自主可控仅仅是个技术问题吗?

国际竞争日益激烈,海外敌对势力对我们的改革开放成果虎视眈眈,窃密、入侵、渗透等方式和渠道越来越信息化。信息丢失、黑客入侵、间谍窃密案件时有发生,不仅关系到国家相关产业的核心竞争力与发展前景,也对国家安全也构成严重威胁。

“在当今世界,信息产业涉及经济、社会发展方方面面,也关系到国家的重大安全和发展利益。”昆明亭长朗然科技有限公司信息安全研究员董志军如是说。然而,我们的信息产业并非完全自由可控,部分核心技术和装备采用外国产品,存在安全隐患。

究其原因,信息产业领域特别是互联网产业,发源于美国,也是美国的传统优势,而我国在信息基础研究和应用研究投入不足,一些重要成果产业转化迟滞不畅,即使稍有转化,由于初期量产不足、平均成本高致使单位产品性价比较低、国际知名度欠缺市场竞争力较弱、再加之国际大腕对新生竞争力量的联合绞杀,在后继支撑不力的情况下,往往只会落得个半途而废。

说到这儿,您应该明白了,要取得自主可控,并非仅仅是个技术研究开发的问题,我们的芯片产业、操作系统产业、地理信息产业等等,这些年的总投入都远超过不少的发达国家,大量的产品也转化出来了。市场上也能见到这些产品,然而买家却寥寥无几,到底是什么原因呢?是这些产品差劲吗?亭长朗然公司董志军说:产品好不好并不是关键的问题,就拿操作系统来说,XP之后多少创新的更为高档的系统出现了,但XP仍被大多数人们喜爱,至少使用起来并不觉得缺乏什么功能。由此我们相信,现在即使是最差劲的信息化产品,也能满足绝大部分用户的基本需求。

问题的根本原因在哪儿呢?在潜在用户的心理障碍,人们用习惯了某样东西,被这种东西附带的价值观给影响了。就如同很多人认为和美日德商品相比,国货品质就很差劲一样,这些人的这些观点在刚刚改革开放的时候简直就是真理,当然会有些市场。只是现在,中国追了几十年,品质早已提升了不少,还有不少人持这种旧观念,不是受旧观念的遗毒太重,就是受西方发达国家的思想宣传毒害太深。

如何帮助潜在用户走出心理障碍,让国人改掉“中国产品就是差”的传统观念呢?亭长朗然公司董志军说:如果我们的党政机关、各个厂家和多路媒体天天大唱“中国产品就是好!外国货都是垃圾!”那只会造就一些心胸狭隘的民族主义者,而对于明眼人,这招儿只会适得其反,将他们推向敌方。该怎么做呢?我们必须加强宣传教育,让人们知道,要实现自主可控,只有坚定不移地支持国货,支持国货就是在支持自己。当然,国货也需要争气,前期相当长一段时间宁可不赚钱,也要把市场抢回到自己的手中。

您可能会说,这样做会不会引起国外的抵制,说我们不是国际社会的一员?让我们看看美国,每位国民都要宣誓爱国,他们的爱国主义教育多么的高调!他们每年都花了一个月的精力去提高全社会的信息安全意识!有谁敢说美国保守封闭不开放吗?没有!

所以,我们也要将信息安全知识宣传纳入到全民教育范围内,使信息安全相关的法律法规家喻户晓。这样,当人们理解了自主可控和自己、家人、国家的关系多么紧密之后,才能真正的支持国货,我们的信息产业才能步入良性的循环轨道,我们才能持续投入研发、重要成果的市场转化速度才能被提升,产品品质和市场竞争力才能强化,才能有更多的预算投入到新的基础研发。也只有这样,我们才能拥有实现真正的自主可控。

话说回来,西方发达国家的产品并非全部都带有丑化低化弱化我国同类产品的价值观,相反也有一些鼓励人们体验新事物的自由精神,比如有很多开源和公益的项目。积极参与和采用这些开源公益的项目,不仅可以增加国际社会对我们的亲和力与认同感,更能以较低的成本,提升我们的基础研究能力。另外,当我们使用特别是掌控了这些开放源代码项目,那里面有什么鬼能躲过我们的法眼呢?自主可控不就是顺理成章的事儿了吗?

说到底,自主可控不是一件技术事儿,而是在获取民心。要获取民心,拯救那些迷失的人们,需要使用一些适当的宣教手段,更需要可信可靠的信息安全意识教育。昆明亭长朗然科技有限公司,出品了国内甚至国际领先的信息安全意识宣教素材资源,欢迎各级领导、各方有志之士,立即联系我们,洽谈业务合作。

您可以点击下图,在线体验我们的信息安全意识培训教程样本

infosec-awareness-demo

员工自带计算设备的安全保密管理实践

回顾历史,为了保障信息安全,使员工只可以使用公司(或其他类型的组织机构)的计算机设备,通过移动方式访问公司资源(例如电子邮件)的方式,曾经是非常受欢迎的。由于设备属于公司,因此公司可以完全控制设备的配置、使用和安全性。但是时代在变化,随着消费性移动计算设备的盛行,企业级的移动计算再也无法回避员工自带计算设备。

近年来,个人购买供私人使用的面向消费者的移动设备,如智能手机、平板电脑等等具有执行电子邮件、通过网络访问文档、运行基于Web的应用程序等功能。已经购买了此类设备以供个人使用的员工更愿意使用该设备进行工作任务或业务交易,而不是额外携带一份公司分配的计算机设备。

对此,昆明亭长朗然科技有限公司移动计算安全专员董志军称:随着云计算和移动化的深入渗透,传统的信息安全控管方式面临着新的挑战,如何控制员工在工作过程中安全地使用自己的个人设备访问、存储和传输企业拥有的信息,成为IT、安全与保密人员们的共同难题。如下,我们将与您一起分享让员工自带计算设备的安全保密管理实践。

一、确定访问公司的网络和数据的人员

这一点明显,也是最基本的。通过加强用户账户管理,可以最大程度地提升信息安全性。及时清除不再需要远程访问公司的人员账户,定期检查哪些帐户可用于公司的电子邮件服务、VPN服务、内部具有自己的用户数据库的网络应用程序等等。看其中是否有不应该(如已离职人员、承包商等)的访问活动,是否有活动异常的帐户(如大量不成功的登录等等)。

二、确定用户们可以远程访问哪些数据

公司的某些特定信息有着特殊的价值,如果落入外部人员的手中,会使公司受到损害,因此必须小心保护。严格控制敏感或涉密数据的访问人员,并记录详细的访问记录,有助于降低数据泄露的相对风险。因此,需要花费足够的精力来控制对具有最敏感数据的访问,可以不花力气或使用少量精力来控制对具有低风险数据的访问。

三、确保能够配置员工的移动计算设备

对于公司数据,移动设备特别受关注,因为它们极易遭受物理损害。如果某员工的设备落入他人手中,则该员工用权访问到的所有工作数据都面临着丢失或泄露的风险。所有主流的移动设备平台中都存在安全漏洞,最有效的防御方法是,确保正确配置所有将用于访问网络的计算设备,以减少从设备中丢失数据的风险。使用准入控制工具,在进行账户管理如添加新账号工作时,对终端移动计算设备的安全配置进行检查,是一种有效的控制手段。

四、制定员工移动计算设备使用管理规范

确保员工安全配置其设备的最基本方法是向他们提供口头或书面说明,说明如何执行此操作并期望他们遵守相关政策。不过,这种方法存在潜在的问题,即使是勤奋的员工,也往往会忘记指令,除非进行严格的培训,否则他们可能会在第一次交流后按照说明进行操作,但是随着时间的流逝,他们会忘记,而让他们的设备陷入更具风险的配置中。一项最好的方法是借助工作来确保规定的落实,使用可以自动报告设备配置并帮助或强迫员工进行安全设置的工具。今天最常用的工具是移动设备管理工具。也有一些轻型的“移动设备审核”工具,可以不用完全控制员工们的移动计算设备,同时获得该设备安全配置的报告。

五、确保移动管理工具不会损害用户隐私

要知道,即使员工们将其移动计算设备用于访问公司业务数据,设备仍然属于员工所有。因此,取得能够满足双方需求的平衡很重要。公司需要一种确保设备安全配置和使用的方式,以减少丢失公司信息的风险。员工们需要在不直接损害业务数据安全性的情况下将其用于个人用途。因此,要让员工们知道其雇主无权访问不需要访问的信息和内容,它们可能包括GPS位置、个人通讯内容如非企业帐户上的短信或电子邮件等等。一方面尊重员工们的个人隐私,另一方面也避免由于滥用隐私招致法律问题。

六、与员工们保持清晰的安全政策沟通

公司需要清楚地告知使用自带计算设备的员工们,他们正在使用的设备会受到必要的监视和控制。例如:公司可以监视哪些数据?公司可以修改哪些设置?公司将如何使用有关其设备的信息?用户设备使用相关的数据保留期有多长?等等。切记,如果公司需要审核或控制员工个人计算设备,那么可能需要签订书面协议,明确说明可以在其设备上查看或修改的信息。同时,让员工们了解自己的移动安全职责也很重要。这些职责包括:保持设备的安全性配置、及时报告可疑活动、立即报告设备丢失情况或可疑的数据泄露、确保用于公司审核的应用程序处于启用状态等等。

七、制定有关处理数据泄露的响应计划

需知,数据丢失的风险只能降低到适当的水平,而不能完全被消除。从风险管控的科学角度讲,完全消除任何数据泄露的风险的成本是非常高昂的,也几乎是不可能的。因此很有必要为发生数据泄露时的处理做好准备。建立移动计算设备数据丢失应急响应计划,及时通知安全响应团队、立即对受影响的系统进行配置更改、甚至可能会进行必要的取证活动等等。不怕一万,就怕万一,建立了响应计划之后,在遭遇意外的移动计算安全事件时,能够有效地遵循该计划,采取正确的应对行动,将损失降至最低限度。

八、让员工们体验移动计算的快乐和便利

进行上述系列安全控管需要计划、精力和资源支出。不过,这一切努力都会有所回报。公司管理人员能够看到数据遭遇丢失或破坏的风险得到了系统性地减少,员工们会因为他们可以将私人移动计算设备用于工作而感到兴奋,进而提高生产力,而不是觉得公司僵化的政策阻碍了他们的成功。

九、定期审核上述安全工作并不断改进

需要补充的是,随着时间的流逝,定期检查以上提到的所有操作实践非常必要,这是因为IT系统会随着时间的推移而变化,因此,请务必使流程和工具与业务信息系统的当前状态保持更新和一致。当然,对于信息安全与保密管理工作来讲,没有最好,只有更好,不断改进工作是专业人员职业成长和发展的动力,也是保持公司信息安全状态不断迈向更高成熟度的方法。

回顾上述几条关于员工将个人计算设备用于移动化工作的安全保密管控实践,我们不难发现,要保障公司信息数据的安全,需要将安全政策与技术要求、终端计算设备、人员安全意识等因素有效结合并联动起来,这就需要IT、安全、保密团队密切合作,并加强与员工(用户)们的安全沟通。昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识,我们帮助客户策划和制定安全意识培训及沟通计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898