管和其他许多人从他们的惊讶中学到的那样，把电脑媒体扔到垃圾桶里是在向当地友好的垃圾搜寻者发出邀请。（处理媒体与设备的详细指导方针见第16章）
  5．在选择清洁队成员上保持适当程度的控制，如果允许的话进行后台检查。
  6．周期性地提醒员工回想他们扔到垃圾桶里的资料种类。
  7．锁定垃圾搜寻者。
  8．对敏感资料使用分散存储空间，与可信赖的专业资料处理公司签订合同。
  对员工说再见
  这一点在这几页之前就谈到了，当一名离职员工想要获得敏感信息、密码、拨入号码等等时，需要执行严格的程序。你的安全程序需要提供一个多种系统的授权纪录。也许很难阻止一个坚定的社会工程师突破你的防御网，但是不要让一个离职员工都可以轻易做到。
  另一个措施很容易被忽视：当一名可以从存储器恢复备份数据的员工离开时，应当为存储器调用一个写好的策略，马上通知将她的名字从授权列表中删除。
  这本书的第十六章详细讲述了这个重要主题，但是在这里列出某些适当的安全措施很有帮助，就像通过那个故事强调的那样：
  按照一张完整、严格的步骤列表上的内容处理一名员工的离职，对于访问过敏感数据的员工要有特殊的规定。
  关闭员工的直接访问权限——最好在其离开公司之前。
  不仅恢复员工ID证件需要按程序进行，任何密匙或电子访问设备也同样需要。
  规定在允许任何没有安全密码的员工进入之前安全警卫要查看他或她的照片ID，在验证列表上核实姓名，确定这个人仍是这家公司的员工。
  更多的步骤对于一些公司而言未免太繁琐或太昂贵了；但是却适合一些其他的公司，下面是一些更严格的安全措施：
  电子ID证件结合入口处的扫描器，当每个员工将他的证件从扫描器上划过时，电子实时判断会得出此人为当前员工并有权进入大楼。（注意，无论如何还是必须被培训安全警卫提防蒙混过关者——一个未经认证紧跟在合法员工身后的人。）
  所有员工都必须在同一组内，当某个人离开时（尤其是如果这个人被解雇了）更改他们的密码。（看上去很偏激？在通用电器公司工作的那一段时间之后很多年，我了解到当太平洋电话的警卫听到通用电器公司把我解雇了时，“到处都是笑声。”但是对于通用电器公司的信任，当他们了解到一个有名的黑客曾经为他们工作时，在解雇了我之后，他们就必须更改公司里所有人的密码！）
  你不想让你的公司变得像牢房一样，但是同时你需要防范那些刚被解雇就跑来想做坏事的人。
  不要忘记任何人
  安全警卫要注意入门级的员工，比如并不处理公司敏感信息的接待员。我们曾经在其它地方看到过，接待员是最受攻击者青睐的目标，本章中闯入汽车零配件公司的故事则是另一个例子：一个友好的穿着很专业的人，可能并不是他所声称的来自其它区域分公司的员工。需要良好的培训接待员，如何在适当的时候礼貌地请求公司ID，培训不只是针对主要的接待员，还包括每一个在午餐或下午茶时间零时坐在接待处的人。
  对于公司外部的访客，需要查看其照片ID并记录信息。伪造ID并不很难，但至少严格的ID验证可以让攻击者使用电话冒充更加困难。
  在一些公司，实行全程陪同访客（从大厅到会议室）的安全策略很有意义，程序应该规定陪同人员在把访客送到会面地点之前要先弄清楚这个人是员工还是非员工。为什么这很重要？因为就像我们在之前的故事中看到的那样，攻击者经常会变换角色，在大厅中表演对他们而言实在是太简单了，使接待员相信他有一个会议要参加，说，有个工程师……陪他到那个工程师的办公室……与工程师会谈之后，他才可以自由行动。
  在允许一名异地员工进入之前，必须履行适当的程序，确认此人真的是公司的员工。接待员和警卫必须要了解攻击者伪造身份所使用的方法。
  怎样阻止攻击者进入大楼并把便携式电脑连入公司的内部网络？拜当今的技术所赐，这的确是个挑战：会议室、培训室和其它类似的地方都不应该留下不安全的网络端口，应使用防火墙或路由器将其保护起来，但更好的做法是使用安全的方法对任何连入网络的用户进行识别。
  保护IT部门！
  忠告：在你的公司里，IT部门的每一位员工或许都知道（或能花几分钟时间找出）你的收入、CEO的实得工资和谁用了公司的钱去滑雪度假。
  在一些公司甚至有可能出现IT人员或会计人员给他们自己加工资、向一个伪造的卖家付款、删除人力资源档案中消极的评价等情况。有时候只是因为担心被抓住，他们才没有那样做，直到有一天，某个贪婪或本性不诚实的人冒着风险做了所有他认为能免于责罚的事情。
  这里当然也有解决方案，可以通过配置严格的访问控制来保护敏感文件，所以只要验证访问者有权打开它们。有一些操作系统的审核控制能设定保留事件的日志，比如每一个试图访问敏感文件的人（无论是否访问成功）。
  如果你的公司了解了这一问题并恰当地实现了对敏感文件的访问控制与审核——你就在正确的方向上迈出了强有力的一步。
  第十一章　综合技术与社会工程学
  社会工程师可以通过操纵人们来达到目标，但也常常需要很多关于电话系统和电脑系统的知识与技能。
  下面是一个典型的社会工程学案例，其中技术起着至关重要的作用。
  铁窗下的入侵
  哪里有最可靠的防范物理、电讯或电子入侵的安全设备？诺克斯堡（美军基地）？当然。白宫？那还用说。北美防空联合司令部（NORAD）隐藏在一座山下面？毋庸置疑。
  那联邦监狱和青少年拘留中心怎么样？应该和这个国家的其它地方一样安全吧，对吗？很少有人逃跑，当他们这样做时，通常会在很短的时间内被抓回来。如果你认为联邦机构对社会工程学攻击免疫，那你就错了——绝对的安全是不存在的，无论是哪里。
  几年前，有两个骗子（职业骗子）从一个本地法官手里弄到了一大笔现金，两个人这些年断断续续地触犯了很多次法律，但这一次他们引起了联邦当局的注意。他们抓住了其中的一个骗子，查尔斯·康多尔夫（Charles　Gondorff），把他关进了圣地亚哥附近的拘留中心。联邦官员认为他有脱逃风险并对社会构成了威胁。
  他的搭档乔尼·胡克（Johnny　Hooker）知道查尔斯会需要一个辩护律师。但是钱从哪里来·名牌服装、特殊爱好、女人，像大部分骗子一样，他们的钱来得快去得也快。乔尼几乎都养不活自己了。
  为了有足够的钱请到优秀的律师，乔尼不得不实施另一次骗局，但他无法单独完成，查尔斯·康多尔夫在他们以往的行骗中总是扮演着智多星的角色，不过乔尼并不害怕到拘留中心去问查尔斯该怎么做，只要不让Feds（译者注：FBI特工）知道有两个人在那里策划骗局并且非常热心地帮助对方。值得注意的是，只有家属才能探监，这意味着他不得不伪造一张证明来声称自己是一个家庭成员。试图在联邦监狱使用伪造ID听上去可不是个明智的决定。
  不，他可以通过其它途径与康多尔夫取得联系；只是不太容易。联邦、州或地方监狱都不允许囚犯接听电话，联邦拘留中心每一部电话上都贴有这样的标签：“忠告用户，此电话允许监听，使用即同意。”在政府官员监听的电话里谈论如何犯罪只会延长你的联邦基金假期。乔尼知道有些电话是不被监听的：比如，囚犯与他的律师之间的通话（委托人与律师的通信受宪法保护）。事实上，康多尔夫所在的监狱有电话可以直接联系联邦公共辩护处（PDO），拿起那些电话便能直接与PDO连线，电话公司把这种服务称为“直通”。这种服务被认为是安全的、不受攻击的，因为它只能呼出到PDO，并且锁定了呼入线路，即使某个人不知怎么的弄到了电话号码，也会被电话公司“呼叫拒绝”（一个笨拙的电话服务术语）。
  在所有半路出家的骗子精通欺骗的艺术之前，乔尼找到了解决这个问题的办法。在监狱里，康多尔夫拿起某部PDO电话：“我是汤姆，电话公司修复中心。”
  术语
  直通：电话公司术语，当电话被拿起时接通一个特殊的号码。
  呼叫拒绝：电话公司的一个服务选项，设置某个电话号码无法呼入。
  “我们正在对这条线路进行测试，我需要你拨9，然后拨0、0。”9是转到外部线路，00是接通一个长途接线员。如果接电话的PDO员工熟知这种骗局，就不能用这种方法了。
  乔尼还有更好的办法。他很快了解到拘留中心有十个房间单元，每一间都有公共辩护处的直通电话线路。乔尼遇到了一些障碍，但他就像是一名社会工程师，总能想办法解决这些烦人的问题。康多尔夫在哪个单元？那个单元的直通服务号码是多少？他最初怎么样给康多尔夫留言而不会被狱警拦截呢？
  也许这在普通人看来是不可能的，比如获得联邦公共机构的秘密电话号码，一名欺骗艺术家通常只需要打几次电话就可以了。翻来覆去地思考了几个晚上，乔尼把所有事情都想到了，他的计划总共五步。
  首先，找到那十部PDO直通电话的电话号码。
  更改那十部电话的设置使其允许呼入。
  找出康多尔夫所在的单元。
  然后找到该单元的电话号码。
  最后，他就可以和康多尔夫进行预期的通话了，不会引起政府的任何怀疑。
  小菜一碟，他想。
  呼叫Ma　Bell（AT&T）。。。
  乔尼冒充总务管理局的工作人员打电话到电话公司商业办公室（该部门负责向联邦政府销售产品与服务），说他正在处理一张附加的服务订单，需要知道当前使用的所有直通服务的账单信息，包括圣地亚哥拘留中心使用中的电话号码和月账单。那位女士非常高兴地给予了帮助。
  为了进行确认，他试着拨入了其中一条线路并收到了典型的语音提示，“此线路已断开或不在服务区”——他知道这意味着线路锁定了呼入，和他预想的一样。
  他十分了解电话公司的运转程序，下一步他需要联系近期记忆修改授权中心（RCMAC，我总是惊讶于取这种名字的人！）。他打电话到电话公司商业办公室，谎称自己是维修中心办公室的，需要知道RCMAC的号码来处理某个地区号和前缀所在的服务区，该中心办公室也负责分配拘留中心的呼入线路。这属于常规请求，相关规定允许在一定范围内向技术人员提供一些帮助，那位员工毫不犹豫地把号码给了他。
  他拨通了RCMAC的电话，使用一个假冒的名字，伪装成维修中心的工作人员，说他收到一位女士的投诉，有一个他负责的电话号码一直不能呼入，乔尼问：“这个号码被设置为呼叫拒绝了吗？”
  “是的。”她说。
  “好的，这就解释了为什么那位客户接不到电话！”乔尼说，“听着，你能不能帮我个忙，修改那条线路的类型代码或删除呼叫拒绝类型，好吗？”
  当她在另一个电脑系统上查看是否允许更改服务状态时停顿了一下，她说，“此号码受限制为只能呼出电话，没有服务命令。”
  “是的，这是个错误，我们昨天就应该处理的，但是通常处理这些的员工因病回家了，她又忘了拜托别人，所以现在那位客户理所当然地对这件事情非常不满了。”
  短暂的停顿，那位女士在考虑这个超出常规并违反了标准操作程序的请求，她说，“好吧。”
  他可以清楚地听到她在输入修改，几秒钟就完成了。
  坚冰被打破了，他们之间建立了一种合作关系，看到这位女士如此配合的给予帮助，乔尼毫不犹豫地选择了更进一步，他说，“你能再多花几分钟帮帮我吗？”
  “可以，”她回答道，“还有什么事吗？”
  “我有几条属于同一个客户的其它线路，全部都是一样的问题，我把号码读出来，只要确认它们没有被设置为呼叫拒绝就可以了——好吗？”她说好的。
  几分钟后，十条电话线路全都被“修复”为允许呼入电话了。
  寻找康多尔夫
  下一步，找到康多尔夫所在的房间单元，这一信息显然是管理拘留中心和监狱的人不想让外部人员知道的，乔尼再一次使用了他的的社会工程学技术。
  他打电话到了另一个城市的?