传统网络安全的转型挑战与人员安全意识的新机会

近年来,各大传统网络安全厂商纷纷拓展安全意识宣教相关业务,可见信息安全意识培训非常重要,而且发展迅速。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:网络安全的目标是对品牌信誉和组织机构提供保护,重要信息资产面临的威胁越来越多,需要一种强大的组合来保护,包括技术措施、管理措施和人员措施。如防火墙、入侵检测与防御、上网管理系统、防病毒防垃圾等网络安全产品都属于技术措施;如建立信息安全团队、发布信息安全政策、设置信息安全标准化管理系统、实施等级保护措施、部署应急响应流程、进行安全检测与评估、发动安全隐患及问题整改等等主要属于管理措施。即使能做到这里仍然不足够,尤其是近年来,针对性越来越强的攻击使人为因素备受瞩目,人员的安全意识已经成为安全价值链中的关键环节。

为什么这么说呢?管理措施如安全策略需要用户们理解和认可,这样才能正确地使用网络信息资源,同时保护好它们。技术措施的有效性也依赖管理操作人员和用户们的配置和启用,否则用户们将忽略、逃避或抵抗旨在保护网络的安全技术。因此,围绕有针对性的攻击,人员安全方面的措施,是整体解决方案的重点。简言之,要想更明智地应对越来越复杂的网络威胁,降低新型网络安全风险,必须获得用户们的认可和接受,进而获得人心,也就是汇集用户们的向心力和凝聚力。

信息(消息)的传播渠道越来越广泛,基于信息泄漏、破坏、篡改、歪曲、攻击等等的相关威胁在网络上与组织机构抢占舆论市场,继续变得更具针对性,积极的应对既需要安全技术措施又需要人为防御措施。基于技术和流程的安全防护措施必须与用户信息安全意识培训相结合,方可提供针对消息传播威胁的全面防护。比方说,某涉及企业商业秘密的工作人员,被新媒体一名视频播主灌酒,进而泄露了尚未上市的新产品的一些细节,包括上市计划,最终该消息蔓延全网,当然也被竞争者获得,竞争者很好地利用了这一消息,在网络上散布、诱导甚至夸大该新产品的弱点,同时制定了竞品的市场攻击策略并获得了大量的优势。当然,这里面有企业舆论控管和应急响应不足的因素,更根本的是用户信息安全与保密意识教育的不充分。

统计显示,由于92%的事件是由人为错误引起的,因此必须对用户进行教育,并使组织意识到如何通过最大程度地减少人为“网络风险”来保护自己免受网络犯罪的侵害,以及他们应采取的实际措施。信息安全意识就是通过提供用户安全意识培训和评估内容来主动降低人为错误的风险,从而帮助组织创建人员防火墙和针对网络罪犯的第一道防线。当前,组织面临着不断变换的网络安全挑战,如何通过最大程度地降低人为风险,进而保护自己免受网络犯罪的侵害呢?答案是开展信息安全意识计划。毋庸置疑,在这个数字化的时代,邮件过滤、网关防火墙和防病毒等技术防御措施是必需的。不过,随着越来越多的恶意邮件通过这些防御措施,公司需要投资于其人员防火墙来保护其网络、系统与数据。那么,新问题又来了,组织机构该如何开展信息安全意识计划呢?

为了有效地构建人员防火墙,组织机构首先需要通过初步评估所面临的人员风险的水平,可以通过进行网络钓鱼模拟和网络知识评估测验来获得这方面的数据和概况。在此基础上,组织机构可以识别人员风险的详情所在,并且制定缓解这些风险的行动计划。对于那些被认定为人员风险很高的职工,组织机构可以为他们提供有针对性的安全意识培训内容,以强化其安全能力,掌握如何捍卫自己和雇主的知识和技能。

通过安全意识培训,员工们可以学习如何遵循最佳实践,并及时报告可疑的安全事件。如此以来,员工们就可以组成高效的人员安全侦测与感应网络,进而在工作场所内外保护好自己,并在第一时间就阻止安全事故的发生。需要做到的是,在电子邮件系统中为用户们提供一个按钮,使其可以轻松地进行报告即通知到安全响应团队;同时,还需要设置易记易查询的安全报告电话和邮箱,以便工作人员们在发现可能安全事件时,能够快速使用顺畅的报告渠道。

为了帮助各类型的组织机构掌握人员风险的水平,发起个性化定制化的、有针对性的信息安全意识培训活动,进而帮助保护组织机构的重要信息资产,昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源,也设计开发了相关的安全意识评估工具模板和在线平台。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

信用卡门的PCI-DSS合规启示

信用卡信息泄露事故不断,线上交易平台往往都会及时启动了安全应急响应流程,为潜在风险用户换卡。但看起来比较圆满的安全响应事件,却会引发信息安全界的不少质疑。

信息安全及在线金融服务专业人员们关注的焦点主要有三条:

1.一些网站记录了太多的信用卡信息,包括CVV,不管是以明文还是以加密的方式,这显然和PCI-DSS的精神不符,专家们在质疑PCI DSS落地情况,为线上交易平台提供PCI DSS牌照相关信息安全评估、审计与认证的服务商也受到了指责;

2.在安全支付服务器系统中进行在线调试,而且是“线上竟长时间打开调试功能”,显然和IT管理中“测试系统与生产系统分开”的基本软件开发及变更管理精神严重不符,线上交易平台的IT服务管理实践受到了质疑。

3.服务器未做严格的基线安全配置,存在目录遍历方面的安全漏洞。核心后台服务器缺乏基本的安全加固措施,让黑客可以从外部轻易获得相关明文日志信息,看起来基本的信息安全管理措施和流程很不到位。

不过话说过来,人人都是马后炮。昆明亭长朗然科技有限公司金融行业信息安全顾问James称:显然线上交易平台信用卡门只是冰山一角,这不仅仅是知名电商对支付卡行业数据安全标准PCI-DSS的合规遵循问题,而是信息安全相关的认证和监管生态出现了严重问题!

多数甲方将赚钱放在第一位,相关的认证和牌照只是拿来争取政府的补助和展示给客户看,其实质并不注重长久的数据安全,所以也不下功夫培训教育员工,只寄希望于咨询第三方快速通过牌照审核。

不少安全服务公司也是不学无术,靠一两个懂行的资深员工,带一批刚入门的毕业生,修改一些文件模板,拼拼凑凑一些报表报告,就在那儿糊弄客户,再通过走关系,请吃饭等等糊弄审核机构,最后的结果就是客户交钱,买个证书,在安全管理上没有什么改变。

发牌照的机构,搞一套死板的审核流程,两三次就被客户和咨询服务公司摸透了,剩下的不是被糊弄的份了,就是只管视查、盖章和收钱了。长期这样下去,如何能让消费者信得过信息安全相关的审计监管机构啊?还不如公司请个懂行的认证的老外每年来一次呢。

您可能会说漏洞就漏洞嘛,流程上的管理上的技术上的都难避免,也没有造成严重的损失啊。貌似如此,实际上,这里的损失无法估量,在地下黑暗经济中能够造成的损失有多少?每年的网络犯罪团伙有从这些漏洞中获得了多少?一些莫名其妙的金钱丢失就和这些漏洞有关!

如果漏洞发现者没有在漏洞平台上进行曝光,而是私下享用并卖给地下黑客市场,那黑客们零星的这花那儿花,国内的老百姓有几人能从发卡行或银行里获得公正呢?国内的商家有多少能在交付了货物或服务但银行却不给钱之后得到维权呢?

我们不要把线上服务商想得太坏,有问题不好好解决,只要搞搞表面工作糊弄过去了事儿。没有公司想把自家的负面新闻闹大,影响公司商业形象和信誉,进而造成业绩下滑。所以,我们要理解线上交易平台的安全应急响应措施,人们的态度又是那么的诚恳,我们不要给人家太多的责难,而要深思问题的根源何在,并且从自身找出类似的问题并改之。

如果您是线上交易平台的大客户或合作伙伴,当然有权力提出自己所关心的安全问题,甚至可以要求相关的报告,并进行现场的安全审核,只是那些信用卡发卡行并没有好好做这些工作,哪一天线上交易平台的系统出现意外,来个批处理,瞬间让钱哗哗流走,这些关联方都会跟着倒霉,那时可真会成为国际头条新闻呢。

同时我们也不要把国人的安全渗透水平想得太差,菜鸟们也可能在不断尝试和学习中超越专业的计算机安全人员。我们需要外界的专业安全力量来进行安全评估和渗透测试,悬赏漏洞发现者是个聪明的做法。

一下子暴露出这么多问题,这些问题的背后根源何在?昆明亭长朗然科技有限公司James说:我们根本没有一个合规守法的文化!这才是问题的核心。除非线上交易平台想利用其罪恶的手段,希望通过掌握最多客户身份和信用卡信息来达到保留客户的目的,否则没有道理违法存储这么过多客户信息,给自己公司和客户同时置于风险之下。

如果说线上交易平台没有罪恶的留住客户的手段,那则是他们缺乏必要的信息安全意识、IT服务管理方法与合规守法经营理念,让全体员工参加诸如PCI-DSS基础培训是一个解决之道,不论是为客户,为公司,还是为投资者,线上交易平台和我们都应该立即行动起来。

建立合规守法的企业文化的关键在:1.让人们理解法规的精神,2.让人们遵守法规的条款。通过多层次的员工沟通可以让人们明白法规的精神,了解法规的精神内涵远比宣读法规内容本身重要的多。而多数人在了解精神之后会同意并遵守,那些少数知法但不愿守法的才是我们工作的焦点,要做的是通过必要的奖惩措施来激励员工们积极遵守和实践法规的精神。