强化网络防御能力的缘由
近年来,各级党委政府大力推进网络安全和网络信息保护工作,根据人大执法检查情况看,《中华人民共和国网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》的实施情况不够理想,尽管相关部门做了不少普法教育工作、关停关闭了大量的违法网站和违法违规账号、消除了大量的违规信息、抓获和审理了大量的个人信息犯罪人及案件。
在国力如此强盛之际,维护网络安全方面的困难和问题何在呢?首先,很多地方政府和部门领导干部没有充分认识到网络安全的重要性,或者只是停留在口头重视,内心不当回事儿。其次,社会大众的网络安全意识不强,许多人缺乏网络安全意识,对网络安全“知其然不知其所以然”。
国家层面如此,国家的一个组成单位——公司也是如此。公司领导没能将网络安全工作列入重要议程,员工们的信息安全意识薄弱,进而导致网络安全风险不断凸显,信息安全事故频频发生。
在一次业界知名的信息安全研讨会上,得知不少中央级别的单位也感染了Wannacry勒索软件,昆明亭长朗然科技有限公司的网络安全政策研究员董志军与多家中央部委和中央企业的网络安全负责人谈论起Wannacry的教训。经过短暂的沟通,大家得出一致的结论:在对信息系统进行安全加固的同时,也应员工队伍的意识进行安全加固。
的确,不管是国家层面的捍卫国家网络空间主权,还是公司层面的应对勒索软件保护数据安全,组织都必须拥有足够的网络防御能力,组织内所有人员都拥有也必须担负起更好地管理我们的网络风险的责任,毕竟,所有人员都存取着一定量的信息数据。
当我们谈到“安全加固”人员队伍的时候,切记并非仅仅一个安全技术术语。我们需要力推,让全员都了解我们所面临的网络安全风险,进而使用安全常识和最佳实践,来更好地保护我们的信息。在理想的情况下,全员甚至全国公民都拥有了足够的网络防御能力,自然就不会有网络犯罪分子,网络空间也会更加太平清朗。
强化网络防御能力的现状
党和政府多年来一直在大力提倡网络安全,也一直开展多项网络安全宣传活动,试图让社会大众更加了解网络安全知识和掌握网络安全技能。这种出发点不错,但效果似乎并不理想。董志军表示:一方面,网络安全宣传活动如网络安全宣传周的重点只覆盖了少数几个主要城市,剩下几百城市那些活动都是有些迫不得已的,领导们走走过场,搭个台读读稿,找些群众拍拍照,秀一下就完工散场了。另一方面,方式方法也不够好,大街上贴海报、报刊上发文章、电视上播视频,在这碎片化和新媒体的传播时代,效果是肯定不行的啊。
坦率地说,这种老套的做法,很差劲,主要原因在于受众觉得置身事外,不去主动关心。再看宣传方,不少地方的党和政府搞针对社会大众的网络安全宣教活动,在衡量绩效方面,往往拿印刷品数量,展板数量,投入宣教人员数目来说事儿,这显然不大准确和合适。
于是,在国家层面提升国民的网络安全素养,加固网络安全意识,虽然是个大盘子,但是绝不会成为某个官员的首要工作,这项小工作做不好似乎也是合情合理的。然而,对于一家公司来讲,对信息安全管理负责人,特别是员工信息安全教育培训负责人,这就是重要工作了。如何做才有效呢?昆明亭长朗然公司董志军说:挂展板、推漫画、发期刊、放视频等手法不是没有效果,而是效果取决于宣传物的设计水准以及受众的参与度。在文化市场上,我们可以看到,同样是作品,有的就很受大众欢迎,有的只能被少数人喜欢,有的则无人问津。有的人能被动参与学习,有的人可以自发学习,问题是能自发自学的人是少之又少。
考试是初级也是必须的手段
管理大师彼得杜拉克说过:没有衡量,就没有管理。只有我们能够衡量人员队伍的“安全加固”工作成效,方才是找到了正确的方法。考试是最常用的衡量手段,虽然常被人诟病,但经过千来年被证明有效且还算公平。对员工进行信息安全水平测试,是初级的,也是必须的网络安全防御能力提升手段。职场人士都是经过枪林弹雨考过来的,职场中再考一考,也是不错的。要通过考试,总得要学习吧?这就给员工以学习信息安全的压力和动力。同时,为了避免应试教育,我们可以限定时间线上答题,使用海量题目,从中随机挑选,以减少作弊的情况。同时可以考虑增加线下的信息安全心得论述,以启发学员对信息安全的思考。
更进一步增强防御实力的招数
尽管考试能促进受众学习网络安全的动力,但它的主攻方向还是检验成效,缺乏系统的网络安全知识,所以仅靠考试不够全面。采取基于线上学习的信息安全意识培训计划,是一个较为完备的网络防御能力提升方案。要发起一个大型的安全意识培训计划,线上学习无疑是最为经济和有效的了,因为线上学习不受时空限制,学员可以随时随地参加线上学习和参与教学互动。在课程方面可以尽可能全面,要避免枯燥乏味,普通的纯知识讲解式教程可能会让学员打盹,使用案例式、情景式的培训最为有效。通常来讲,需要由高层领导定下了基调,可以请CEO、CIO或CSO录制一些讲话视频,以示对信息安全的重视,同时提出对线上学习的要求。一个重点是,必须要求各级领导层参加这个培训和练习,领导支持并以身作则地提升网络安全素养,下属们才会效仿,带来的人员“安全加固”回报是巨大的。
创新玩儿法带来防御力提升高潮
我们发现那些进行创新网络安全训练的组织,往往在各种网络安全赛事中取胜,这不仅仅限于网络安全技术方面的挑战,而且包括针对全员的安全水平测试情况。董志军说:这些创新玩儿法包括但并不限于模拟网络钓鱼、互动式的教学游戏,以及基于网络安全事件的演习等等。因为在教育培训方面,“体验式”和“参与式”的效果是公认最好的,也是效果最持久的。如果我们模拟一些内部和外部的网络安全威胁,利用一些成熟的网络钓鱼架构,发起模拟的鱼叉式网络钓鱼事件,那会大大增强网络安全培养活动的趣味性,积极调动全体人员的积极性。创新玩儿法就是在这些平台上,开动大脑,基于现实,创造一个个安全场景,并通过安全场景,来达成互动式教育,在互动式教育中成长变强的过程。记住,安全团队与全体职员是一种伙伴关系,在模拟、游戏和演习等活动过程中要多鼓励、多反思,而不是批评责怪。即使用户在网络安全方面表现非常糟糕,也应该不忘使用幽默的方式,营造开心和轻松的氛围。
学以致用通过检查来确保执行
当人们知晓了某个道理,拥有了某种能力,就应该使用起来,并不断强化。强化网络安全防御能力的过程也是防止弱化的过程,我们的经验是每月或季度实施一次全面的办公室安全检查计划,全面检查包括高阶领导们在内的所有员工的办公桌安全。看一看是否有随意放置重要信息资产,是否有违反计算机安全政策要求离开座位时未锁屏,网络安全软件工具是否都启用并且获得了更新,打印机或垃圾桶中是否有敏感文件等。安全大检查的报告及时呈给董事会及各部门高管,这样,我们就知道有哪些高价值高风险的信息,有哪些网络安全防范方面的弱点,有哪些需要改进的地方。同时,让受检查的员工们知道需要保护什么信息,以及如何保护这些信息。对此,董志军补充说:其实,这也就是典型的办公桌清洁政策,Clean Desk Policy,当然,重点是在是否获得强制执行。
强化防御实力活动的教训和反思
您可以给受众发一份信息安全手册,让其去阅读。但是不要指望人们能花足够的时间在上面,更不要期望人们能理解其中的内容,并去自觉地遵守。这不是文化品缺乏的年代,而相反,是信息过度的时代。要让员工们了解网络安全的利害,必须强制参加学习以提升网络安全防御能力。如果安全部门的力量不够强势,那必须得借助高层的力量来解决。发起一项宣教行动容易,要衡量效果,并不断改进,就需要很多跟进的工作。
记住,网络安全人力加固不是一朝一夕的事情,这是一个不间断的养育过程。综合使用安全测试、线上培训、网络钓鱼、互动游戏和情景式演习,是增强网络安全防御实力的最佳做法,您还应该至少每年进行一次。将月度或季度的桌面安全检查融入到员工们的日常工作之中,是学以致用、并不断保持这种网络安全防御力的必要措施。
更多的关于网络防御能力的补充
我们不奢望全民或全员都像网络安全专业人员一样,拥有强大的防御能力,但至少为保障其工作所需的最少的防御能力还是要有的。还需要用户知晓,如果发生网络安全事故,而自己没有能力应对,则应及时打电话给正确的联系人,以寻求帮助。话说回来,知道什么时候提前打电话给谁,在坏事发生之前,能够报告给安全应急响应团队,也是网络安全防御能力的一部分。
在未来的几年里,所有的党和政府官员,全体国民大众,以及公司职员都必须知道,为什么要重视网络安全,该怎么在工作中实践网络安全。这一前提是“安全加固”人员队伍,让人们拥有足够的网络防御能力。
提升全体国民的网络安全意识,强化客户员工的信息安全防御能力,是昆明亭长朗然科技有限公司的专业工作,我们全力以赴,以求做到最好。如果您有这方面的需求或兴趣,欢迎您联系我们,洽谈业务合作。
电话:0871-67122372
手机:18206751343
微信:18206751343
QQ:1767022898