必须教会员工的三项安全技术

在办公室里转悠一下,您会发现大部分人在电脑面前忙忙碌碌。当然如果您的公司有远程工作的,您可以想像出员工们在家里、在路上、在酒店、在客户、供应商或合作伙伴场所工作的情形——他们手持笔记本电脑、平板设备或智能手机,在展示、处理或传输着重要的信息。

不管您是否意识到这些,事实是员工们而并非仅仅是安全团队在保护着公司应对着诸如黑客攻击之类的信息安全事件。

您和您的IT安全专业团队可以配备最领先的安全创新科技,但是如果您公司的员工们如果不去正确应用这些创新技术,不去实施最佳计算机安全实践,事态可能远远比您想像那么严重。

各类组织机构的战略远景和目标各不相同,专业IT成员和安全团队的数量也大相径庭,所以需要让员工们理解如何保护信息数据的安全,并且采取正确的安全行动,因为组织机构以及各种重要的数据值得这样去做。

为了确保您的公司能够应对业务所面临的基本的安全威胁,您的员工们至少应该具备基础的信息安全能力,而安全防范能力不是天生就有的,公司信息技术和安全部门应该通过教育手段来帮助员工获取这些能力。

尽管安全是一个博弈的过程,在面对无比厉害的黑客高手之时,几乎没有任何组织可以完全避开,不过通常的业务不会令普通的公司成为黑客的攻击目标。所以呢,只要员工们的安全能力能够粗略地应对大众化的黑客和病毒袭击,紧跟或超越业界最佳实践水平,便在正确的方向,能够满足保障业务安全的需求。所以,在安全技能的培训内容方面,我们建议您也不需要一口吃个胖子,抓出重点几条内容,强化模拟场景式的训练,方可获得最佳效果。

如下是我们根据多年的经验和对安全现状及趋势的分析和理解,整理出来的三条员工必备之、主管必训之安全技能:

一、小心无线网络连接

无线网络接入是远程工作员工们的最爱,但是公共的无线热点也可能是网络犯罪分子的陷阱网络接入点,因为它们通常对数据、邮件、密码以及其它通过它传输的敏感信息并不进行加密。

所以,我们应该教育员工们这一点,并且告知他们在陌生地点遇见陌生WIFI信号时,应该向权威机构进行合法WIFI的确认。如果没有选择只能使用公开的无线热点之时,应该启用个人防火墙和关闭文件共享服务,以防止攻击者连接到无线终端设备并进行进一步的渗透攻击。

更重要的一点是要保障数据通讯的安全,想让移动工作员工使用加密的通讯,只需简单告知他们在连接WIFI之后立即启用安全的网络连接,如起用虚拟专用网络VPN。VPN技术和产品已经非常成熟,如果您的公司还没有启用VPN,那么则应该立即行动起来,采购和部署从几百块到几万块不等的VPN设备,或者在云计算时代,如果您的公司并没有理想的互联网接入线路,您也可以考虑租用商业化的公共互联网安全服务,这些服务不仅包含VPN,也包含防病毒、防网络黑客、防数据泄露、在线数据存储和分享等等。

二、负责任地使用电子邮件

网络犯罪分子和垃圾虫们在通过邮件帐户攻击最终用户方面越来越老道,恶意的信息窃贼总是尝试让邮件接收人通过种种方式来泄漏公司和个人信息,而这些,往往都在员工们所不知晓的情况下悄然地进行。

大量商业信息通过邮件发来发去,邮件诈骗事故屡见不鲜,为了保护重要的商业信息,您需要建议员工们:
在开启邮件附件或点击邮件内相关链接之前进行必要的判断,如果比较可疑,就不要开启。
特别小心.exe之类的可执行文件,因为在开启它们之后会立即执行恶意程序。
使用复杂的邮箱密码,以防止黑客侵入邮箱并且实施犯罪活动。

三、聪明地使用智能终端设备

IT设备变得越来越移动化和消费化,这使得员工们可以轻松地在私人设备上运行工作任务,高效率的同时也带来了一些安全问题,比如为攻击者开放了新的入侵大门,所以说智能手机和平板设备等便携式移动计算终端让数据安全的管理变得更加复杂。

我们需要制定和发布适当的自带计算设备BYOD策略,以便员工们能够知道在什么时候以及如何将他们的私人移动设备用于工作事务。移动计算安全策略应该包含针对智能终端的安全指引,比如密码锁定政策、公司支持的以及不允许用于工作的终端设备(型号)、应用程序安装及管理指南、安全事件报告流程、设备跟踪以及远程数据删除建议等等。

最后,我们要补充一下,即使能够做到上述三项,并非能够保障业务安全万无一失。不过话说回来,尽管安全专家们在安全事故之后往往会说安全防范是系统化的体系工作,这并没不仅仅是借口。人人都知道事后诸葛亮算不了什么,但是我们的确需要员工们拥有更多的防范技能,不过这需要给人们时间来吸收、理解和支持。

mobile-and-wireless-security

如何建立网络安全文化

根据网安科技的一项调查,中央国资企业仅将其IT预算的3.2%用于网络安全。对此,昆明亭长朗然科技有限公司网络安全专员董志军感叹道:这点支出与全球范围内的跨国企业13%的基准相比,显得多么的微不足道。

不可否认的是,很多中央企业担负着重要的政治任务,这就造成可能在非经济领域的事情上花了很多钱,因此尽管有庞大的开支,在网络安全方面,央企仍然会觉得处处都是威胁,尽管有如《网络安全法》、等级保护等法规驱动力来促进网络安全工作的开展,但是“巧妇难以无米之炊”,那紧张的预算,想买高端的设备和服务,是不可能的。

《网络安全法》实施几年来,相关细则不断出台,给互联网、金融等行业带来了巨大变化,许多公司正在不断加强对网络安全的关注和投入,但是这种情况似乎并没有在央企大量发生。为什么央企不带好头儿严格遵循网络安全相关的法律法规呢?要说他们不怕惩罚那是不可能的,要说没有资源那也说不过去,有国家做后盾的都是财大气粗的,而且有大量的服务商盯着看着。

一位常年与央企网络安全负责人打交道的超级销售称:“客户知道他们在信息安全方面的支出低于其发达国家同行的支出,但是他们也知道中国的国情,即使争取到了可观的网络安全预算,也很快会被领导一句话,就挪做他用。”

这就是央企国企的企业文化的一部分,网络安全负责人无奈也没有办法。不过,如果硬着头皮要上,那最好也是从文化入手,即少花钱买“物品”,多用“人力”,以建立网络安全文化。网络安全领域传统的观念就是安装硬件设备,安全人员喜欢这样做,因为外行的领导们不懂,当然,这闹出过很多笑话,比如一套软件一张光盘一千块领导觉得贵,把同样的软件装进工控机十万块领导却觉得值。不过近些年来,领导们越来越聪明了,他们不再迷信机器设备这些硬件,而是更注重人的因素。这也是一个潮流和趋势,设备设施是为人服务的,也要人来使用的,安全亦是如此,需要与人互动起来,才是真的安全。

建立企业网络安全文化,通过内部沟通,让人人懂安全,是最经济实惠的“秀”安全工作的方法,领导们可能不喜欢去机房看那些硬件设备,但一定会喜欢看到职员们展示出来的安全风貌,这就是领导们喜欢玩儿的,安全文化的体现。网络安全文化的体现会在哪些方面呢?董志军举出如下几个例子。

密码或口令的保护,密码出入各类信息系统的钥匙,是网络安全防御体系的重要一环,央企职员们可以使用容易创建、容易记忆、复杂而强大的密码来帮助提高网络安全性。这需要网络安全团队强化宣传,以激励职员们保持更健康的密码习惯。在职员们为领导们演示工作时,输入复杂的密码登录系统,与输入简单的密码,或者看着屏幕旁边的小纸片上记录的密码,给领导的印象会截然相反。

机密与隐私的保护,领导到办公区走走,看到有的员工不在座位上,但涉密信息却被摆放在桌面,有的员工在微信中随意披露工作内容,有的员工将工作文件上传到互联网云盘上,领导肯定会有些担心。与之相比,领导看到不在座位的员工桌面仍然很整洁,电脑屏幕也被锁定起来,其他的员工在离开座位时也收拾好桌面,并习惯性地锁起重要物品和电脑桌面。即使领导嘴上不说,心里也肯定会有自己的认识和看法。

恶意软件的感染,从来未感染过或听过受到恶意软件感染的机构,和感染了勒索软件的机构,给领导的印象绝对是截然不同的,即使领导是个网络安全方面的技术外行,但是显然,人们会有一个常识,电脑文件被勒索软件加密,绝不是偶然的因素,而无疑体现出网络安全综合水平的落后。

通常上述几个例子,相信不难理解网络安全文化的重要性,网络安全文化并不是虚无的东西,也并不是表面的东西,而是实实在在的网络安全治理管理体系的组成部分。文化的养成源自行为习惯的塑造,而行为习惯则源自于对网络安全的积极和正确的认识。如果人们不认为安装安全补丁有什么用处、甚至觉得是麻烦事儿的话,他们就不会及时安装软件的安全补丁,系统和网络的安全漏洞就会一直存在,一旦遭遇网络安全威胁,风险便随之而来。

不要以为通过扫描网络漏洞、识别和监控网络安全入侵行为,建立网络安全事件快速响应计划等等措施就可以替代掉对职员的安全文化熏陶工作,网络安全是一项全民的工作,针对网络安全威胁的战争亦是如此,不能仅仅依靠专业团队,全民用网络,全民要防范。

借助新型的安全意识培训产品,央企网络安全负责人可以快速、轻松地部署以培训员工安全意识的在线网络教育课程,内容包括安全意识基础和安全意识技术。在线网络教育系统通常还使管理人员下载报告以识别已完成课程和未能及时完成课程的职员。

当然,网络安全文化的建立并非一两次安全意识培训活动就可以达成,要不断地放在实践中去检验,网络安全现场审核与检查、人员网络安全意识访谈、模拟网络钓鱼攻击等等活动,都是花很少钱,却能同时衡量和促进网络安全文化建设的好方法和好工具。

确保网络安全法规与政策的落实,需要拿得出的东西来激励人们学安全、行安全。创建网络安全文化不能虎头蛇尾,要坚持不懈,定期进行全员安全意识刷新是必不可少的工作。

为帮助各类型企业机构的网络安全负责人员,昆明亭长朗然科技有限公司推出了网络安全意识培训与文化宣传服务及课程内容资源,欢迎联系我们,洽谈采购与合作事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898