民数量已经突破5亿，搜索引擎用户规模达到 4.07亿，在网民中的渗透率为79.4%，使用比例基本保持稳定，是 2011 年仅次于即时通信的第二大网络应用。越来越多的人接触并开始使用互联网，他们通过搜索引擎系统从互联网上获取自己所需要的信息，同时也被提供搜索引擎的服务商们记录着自己的兴趣爱好和行踪。某些网站有意或者无意的对使用者的个人信息进行收集、加工、整理和出售。越来越深的挖掘技术，使人们可能访问到受密码保护的内容，侵犯个人隐私。我们的生活离不开搜索引擎，同样搜索引擎的使用与我们生活中的信息安全息息相关，所以我们有必要了解并且必须了解我们的信息是如何泄露出去的，从而防范个人隐私等生活信息不被收集。

1 非传统信息安全下的社会工程学

1.1 社会工程学定义

社会工程学是通过自然的、社会的和制度上的途径并特别强调根据现实的设计经验来一步一步地解决各种社会问题所建立起来的一种理论。

1.2 社会工程学在信息安全上的重要性

社会工程学定位在计算机安全工作路径上的最脆弱的一个环节上。我们认为最安全的计算机就是已经拔去了插头的那一台，即进行物理隔绝。事实上，你可以去说服使用者把这台非正常工作状态下的，容易受到攻击的机器接通电源并启动，然后连接上网络。在这个过程中我们可以看出，“人”的因素在整个信息安全体系中是非常重要的。由此意味着这一点的信息安全脆弱性是普遍存在的，它不会因为系统平台、软件、网络的不同而不同，也不会由于是设备的历史等因素而有所差异。

无论是在物理的硬件上还是在虚拟的网络生活中，任何一名可以访问系统服务的人都有构成安全风险与威胁的潜在可能性。任何细微的信息都可能会被社会工程学者当作很好的“参考资料”来运用，以便使其得到其它有用的信息。这意味着如果没有把使用者或者管理人员等参与者这个因素放进系统服务安全管理策略中去的话，那将对系统的服务形成一个很大的安全“漏洞”。

社会工程学已成为对信息安全最容易被开发利用且危险性最大的一种威胁。“人性因素”成为在信息安全领域中的一种无法通过技术方法进行预先控制的信息安全隐患的毒瘤。

1.3 社会工程学对非传统信息安全的意义

非传统信息安全是在传统信息安全上的延伸，它产生自传统信息安全，但又有别于传统信息安全，它提出了在信息安全防护中要采取“先发制人”的一种策略，改变以往传统信息安全观念上的总是出现漏洞补漏洞，出现病毒杀病毒的被动局面，以积极主动的态度去分析“人”这一关键因素的心理脆弱点，来提高人们对欺骗的警惕性，并且认识到社会工程学对信息安全的危害以及攻击方式，从而改进系统的技术体系和管理体系中存在的不足和漏洞。

随着加密技术和计算机性能的显著提升，传统信息安全三大法宝：杀毒软件、防火墙和入侵检测系统已经日趋完善，利用技术弱点进行传统的信息安全攻击已经越来越困难，于是攻击者开始转向利用“人”——这一安全行为的直接参与者的疏忽和漏洞来寻求突破。社会工程学是传统信息安全向非传统信息安全转变的一个桥梁。社会工程学是综合利用社会科学、人文科学、自然科学和工程科学相关知识，通过重构这些知识和技术，研究建构社会发展具体模式过程中的一般规律和方法的一门科学。

2 利用QQ号通过搜索引擎泄密实例

2.1 搜索引擎和QQ号在现实生活的重要性

根据CNNIC (中国互联网络信息中心)《第29次中国互联网络发展状况统计报告》的调查显示，搜索引擎用户规模达到4.07亿，在网民中的渗透率为79.4%，使用比例基本保持稳定，是2011年仅次于即时通信的第二大网络应用。大到买车买房，小到做饭菜谱，人们总会上网“百度一下”，求助网友寻求结果，搜索引擎已经逐渐成为我们日常生活中不可缺少的一部分。

根据腾讯2011年第三季度及中期业绩所示，QQ的即时通信活跃账户数已经达到7.117亿，这说明QQ已经在继手机、E-mail之后成为人们交流的又一种重要方式，它已经融入我们的日常生活，有很多人上网便上QQ。拥有如此之大市场的QQ，想必大家每人都会有一个，有的甚至会有两个以上，但是对于里面隐含的巨大的安全隐患，大家就闻所未闻了。

2.2 具体例证步骤

首先需要确定查找对象，对于某好友的QQ号，我们这里假设其为12345678。利用百度、Google等常见搜索引擎的力量，这里以Google为例，在Google界面中输入12345678，然后点击Google一下，这时候会出现好多含有12345678的信息，里面会包括电话号码，ID号，网址链接和数据等，忽略大部分杂乱信息，我们只选取其中有用的信息。例如：联系我QQ：12345678，我的邮箱是12345678@qq.com之类的，留下此信息的一般多为在论坛、物物交换之处，这里留下的QQ信息只是用作联系方式。此时我们只需记下发此信息的用户名，例如ABC。再次回到Google，将刚才获取的ABC输入文本框进行搜索，即可获得此人用此用户名在网络上的注册信息，进而可以获得其在互联网上的浏览信息，同时可以获取此人在网络上发布的更详细的个人资料，如：真实姓名，手机号，地址等。于是关于此人的个人资料，兴趣爱好，网络记录都会被展示出来。

对于某些过期信息或已经被删除的信息，我们仍旧可以通过快照的方式获取。搜索引擎收集信息行为是通过“蜘蛛”程序进行的，在每隔一段时间(比如 Google的googlebot，一般是28天)，“蜘蛛”程序检索一次互联网上的信息，发现新的，即提交到服务器数据库中，这时便形成了快照。快照即为蜘蛛爬虫定期获取到的信息在数据库中的存储信息。在存在这样的一个时间差中，即使某些网站将某些新闻或者交易信息删除，我们仍旧可以通过查看快照的方式找到之前的消息。如图1所示。

图1 搜索引擎网页上的快照功能

实验证明此种方法简单、可行、容易操作，能够快速准确地收集到目标人的相关网络痕迹。这种方法还可以利用手机号、邮箱、常用用户名等其它相关信息进行搜索，多种方式结合，达到获取信息的目的。

2.3 方法的总结和防范策略

本方法原理是利用用户在网上普遍采用一个ID号的心理，且各大网站及论坛不屏蔽搜索引擎所致。由此可见利用社会工程学原理在非传统信息安全下的使用，可以获取用户在网络留下的痕迹。不过目前淘宝网已将百度屏蔽，最受大学生喜欢的SNS网站——人人网也已屏蔽所有搜索引擎，从而能够更有效的保护注册用户的个人信息不被外界搜索引擎收录。

搜索引擎既有方便之益，也有可怕之处，正像高悬在网民头上的一把“达摩利克斯之剑”，使网民在得到便捷的同时，也深感不安，如何解决这一问题，只有从网站，搜索引擎，用户个人三方面入手。对网站来说，对于涉及个人隐私的信息，将进行技术屏蔽，要特别注意对诸如百度快照之类存储历史记录的技术进行屏蔽；对搜索引擎公司来说，要加强行业自律，不能成为某些别有用心之人的“嗅探”工具；对于个人用户来说，要加强防范意识，在网络上不要乱留QQ，邮箱，必要时多申请几个号进行区分，例如对外公开一个，熟人聊天一个，对于个人真实信息的发布，应该慎之又慎，不可掉以轻心。

3 结论

在信息爆炸的当今社会，互联网已经逐渐走进我们的生活，并占据了生活的大部分。人们在技术和管理的核心上都是围绕那些不断发展的物理因素和外在的环境因素，过分的强调增强科学技术水平来加强对系统的硬件和软件防护，而忽视了人的主观意念这一处于核心地位的内在因素，于是对人性的本能和弱点没有引起足够的重视来进行防范。“道高一尺，魔高一丈”，随着技术的不断进步，人类在信息安全防护上不断提高，但是将人作为攻击对象的社会工程学将会是并且一直会是信息安全领域中的最主要威胁。

为了适应信息化发展要求，社会工程学不断汲取网络对抗和电子对抗等诸多领域的技术精华，再加上针对人自身存在的弱点，以人攻击人，以技术对抗人。在现实世界和虚拟世界，社会学范畴和心理学范畴，由社会工程学所带来的信息安全问题必将成为专家们新的研究焦点和难点。

[1] 第29次中国互联网络发展状况统计报告.中国互联网络信息中心(CNNIC).

[2] 陈华,黄东军.搜索引擎与个人信息安全.电脑知识与技术.2010.

[3] Kevin Mitnick. The Art of Deception[M]. 2002.

[4] 朱云鹏.基于社会工程学的信息对抗技术研究.网络安全技术与应用.2009.

[5] 靳慧云.黑客入侵技术和方式变异论析.中国人民公安大学学报.2007.

[6] 腾讯公布2011年第三季度业绩. http：//www.tencent.com.

[7] 倪新雨,周学广.非传统信息安全与传统信息安全比较研究.计算机与数字工程.2007.