网络安全宣传活动走向全国的路还很漫长

北京市政府正式批准将每年4月29日设为“首都网络安全日”,多届“首都网络安全日”在摸索之中成功启动,而且越来越精彩。

富庶的中央政府无疑给帝都北京带来了黄金般的发展机遇,加之全国范围内的大规模搬迁和造城运动,让北京成为名副其实的“网络之都”,云集了全国70%以上的大型门户网站。

近些年,中央严厉打击打击贪污腐败奢侈浪费等不正之风,政府官员要有所作为和升迁,传统的买官卖官路子已经行不通。在造城运动中进行权钱交易风险太大,传统的修建个市民公园民俗展馆之类的作法已经被指重硬件轻软件,在新的政治环境下已经变得不合时宜。

要干点什么政绩呢?对于基建已经比较完善和发达的地区,在“软件”方面的创新,以人为本,搞搞科技文化教育医疗保健等方面的活动,无疑没有什么政治风险,而且符合结构调整、转型升级、提质增效、低耗低排、建设生态文明等等中央精神。

中央成立国家安全委员会,制定了“国家安全战略”,习近平首提“总体国家安全观”,将网络安全信息安全放到国家安全体系之中。昆明亭长朗然科技有限公司安全顾问James Dong表示:无疑顶层设计将给传统的与网络安全相关的各类机构带来了职责融合和利益再分配的空间和机遇,具有政治智慧的领导人自然不会轻易放过这个好机会。

从发达国家来看,美英澳新等国在国家层面早已经制定出名目繁多的网络安全意识月、计算机安全周和信息安全日等等,并且搞得有声有色。在城市层面,甚至各类组织机构层面,也都有各种类似的活动。此前,上海已经搞了几年“上海市信息安全活动周”,也是成绩斐然。

我们留意到,作为“4.29首都网络安全日”系列活动之一,北京首个网络安全主题教育基地在360公司正式启动,360无疑是积极传播网络安全正能量的赞助商,尽管难免有些作秀的成份在其中。

说到360的“秀”,那可是业界出名的被跨国市场营销专家们广为所称道和赞颂的。与之相比,“首都网警”的处女“秀”则显得过于自吹自擂甚至有些急功近利之嫌。首都网警艾特的卡通公益广告绚丽夺目,但是“金玉其外”显然不仅没有基本的教育意义,获不到群众基础和社会支持,还会招惹网络安全业界笑话,让网络犯罪份子们呲之以鼻甚至激怒他们。

而首都网络安全日的两部特别微电影——“依然@”和“骗子的自白”,策划和表演都很到位,普及了一些网警行业的基础知识,也注入了不少感情因素,很能博人眼球,只是在内容的深度上有些欠缺,剧情构思上也显得有些平铺直叙。与这种轻松呆傻的“港式风格”相比起来,还是韩国“幽灵”大片看得引人胜,发人思考,也更益智。

不过,微电影“骗子的自白”出资方的想法可能也就只是为了简单地让大众网民乐一乐,知道碰到网络安全问题立即报告网警。毕竟,要让大众理解这严肃的网络安全,还真需要一些娱乐精神。在政治舆论导向上也需适当地恶搞和抹黑网络犯罪团伙,并且扬我警威,让网络警察们显得“高大上”和“伟光正”。

总体上讲,北京市的做法是成功的效仿,而且也很值得效仿。昆明亭长朗然公司James早年表示:“上海市信息安全活动周”、“首都网络安全日”等类似的活动应该走向全国,被更广泛的省市及行业机构采纳和应用。幸运的是,“国家网络安全周”等国家级和省市级的宣传活动也纷纷开展起来。

同时,我们观察到在不少地方的“国家网络安全周”活动中,有一些“假大空”的做法、流于形式的“台秀”甚至快速走完过场,拍拍照,领导讲几句话就撤摊的场面,这实在让人觉得难受。我们强烈呼吁增加一些实实在在的针对大众的网络安全意识教育内容,将“国家网络安全周”尽量搞成几个标准化的可供地方选择的宣传方案,并配备相应的经费和宣传素材资源。

beijing-cyber-security-day-poster

信息安全官半夜被呼醒的启示

信息安全官半夜被呼醒的情况往往是突发性紧急信息安全事故,比如遭遇“猪猪侠”这种黑客大牛将系统漏洞挖掘出来并通过媒体进行曝光,或者遭遇勒索不成恼羞成怒的骇客发起分布式拒绝服务攻击让在线业务停顿。

其实,能够引起突发性紧急信息安全事故的并不限于黑客或骇客,多数信息安全威胁都是在人们的认知范围内,除了安全事件应急响应之外,做风险评估和应对计划,业务持续性计划及灾难恢复计划时都会考虑这些。所以,出现安全事故难以完全避免,而且出现了也不会出乱子,一切尽在掌控。

可是,突发性的严重安全事故不能频频出现,否则不仅信息安全总监、经理或主管们睡不好觉,一线的业务大佬们甚至CEO和董事会主席都可能是彻夜难眠啊。

有了4G和视频通话,信息安全总监可以在被窝里指挥前线值班人员快速恢复信息系统吗?这太好笑了吧!更好笑的更刺激的更冷的是让黑客入侵了智能手机终端,偷偷拍下床头的视频并上传到互联网上……

这不是没可能,而是信息安全官带着的一批队伍的水平好过普通的入侵者,或者说安全防范措施足以应对这些安全威胁,让信息安全风险降低至可接受的水平。

这里我们不得不再次提到移动终端设备的安全,很多互联网服务在鼓励客户使用移动终端,其实我们也看到,智能手机的出货量已经开始超越个人电脑,而且我们也亲身体验到,使用平板电脑和大屏手机处理简单的业务流程操作,要比使用个人电脑要高效的多。

移动应用和移动终端设备来势汹涌,安全问题也逐渐替代PC而成为信息安全官们的梦魇,而移动终端要比PC的控管难很多,因为它们可能属于员工的资产,严格区分工作和私人用途已经非常不易,并且这些设备和用户可能随时游离于传统的工作区域和内部网络,移动用户的有效身份鉴别也挑战着传统的IAM系统,更不用说保护终端信息数据的保密不被偷窥和滥用等等。

除了移动终端之外,大数据大集中的趋势也没让信息安全官轻松,大数据,大价值,大关联,不仅仅是终端用户,更可能是客户、供应商、合作伙伴等等利益相关者。抛开隐私顾虑不说,产品流、信息流的任何一点出现严重故障都可能损及整个链条的利益和信誉。在自然,面对这些潜在的问题时,信息安全负责人轻松不下来。

信息设备和系统越来越强大和稳定,Windows蓝屏都已经很少了,PC故障排差已经不是什么IT工作了,不是么?但是IT安全的维护越来越难,为什么会这样呢?昆明亭长朗然科技有限公司企业信息安全管理顾问James Dong说:信息安全变得越来越难,主要是因为越来越多的安全事件起因于人为因素比如故意破坏或操作失误。

从外部来讲,黑客、竞争者和商业间谍的活动比以往任何时代都要猖獗;从内部来看,新世代员工们更加的开放和容易轻信他人,这内外两种因素结合起来,无疑让信息安全管理难上加难。当人为因素造成的安全事故层出不穷时,信息安全官半夜被呼醒也是常态之事了。

信息安全官想睡个好觉,解决之道何在?在技术控管层面,无疑需加强大数据——机房、服务器、应用系统、数据库以及商业流程的中央安全,以及海量终端设备的安全。在人员管理层面,无疑需要强化内部人员以及利益相关链条的信息安全意识,让内部的信息安全素养和防范水平高过外部威胁,例如,能辨识出商业诈骗电话和钓鱼邮件并采取正确的行动。

昆明亭长朗然科技有限公司各组织可依赖的信息安全意识培训合作伙伴,我们专注于帮助各类型的组织管理信息安全中关于人员的风险,欢迎联系我们洽谈业务合作。