信息安全意识

自带计算设备比新冠还毒

admin

如果一家企业允许自带设备,要么这家企业没有什么需要保护的重要信息,要么这家企业的数据安全将面临巨大风险。新型冠状病毒不断出现新变种,威胁着人类的生命健康安全。对此,昆明亭长朗然科技有限公司网络安全专员董志军称:与之对比,自带计算设备对企业的信息安全威胁,也足以匹敌正在世界上大肆流行的冠状病毒。

有人说,我们可以使用移动设备管理安全解决方案。的确,移动计算越来越流行,越来越受到企业的追捧。尤其是受到病毒影响,人员进行隔离期间,在家工作、远程工作,不就得靠移动计算么?但是,实际的情况远比表面看起来复杂。

通过打造安全的网络通讯连接,如VPN,或者云计算,某些岗位,如销售、客服、人资、财务等岗位,某些行业,如互联网行业、数字媒体行业等行业,完全可以在家办公。但是,硬核实物产品的设计研发、测试检验、生产试作、批量制造、供应采购、仓储物流,涉及到实物的保密,现场层层的安全保护措施,都难以完全抵挡大意失密,或者恶意窃密的情况,何况允许员工自带计算设备进入。

对于层层的安全防范,安全专家们称之为“多重防御”、“立体防御”。如果放开自带计算设备,如同为病毒开了一个口子,让病毒“无孔不入”一样,很多现代的科技公司,在这方面的安全意识和管控措施远不如传统的制造业。这就类似崇尚“自由、人权、民主”的西方社会,很难控制住冠状病毒的传播,而东方式的“集权体制”却可以在一定程度上实现病例“清零”的原因。

很容易理解,让我们做个对比:金融科技公司的员工们,个个是“天之骄子”,工作环境好、福利佳,员工们自然想要将个人手机带入办公区,而管理层得考虑“留住人才”,不得不让步;而制造业的员工们,中学毕业文凭都混不来,大都是些偷奸耍滑的“打工人”,也只能干些简单的手工话儿或力气活儿“混饭吃”,不让你带手机进工作区,主要是怕影响了工作效率,当然,也有安全保密的考量因素。

也有些小型科技公司的小老板为了贪图便宜,不想购置如笔记本电脑等计算设备,如果员工们肯使用自带设备来用于工作,那不是很好吗?这种短视的做法,令人不齿,也带来安全隐患。

如果IT或小公司老板允许员工们在个人计算设备上安装业务所需的所有软件,那么事情在某些时候将不可避免地出现问题。

首先,雇主可以合法地强加给员工的界限是有限的。例如,他们无法精准控制员工在使用设备时将访问哪些网站。

其次,该设备在工作时间以外个人使用时可能会受到恶意软件的影响,然后在带回办公室时可能会感染工作信息系统。

再次,雇主无法控制是否允许朋友和家人使用该设备,因此不一定能够阻止他们访问敏感的公司数据。

还有,安全隐私不仅对公司而且对员工都是一个重要问题。正如企业希望他们的文件保持私密性一样,员工也希望公司不要过度干涉到自己的个人隐私。

笔记本电脑、平板电脑、智能手机、可穿戴式智能小玩艺儿,它们之间的界线越来越模糊,但是它们都是强大的计算机,可以拍照录像(窃密),可以联网(窃密、泄密)。而如果它们的所有权是员工私人,而非公司,那么在任何时候,员工们不太可能允许IT经理或小老板拿走该设备进行调查。

因此,当允许员工将自己的设备带入工作场所时,会出现许多数据安全问题。那要怎么办呢?“零信任政策”与“清零政策”有异曲同工之妙,拒绝自带计算设备,不适合某些“开放性”较强的行业或岗位,而却是另一些对保密性要求较高的行业及岗位的最佳做法。很多科技企业的研发部门,对进出的员工进行金属探测和“搜身”,其严格程度,堪比机场安检。这种做法虽然苛刻,也是情有可原,原因无非是在激烈的竞争环境下,内部人员窃密泄密,带来的损失太大,大到无法承受之重。

当然,企业也可以采取一些措施来提高工作场所的数据安全性,比如可以使用云存储来远程访问数据,而不是将信息存储在个人设备上。当然,这也需要更多的云存储配套安全措施,如访问监控和审计等等,以防敏感信息被不当获取和泄露。

总之,对于自带计算设备的态度,“宽政猛于毒”。组织机构应该根据自身的实际情况,评估窃密泄密风险,并以此为基础,制定合适的自带计算设备政策。比如,在开放式的办公区域,允许员工有限制地带入和使用私人手机,在涉密区域或场所,禁止任何私人电子设备的进出。当然,同时,也需配合相应的保密协议及沟通教育,以获得员工们的理解和支持。唯有如此,才能在获得保密成效的同时也获得员工们的人心,以及高效的生产力。

昆明亭长朗然科技有限公司推出了大量的网络安全与保密意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有网络安全与信息保密相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

潜伏的暗影:一场关于信任、泄密与责任的警示

admin

(前言:故事一 & 故事二)

故事一:云端失窃案——“完美”的系统架构

“我绝对不会再相信任何‘完美’的系统了!” 顾景熙,曾是新华证券信息安全部高级工程师,此刻的声音嘶哑,眼神空洞。他曾经是公司宣传的“技术奇才”,曾对他们自主研发的“猎云”交易系统充满自豪。 “猎云”系统声称拥有最先进的云端架构,数据加密技术,以及多重身份认证机制,可以保证数据的绝对安全。公司为了展示技术实力,甚至允许内部员工私下进行有限的云端数据浏览,以“让大家更了解系统的内部结构”。

顾景熙是这些员工中的一员。他被猎云系统的精妙之处所吸引,却也逐渐被它的“开放性”所麻痹。 他开始好奇地访问一些不应该访问的数据区域,只为了满足自己的技术窥探欲。他认为自己拥有足够的专业技能,可以规避风险,并告诉自己:“反正我是知道密码的,随便看看又不会出事。”

然而,一次偶然的机会,他在访问云端数据库时,发现了一份敏感的客户投资报告。这份报告显示,一位重要的VIP客户即将进行巨额抛售,如果消息泄露,将会引发市场动荡。 顾景熙本想将这份报告销毁,但好奇心战胜了理智,他将报告的电子版发送给了一个匿名邮箱,希望能验证自己的猜想。结果,这封邮件被一位金融媒体记者拦截,最终导致市场暴跌,新华证券遭受了巨额损失,顾景熙也因此被以泄露内幕信息罪判处了五年有期徒刑。

“我只是想证明我能发现系统漏洞,我绝对没有恶意。” 顾景熙在法庭上辩解道,但法官却不听劝告,严惩不贷。 顾景理的事迹成为了警示,在整个金融业掀起了轩然大波, “猎云”系统也被彻底封锁,公司声誉跌入谷底。

故事二:数据黑客的陷阱——“信任”的破灭

林婉清,是星河物流公司的首席数据科学家,她被誉为“数据女神”,公司对其高度重视,给予了她极高的权限和自由度。林婉清深知自己拥有公司核心数据的控制权,她开始对公司的管理层产生不满,认为他们对数据的价值理解不足。她开始在暗中与一家竞争对手接触,打算将公司的物流数据出售,以换取高额报酬。

为了避免被发现,林婉清开始利用一些漏洞,修改数据访问日志,隐藏她的活动。她还利用公司的一些老系统,绕过了一些安全检查机制。她还编造了一些虚假的数据报告,以迷惑公司的管理层,掩盖她的真实意图。 她还特意挑选了一位性格温顺,但对技术略有了解的实习生——赵小峰,将他作为自己逃生的帮手。

赵小峰对林婉清十分崇拜,认为她是自己职业生涯的导师,并无条件地听从她的指示。 林婉清还利用赵小峰的职务便利,将公司的核心数据打包压缩后,通过U盘偷偷拷贝走。 然而,就在林婉清准备逃离公司时,赵小峰良心发现,主动向公司举报了林婉清的犯罪行为。林婉清最终落入法网,被判处有期徒刑,并被没收了所有非法所得。

“我只是想证明我的能力,我相信我可以创造更大的价值。” 林婉清在审判时辩解道,但法官却驳回了她的上诉,坚持判决结果。 林婉清的案件成为了警示,在整个物流行业引起了广泛的关注,公司声誉也受到了严重的损害。

(分析与反思)

这两个故事,看似独立,实则殊途同归。它们都指向了一个严峻的现实:信息安全不再仅仅是技术问题,更是关乎企业生存和个人命运的道德与法律问题。

顾景熙的“技术窥探欲”和林婉清的“个人利益至上”,都源于一种错误的认知,一种认为自己可以凌驾于规则之上,可以不承担责任的自负。 他们都忽略了信息安全的基本原则:信息安全不是绝对的安全,而是相对的安全;信息安全不是静态的,而是动态的;信息安全不是个别人的责任,而是整个组织的责任。

“完美”的系统架构,并不能杜绝内鬼的出现;“高度的信任”,也无法代替严格的制度和监管。 技术的进步,固然重要;但道德的约束,更为关键。

在信息化、数字化、智能化、自动化的时代,数据已经成为了企业最重要的资产之一。数据的安全,直接关系到企业的核心竞争力。如果企业不能有效地保护数据的安全,不仅会给企业带来巨大的经济损失,还会严重损害企业的声誉,甚至危及企业的生存。

(倡议:共同筑牢信息安全防线)

各位同仁,信息安全不仅仅是信息技术部门的责任,更是我们每一个人的共同责任。 每一个点击、每一个下载、每一个分享,都可能成为风险的起点。

我们需要认识到信息安全的重要性,深刻理解信息安全风险的严峻性,并自觉遵守信息安全制度,提高信息安全意识和技能。

  1. 持续学习,提升技能: 积极参与公司组织的各种信息安全培训,学习最新的安全知识和技能,了解最新的安全威胁和攻击手段,掌握基本的安全防范技能。
  2. 严格遵守制度: 严格遵守公司的各项信息安全制度,规范自己的行为,不访问不应该访问的数据区域,不下载不应该下载的程序,不分享不应该分享的信息。
  3. 保持警惕,及时报告: 时刻保持警惕,留意周围的可疑行为,一旦发现可疑情况,及时报告给信息安全部门或者上级领导。
  4. 勇于质疑,理性思考: 对任何不合理的请求或行为,勇于质疑,理性思考,不盲目服从,不助纣为虐。
  5. 坚守道德,廉洁自律: 坚守职业道德,廉洁自律,不以权谋私,不以谋私为利,不利用职务之便侵占公司利益。

信息安全是一场没有终点的战争,我们必须时刻保持警惕,不断提高安全意识和技能,共同筑牢信息安全防线,为企业的发展保驾护航。

(昆明亭长朗然科技有限公司的信息安全意识与合规培训产品和服务)

我们深知,信息安全意识的提升是一个长期而艰巨的任务。因此,我们昆明亭长朗然科技有限公司,致力于为企业提供全方位的安全意识与合规培训解决方案。

我们的培训产品包括:

  • 定制化安全意识培训课程: 我们根据企业的具体情况,定制个性化的培训课程,内容涵盖信息安全基础知识、网络安全威胁、数据安全管理、合规要求等方面,形式多样,包括线上课程、线下培训、模拟演练等。
  • 合规培训与风险评估: 针对GDPR、CCPA、国家网安法等合规要求,我们提供专业的合规培训与风险评估服务,帮助企业识别风险、完善制度、提升合规水平。
  • 信息安全模拟演练平台: 我们提供定制化的信息安全模拟演练平台,通过模拟真实的攻击场景,帮助员工提高应对突发安全事件的能力。
  • 专业咨询服务: 我们提供专业的信息安全咨询服务,帮助企业建立和完善信息安全管理体系,提升整体信息安全水平。
  • 员工安全行为监测与干预系统: 实时监测员工安全行为,及时预警和干预潜在的安全风险,有效降低安全事件的发生概率。

我们的服务宗旨是:以人为本,安全至上,以专业的知识和服务,帮助企业和个人提升信息安全意识,防范风险,实现可持续发展。我们相信,通过共同努力,我们可以建立一个更加安全、可信赖的数字化未来。

(结语)

“天行有常,势有所依”, 信息安全同样如此。只有坚持以人为本,以制度为基,以科技为辅,才能真正实现长久的守护。

昆明亭长朗然科技有限公司致力于为客户提供专业的信息安全、保密及合规意识培训服务。我们通过定制化的教育方案和丰富的经验,帮助企业建立强大的安全防护体系,提升员工的安全意识与能力。在日益复杂的信息环境中,我们的服务成为您组织成功的关键保障。欢迎您通过以下方式联系我们。让我们一起为企业创造一个更安全的未来。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898