我们经常听用人单位说,学究派只会玩玩纸上谈兵的理论,实际动手不行,而草根派只会照葫芦画瓢,却不懂为什么。对此,昆明亭长朗然科技有限公司信息安全专员董志军表示说,高等教育本身没有问题,技能培训本身也没有问题,问题出在用人单位,为什么这么说呢?现在的中考,先来一拨分流,高职兴起,高考再来一拨分流,加上扩招的长尾,结果造成“大学”遍地都是,普教职教混杂,毕业生能力参差不齐,学历贬值。再来几个关系户、海归回流,用人单位不堪重负呀!哎呀,扯远了。
说回来,要让员工们能干活,能解决问题能创新,能带来价值,最重要的还是入职后的培训。要达到“照葫芦画瓢”的水平,只要是正常的个成年人,几分钟学会生产线,一周学会销售和技术,都是轻轻松松的事儿。可是要做到精进高端,能够解决工作中的疑难杂症,能够改进业务制程,提升工作效率,进行产品创新,那至少得干上三五年才能“懂行”,还得是个智商聪明的人和勤快好学的人。
信息安全的三大基本属性,包括信息的保密性、信息的完整性和信息的可用性。我一说这个,有人就判定我是个学究派,只会玩玩理论。搞好信息安全最重要的就是确保所有系统及时升级和安装安全补丁,我一说这个,又有人就判定我是个行动派,只会埋头干活不会看路。我不想反驳,毕竟我不是完美的中间派,只是会左右摇摆而已。然而,这正是我将在这篇文章中探讨的东西。针对员工们的数据安全教育很重要,但是很多组织机构却不知道怎么实施,或者实施的比较偏颇,至少不够全面。
信息具有价值,尤其是在当今世界。银行账户报表、个人信息、信用卡号码、商业机密、政府文件。每个人都有他们希望保密的信息。保护此类信息是信息安全的重要组成部分。当我们谈论信息的机密性时,我们谈论的是保护信息不被泄露给未经授权的各方。
保护信息机密性的一个非常关键的组成部分是加密。加密确保只有正确的人(知道密钥的人)才能读取信息。加密在当今环境中非常普遍,几乎可以在所有使用的主要协议中找到。一个非常突出的例子是SSL/TLS,它是一种用于互联网通信的安全协议,已与大量互联网协议结合使用以确保安全。除了加密这项硬核技术措施之外,确保信息机密性的其他方法包括强制执行文件权限和访问控制列表以限制对敏感信息的访问。
一位C9联盟高校信息安全专家级教授认为:雇主必须确保他们的员工接受过数据安全方面的培训。如果忽略对员工的信息安全教育,无疑是在玩火,即使部署了大量的安全系统,也将被置于危险之中。道理很简单,天价预算搭建的技术防范体系,可能会被一位不知道自己在干什么愚蠢事儿的糊涂蛋员工轻易破坏,进而让大量努力和金钱付诸东流。的确,无论采取什么安全措施,无论是防火墙还是生物识别扫描仪,工作人员只需将个人设备插入他们的工作计算机或在带回家时弄丢纸质文件,就可以使这些措施失效。
信息只有在正确的情况下才有价值。被篡改的信息可能代价高昂。信息的完整性(亦称真实性)是指保护信息不被未授权方修改。例如,有“黑客”通过抓包APP的网络通讯,对在线交易数额进行篡改,实际只投资5000.00元,账户中却入账500000元,反复搞几百次并分享这种作弊方法,那么这对互联网金融服务商来说,可能是非常昂贵的付出。
与数据机密性一样,密码学在确保数据完整性方面起着非常重要的作用。保护数据完整性的常用方法包括对收到的数据进行哈希处理,并将其与原始消息的哈希值进行比较。但是,这意味着必须以安全的方式提供原始数据的哈希值。更方便高效的方法是使用对数据进行数字签名。
通常,员工和用户都认为信息安全意味着像安装防病毒软件这样简单的事情,问题在于防病毒软件在未知威胁面前可能会失效或被人为停用,因此,这应意味着非常有必要教导人们防病毒程序的运行与更新、不要打开受感染的电子邮件或访问病毒网站等等。信息安全教育是应对各种信息泄露风险的关键,特别是非技术型的攻击,如社会工程学、电信诈骗和网络钓鱼等,人们无法通过完美的技术方式来控制,人们必须被告知辨识真伪、识别那些人为威胁的方法。否则,假冒IT人员进行维护工作,便可获得用户的账户和密码;假冒高管说紧急用钱就可骗取财务人员进行转账操作。
信息的可用性是指确保授权方能够在需要时访问信息。信息只有在正确的人可以在正确的时间访问它时才有价值。如今,对信息或信息系统发起拒绝访问攻击已成为一种非常常见的攻击方式。几乎每周您都能找到有关知名网站被DDoS(分布式拒绝服务)攻击摧毁的新闻。DDoS攻击的主要目的是拒绝网站用户访问网站资源。这种停机时间可能非常昂贵。其他可能导致无法获取重要信息的因素可能包括停电等事故或洪水等自然灾害,当然,也包括近年来非常恶劣的网络加密勒索。
如何确保数据可用性?备份是关键。定期进行异地备份可以减轻因硬盘损坏、加密勒索或自然灾害造成的损坏。对于高度关键的信息服务,冗余也是必要的。如果主数据中心发生了意外灾难,使用异地备份来恢复服务,将大大减少发生灾难事件时的停机时间。当然,可用性上升到更高层面,也是业务持续性管理的范畴。无论如何使用客户数据,企业机构都有责任维护客户数据安全。这意味着,只要与数据交互、收集和/或存储数据,那么就不得不致力于保护该数据免受黑客和其他恶意行为者的侵害。这有业务本身的驱动力,同时也有法律合规的驱动力,毕竟很多行业不仅仅是赚钱,也要履行社会责任感,甚至有些重点行业的数据安全关系到国家安全和社会稳定。如果没头没脑的员工在生产高锋时段进行危险的变更动作,把业务系统搞关机了,客户的交易没法进行,比客户信息丢失带来的损失还要大的多。
总之,数据安全教育的现状令人堪忧,以上我们从信息安全的基本理论以及最佳实践方面,列举了让员工们了解信息安全知识的必要性和紧迫性。
昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。