驱动信息安全意识教育三大力量

infosec-awareness-training

在国内大的背景下,面对家庭和个人用户的计算终端安全都已经免费;而面向企业级的网络信息安全产业似乎只为特定行业而生,大到拿国家项目巨额补贴的信息安全概念股,小到分食信息安全集成项目的独立安全顾问,无一不是在吃党和政府的“政策饭”。

刚性的需求也有,病毒、黑客和商业间谍只是众多安全威胁的一小部分,虽然开源的系统足以满足大量的企业级安全控制需求,但是开源是技术极客和英文高手们的天堂,懒汉和菜鸟们只能仰天长叹。同时,基于开源系统的安全服务概念尚未被成功商品化,多数厂商只能雇佣一批批软件开发人员,勾画出华丽而傻瓜化的中文界面,尽管其核心仍然是开源技术,然而在知识产权的激励机制下,便摇身一变,成为民族的“自主创新技术”。更重要的是,这些软件产品,外加上特别的硬件“盒子”,便很容易变成明码标价的网络信息安全产品。

信息安全培训和意识教育又是整个信息安全产业中的一小部分,当然也不能免俗,不过教育培训多倒是赤裸裸的服务,放在企业培训领域,信息安全培训则更像是沧海一粟。从人力资源的角度看,信息安全培训和意识教育是必不可少的,至少在信息时代,人们有信息资产如信息数据和信息系统需要保护,保护这些信息资产的人们需要有一定的安全能力和资质,显然这需要靠培训来获得。

然而,这些似乎并不是企业层面进行信息安全意识教育的驱动力量,那么驱动力量何在呢?昆明亭长朗然科技有限公司的安全行业分析师Richard Leung总结出如下几点:

法规遵循政策驱动

今天的上市公司不仅会被要求防范黑幕,更被要求进行必要的信息保密和披露措施,显然管理层如果不对员工们实施必要而充分的安全意识培训,在出现类似欺诈交易等恶性事故之后,很容易被监管层狠批在员工安全意识培训上不够称职。

而特定的行业则面临监控机构更多的安全规定,其中都不乏员工安全教育这一块儿。尽管这并不是安全监管的全部内容,只是一小部分,但是仍然需要安全意识培训方面的计划以及培训的日志记录。

应对法规遵循政策驱动力的安全意识培训应该如何进行呢?亭长朗然的安全讲师Alice Wong说:尽管在针对全体员工的安全培训上只有粗略要求,并没有详细的操作指引或细则,信息安全负责人仍然需要注意两点:一是找出组织机构需要遵循的安全法规,比如公安发布的计算机信息系统保护条例、重点行业的所需遵循的等级保护条例、行业监督委员会关于信息安全的红头文件等等。二是为支持对这些法规的遵循,需要对不同角色人员进行的不同培训。

客户信任业务驱动

大众对个人信息失窃的事件成为安全头条新闻已经变得心寒,并且开始觉悟。那些泄露或卖掉私人信息的商家已经开始失去客户的信任,甚至有客户开始采取法律手段来维护自己的权益。要重获信任并不容易,首先从内部抓起,要加强对员工进行安全和隐私保护教育,防止内鬼为了蝇头小利铤而走险,同时也要教育客户,展示公司的在数据的安全保护方面的作为遵循了法律法规的要求,让客户有足够的信心。

保障业务安全驱动

前两者是外在的驱动力量,而保障业务信息安全,无疑是内在力量,发自内在力量的安全意识教育往往能获得更好的效果。毋庸多说,基于技术和流程的安全控管措施可以在一定程度上保护信息资产的安全,然而大部分的信息数据却存在于员工们的头脑之中,而那些基于技术和流程的安全控管措施也需要与人们的互动才能发挥足够的作用,所以为保障业务的成功,无疑需要加强对员工们进行信息安全意识方面的教育。

是否有其它方面的驱动力量呢?当然有,比如提升企业的信誉,彰显管理层的作为、构建学习型组织等等,但是这些并非核心要素。驱动信息安全意识教育三大力量,才是安全意识培训负责人所背负的“三座大山”,昆明亭长朗然科技有限公司的重要任务便是积极有效地整合这三股力量,帮助安全培训负责人化被动为主动,最终轻松推翻“三座大山”。

涉密载体及移动存储介质的管理

涉密载体如移动存储介质等直接承载着国家秘密信息,不可怀疑地会成为窃密者的重要目标。此外,由于它们体积小巧且便携,因此也很容易弄丢也被偷,进行造成不当泄密。对此,昆明亭长朗然科技有限公司保密培训专员董志军称:每年都有涉密存储介质丢失,以及通过涉密载体造成涉密信息泄露的案例发生,看到不断有涉事人员因此而栽了跟头,真令人痛心。

即使您不在国家机关工作,您仍然有很大可能会使用移动存储介质,相信其中有些真不宜公开的信息内容,所以, 所有社会人都很有必要了解一些基本的涉密载体安全保护常识。

涉密载体的定义与分类

国家秘密载体,简称“涉密载体”,是指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、光介质、电磁介质等各类物品。

涉密载体的分类根据介质的不同,可将涉密载体分为:

  • 纸介质涉密载体。纸质涉密文件、资料、书刊、图纸等。
  • 光介质涉密载体。利用激光原理写入和读取涉密信息的存储介质,包括CD、VCD、DVD等各类光盘。
  • 电磁介质涉密载体。包括电子介质和磁介质两种类型。电子介质涉密载体,是指利用电子原理写入和读取涉密信息的存储介质,包括各类U盘、移动硬盘等;磁介质涉密载体,是指利用磁原理写入和读取涉密信息的存储介质,包括硬磁盘、软磁盘、磁带等。
  • 密品。密品是直接含有国家秘密信息的设备、产品等。这种设备、产品有的可以通过外观观察、测试、分析等手段获取所承载的国家秘密信息。如密码设备、新型尖端武器装备、计算机信息系统等。

涉密载体生命周期管理

涉密载体管理是机关、单位最基本的保密工作,主要指在“密件”制作、复制、收发、传递、使用、保存、维修、销毁等全部环节中,在“密品”研制、试验、生产、运输、使用、保存、销毁等全过程中,依照保密法律法规的规定,所进行的旨在保障其安全的全部活动。

涉密载体管理要求

  • 起草涉密文件、资料的过程稿、送审稿、讨论稿、修改稿、征求意见稿,都要严格按照涉密文件、资料保密管理规定妥善保管,不得随意丢弃。
  • 制作涉密文件、资料应注明发放范围、制作数量和编排顺序号。需要委托印刷厂印制的,应送国家秘密载体定点复制单位印制。禁止将国家秘密文件、资料委托非定点单位印制。
  • 严格按照批准的数量制作,承办人员及其他任何人都不得多制、私留涉密载体。
  • 收发涉密载体,应当履行清点、登记、编号、签收等手续,登记文件、资料应当明密分开。
  • 检查信封、袋、套密封是否完好无损,确认未被拆开,才能接收如发现问题,应当立即将情况报告单位主管领导和发文件单位处理。
  • 涉密机关、单位收到涉密载体后,由主管领导根据涉密载体的密级和制发机关、单位的要求及工作的实际需要,确定本机关、本单位知悉该国家秘密人员的范围,任何机关、单位和个人不得擅自扩大国家秘密的知悉范围。
  • 保存涉密载体,应当选择安全保密的场所和部位,并配备必要的保密设备。
  • 绝密级涉密载体应当在安全可靠的保密设备中专库专柜保存,并由专人管理。

涉密移动存储介质

涉密移动存储介质,是指用于记录、存储国家秘密信息的,可以携带、移动的各种介质载体。主要包括硬盘、软盘、磁带等磁介质载体,CD、DVD光盘等光介质载体,U盘、存储卡等半导体介质载体。

涉密移动管理介质的管理和使用原则

  • 相关部门负责购买。涉密移动存储介质由保密办或指定相关部门负责购买,并统一编号登记,集中管理。涉密移动存储介质应在密码柜中保存。
  • 粘贴密级标识。涉密移动存储介质应在显著位置粘贴密级标识,标明密级、用途、责任人,并按其所存储信息的最高密级进行标识。
  • 履行登记手续。使用涉密移动存储介质要履行登记手续,经单位分管领导审批后借用,使用后要及时归还。
  • 移动存储介质严禁在涉密计算机和非涉密计算机之间交叉使用。
  • 涉密U盘等移动存储介质不得在非涉密计算机上使用,非涉密移动存储介质以及手机、数码相机、MP3、MP4等具有存储功能的电子产品不得在涉密计算机上使用。
  • 涉密移动存储介质不得降低密级使用。严禁将涉密移动存储介质进行重新格式化或删除信息后,作为普通存储介质使用。

案例警示

某单位干部张某随意将存有涉密文件、资料的移动硬盘交由同事王某使用。王某擅自将该硬盘中的涉密文件、资料拷贝到自己的计算机和移动硬盘中。后因王某的计算机连接互联网,造成严重泄密。张某、王某因此受到开除党籍、开除公职处分。

多年来,昆明亭长朗然科技有限公司致力于全民的网络安全与保密意识提升,我们帮助众多知名企业对员工进行安全意识教育,我们有在线的信息安全学习系统,以及大量的课程资源可供选购用于内部培训。如果您有兴趣了解更多,欢迎联系我们。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898