无论是行业大鳄，还是微不足道的SOHO家庭办公，一样都会遭到黑客攻击，而且危害不仅仅是销掉几张信用卡那么简单。如何保护企业网络和用户的安全？以下这些细节切记不可忽视。

细节1：知道谁会被黑客盯上，怎样、以及为何被盯上

由于最近时而爆出知名公司网络受到攻击的新闻，许多企业主可能会想：“这种事不会发生在我身上—我的服务器上又没什么非常宝贵的资料值得攻击者下手”。事实上，许多攻击根本不是针对性的，而是自我选择的结果。也就是说，攻击者广撒鱼网：将成千上万封邮件发送到采集来的一批邮件地址上，给予回复的邮件地址(无论是通过点击邮件里面的链接，还是发送回应信息的嵌入式图片)都是自我选择的目标，然后对其下手。

针对性攻击有另一个广为人知的说法，那就是“鱼叉式网络钓鱼(spearphishing)”，这是一种比较危险的攻击。一名出色的攻击者会采取侦查手段—搜索目标组织的网站、上市公司向证券交易委员会提交的季度报告以及新闻稿，从中找出重要人物的姓名和邮件地址。如果这一招不灵，攻击者可能会混迹于众多行业会议和公开演讲活动(会议网站上几乎总是保存了幻灯片，其中演讲者的姓名、头衔和邮件地址一应俱全)；他们还会光顾社交网络网站—黑客只要通过Facebook粉丝页面和LinkedIn个人档案，摸清楚谁是企业负责人，然后就比较容易设圈套了。

一般的垃圾邮件发送者注重数量，而鱼叉式网络钓鱼攻击者注重质量。经常处理敏感文档，或者在公司文件服务器方面拥有更高权限的任何高管，都可能会成为受害者。虽然一家公司的头儿，比如首席执行官，会是鱼叉式网络钓鱼攻击者的主要目标，但同样不能忽视了首席执行官的行政助理。行政助理平时每天替首席执行官收取陌生发件人发来的成百上千封邮件，可能还负责整理收到的所有邮件，往往压力很大，丝毫不敢延迟对重要邮件的回复，因而更可能会在计算机安全方面作出糟糕的决定。

由于相似的原因，企业的法律顾问或专职律师也很容易成为攻击目标，特别是遭到AdobePDF攻击。律师经常彼此之间交换大容量的PDF文档。所以不难想象，当有人利用某律师常联系的一家颇有影响力的知识产权律师事务所的虚假地址，发送传达停止不正当竞争命令的假冒邮件，或者将恶意代码添加到PDF文档中，这名律师会不假思索地打开这样的邮件；一旦PDF文档里面的恶意代码得到执行，律师的电脑实际上就已被攻击者所“掌控”。

细节2：当心圈套

企图获取竞争情报或实施企业间谍行为的鱼叉式网络钓鱼攻击，可能会采用极具针对性的邮件或即时消息(如IM和Twitter消息等)，以使受害者更容易上钩。一家研究机构的知名核物理学家不太可能会点击兜售假冒劳力士手表或纯天然壮阳药的链接，但是如果邮件邀请受害者在一场知名的核物理学讨论会上发表专题演讲，就极容易中招。

你可能觉得，在2010年，大多数用户(尤其是技术员工)会对声称“我们在改进安全措施”的任何要求用户密码重置的伎俩或邮件产生怀疑；但不幸的是，还是有多得惊人的用户在上这种当。SpecialOpsSecurity公司在为企业组织和政府部门进行安全评估时，会进行一些有控制的试验：有意地针对该组织的某些人进行网络钓鱼攻击，跟踪在加密网站上的点击操作和密码输入。试验甚至为组织的CIO们开设了自助服务门户网站PhishMe.com，CIO们可以对自己的员工进行模拟的鱼叉式网络钓鱼攻击。模拟测试的结果往往让人大吃一惊，人们的安全意识真的不如CIO们想象的那样强。