也就是说，社会工程学攻击的目的是为了未经授权访问、使用和泄漏信息系统、网络及数据，而使用的手段则是以欺骗目标人物（通常是经过授权的合法用户）为主。

社会工程学攻击的分类：

   在Official Guide中将社会工程学的攻击分成三类，Ego Attack、Sympathy Attack和Intimidation Attack，Ego Attack中攻击者往往会利用目标用户的自尊心和表现欲来套取其所掌握的信息；Sympathy Attack中攻击者会将自己伪装成目标组织中的新用户或合作伙伴等角色，骗取有权限用户的信任来获取信息（攻击者伪装的身份等级通常低于目标的身份）；而Intimidation Attack中攻击者会将自己伪装成身份等级高于欺骗目标的人，然后要求对方提供所需要的信息。这三种不同攻击方式的区别也请朋友们留意。

   要防御社会工程学攻击，最有效的方式是通过管理上的手段(Administrative Control，安全策略、标准和流程等)来对合法用户的日常操作进行规范，并加强用户安全意识的教育。因为内容较多，大家可以参考一下Official guide的相关内容。

   至此，J0ker就基本把CISSP的第一个CBK—— Information Security Management的内容给大家介绍完了。这一章的内容在CISSP CBK体系里面并不算多，但它却是整个CISSP CBK知识体系的基础，后面章节中所涉及到的知识都可以认为是为这一章中所提到的内容服务的。

   在CISSP考试中，这一章的内容的考核，除了少数几个在Official Guide中提供有实例分析的概念有可能会用实例来出分析题之外，其他有关的题大多以考察概念或名词本身的含义以及在信息安全体系中的意义为主，所以在复习这个章节的时候，尤其是对技术出身的朋友，接触这方面内容比较少，所以J0ker建议多阅读下相关的复习资料，并弄明白各个名词、概念之间的联系和区别，多做练习题倒是次要的。朋友们也可以将这个CBK的内容和日常工作中所接触到的内容相联系，或应用到日常工作中去，这样就更容易对这个CBK的内容融会贯通，毕竟CISSP的内容说到底是为了应用，单纯为考试而准备就没有太大意义。

   另外复习的时候还有个小技巧，朋友们可以将Official Guide这个章节后面所列出的CBK要点及All in One中对应章节末尾的Quick Tips打印出来，装订成小册子，有空的时候就看一看，这样对巩固关键概念的掌握很有好处的。