人人需知的信息安全常识

在如今时时刻刻都在线的时代,组织中的每个人都是网络不法分子的攻击或利用目标,都面临着网络入侵或渗透的风险,从入门级员工一直到首席执行官,莫不如此。对此,昆明亭长朗然科技有限公司网络安全研究员董志军说:多年的网络安全历史及最近的网络安全事件表明,遭受网络攻击只是时间早晚问题。当然,组织机构若能够及早发现威胁并采取行动,无疑可以明显地减轻其可能带来的不良影响。通过实施一些网络安全宣传培训和意识教育活动,可以提高员工们的安全防范意识并建立强大的人员防线——人员防火墙。

网络安全泰斗表示:在诸如社交工程学大师等网络安全威胁面前,每位工作人员都很脆弱,组织必须提前教育他们,以使其拥有识别、应对和报告各类网络安全威胁的能力。安全意识培训应从新入职员工开始,并且每年对所有员工进行年度安全意识刷新。通过这些教育培训活动,保持在线安全会变得并不那么困难,用户可以采用一些主动措施来确保不会成为受害者。运气好的话,可以避免大多数可能出现的问题,并且在问题造成实际性的损害之前,加以有效的应对和处理。

当然,从管理角度来讲,培训旨在提升认知,加强沟通,需要有一个大的方向,即方针政策。因此,需要制定安全政策并定期更新,一个关键的原则是制定指导工作的信息安全政策。在组织内部,政策是高级法令,并不意味着依赖于纯技术型解决方案,政策对于获得认可并使员工保持安全轨道至关重要。许多中小企业甚至根本没有安全政策和计划,所以员工们根本不理解信息安全,更不会重视安全,也不会将安全认为是自己的分内工作职责。因此,为了有效地建立制度和维护流程,组织应该有少量的治理和政策。如果没有政策,当安全事件真实发生时,就需要到处去寻找可以指导解决问题的方针。

我们总是听说有在线服务泄露了用户名和密码,或者网站和设备遭到黑客攻击。作为用户,我们往往认为我们只能眼睁睁地等待成为目标。不过话说回来,一点点预防对保护我们的设备和个人数据大有帮助。那么,互联网用户首先应该主动保护自己的安全。未雨绸缪很重要,在遇到问题之前就应该考虑安全问题,而不仅仅是在危机袭来之后。实施如下几个步骤可以帮助我们防范许多安全问题,从而带来更安全的网络生活。

  1. 在被感染之前使用防病毒或恶意代码防范软件。人们倾向于在遇到问题后安装防病毒软件,这种亡羊补牢的做法没什么问题,但是更应该成为一种预防措施。在安装了防病毒软件之后,许多问题都可以避免,例如病毒、恶意软件、广告软件、勒索软件,甚至网络钓鱼尝试。但是也不要过于自信,那就是认为安装了防病毒软件之后就可高枕无忧,那是自大!因为很多攻击都可以避过防病毒软件。
    通常来讲,无需担心应该使用哪种类型的防病毒软件,Windows自带的安全中心等解决方案涵盖了所有安全需求,包括恶意软件保护Defender、在线隐私安全、勒索软件保护、防火墙和家长控制等等。如果有预算,其他网络安全厂商的专业安全套件也可以。
  2. 使所有的计算设备保持最新状态。由于各种原因,有些人会推迟更新手机或电脑,这无疑是一种不可取的行为,因为大部分技术类的攻击都是利用了未及时获得安全修复的系统或应用。不管什么设备、系统或应用程序,其中许多都会有定期的更新程序,其中包含针对漏洞和攻击的补丁,及时安装它们会使设备和系统难以受到攻击。同样的道理,不要以为安装了安全修复就可以成事大吉,因为新的漏洞总会不断被发现,零日漏洞的概念就是漏洞被发现的当天就被公开使用,在网络连通性和社交媒体如此发达的今天,被网络犯罪分子利用零日漏洞、未公开或未知的漏洞进行攻击,也是有可能的。因此,保持更新状态很重要,此外我们也需要更多的安全管控措施,保持头脑清醒很重要。
  3. 为每项服务或系统使用复杂、唯一的密码。密码是通往信息数据的守门员,因此使用强密码是有道理的。年复一年,用户库存中仍然存在最常见的弱密码,包括123456、qwerty甚至password一词。这种弱密码通常是黑客或密码破解程序必试的,使用它们无疑是在将钥匙双手奉上。一个可靠的密码应该至少有八个字符长,并且包括大写字母、数字和符号。密码越复杂,暴力或字典攻击就越不可能猜到。为每项服务使用不同的密码是一个好主意。当然啦,要记住他们不大容易,如果要跟踪和记住的账号和密码太多,可以请尝试使用密码管理器。
  4. 尽量避开公共Wi-Fi网络。免费互联网的诱惑,尤其是在数据计划受限的手机上,有时让人难以抗拒。但是在连接到如商场、交通甚至城市公共Wi-Fi之后,往往会带来风险。大多数情况下,这些类型的网络安全性很差,可以被不法分子用来监视使用Wi-Fi的网络流量。蹭网也不是个好主意,网络不法分子可以分享Wi-Fi账户和密码,进而实施网络监听、身份盗窃、广告植入和间谍破坏等不法活动。关于公共无线网络安全性与隐私性差的问题,公众应该不陌生,但是如果手机数据计划紧迫或过于昂贵,在迫不得已,只能使用公共Wi-Fi时,应尽可能使用值得依赖的VPN服务。有了VPN对通讯进行加密,用户的数据就会以一种使间谍活动变得非常困难的方式进行匿名化的保护。
  5. 关闭移动设备的一些不必要的接口,除了连接无线耳机和支付,移动设备上的蓝牙和NFC似乎没有太多的使用场景,但是人们通常会开着它们。为了安全起见,请将其关闭。蓝牙协议已发现并修复了多个漏洞,但是其他未被发现的漏洞仍然可能被网络不法分子利用。NFC虽然有很多用途,包括用手机或智能手表代替信用卡进行快捷支付。虽然NFC协议和应用程序相当安全,但是也并非牢靠到无懈可击,在某些条件下,不法分子可以滥用NFC,进而拦截和盗窃财务信息。手机上的定位服务在导航时非常重要,但是有很多应用程序也可以访问同样的位置数据。根据权威部门的评测,不断有发现第三方应用程序会泄露用户的地理位置数据。如果不使用定位服务,请将其关闭,在使用的时候将其打开,非常简单的操作可以获得强大的隐私性。
  6. 留意在网上特别是社交媒体上分享的内容。社交网络得以生存是因为人们喜欢分享各种信息,比如照片、文章或短视频。但是这些数据可能以一种并不总是显而易见的方式具有价值。例如,一些用户会分享他们正在海外度假或入住他们最喜欢的美食酒店。那些数据表示他们的房子或公寓目前是空着的,不法分子正好可以破门而入。此外,由于社交媒体的流动性很快,虚假新闻的传播速度也要比真实新闻快。人们很容易意外地分享错误的信息。这可能会导致重大数据泄露,给相关机构或人员带来严重影响,或者触犯网络安全相关法律,给网络社会和自己都惹来麻烦。
  7. 社交媒体很发达,在商业领域,电子邮件仍然是电子沟通的常见方式。人们无法控制发送到他们电子邮箱的内容,但是应该控制收到的内容。通常来讲,避免打开来自未知发件人的、不请自来的、奇奇怪怪的电子邮件,直接删除它们。但是有时候这并不总是可行的,对于陌生来源的邮件,人们总是有些好奇心,这可能正是网络不法分子喜欢的“人性的弱点”,网络钓鱼诈骗分子通过钓鱼邮件来窃取人们的身份、数据和金钱。
  8. 网络钓鱼威胁无处不在,有人的地方就有江湖,有沟通的渠道就有网络钓鱼。作为社会人,我们最好牢记国家机关、在线电商和金融服务从来不会在电话或即时消息等沟通渠道中,要求我们提供用户名、密码或财务信息。只要记住这一点,就应该能够避免大多数网络钓鱼尝试。此外,我们也要学会对00开头的海外来源、火星文错别字、具有威胁、奉承或特殊紧迫感的信息保持警惕,因为这些往往都利用人性弱点的钓鱼信息特征。防范网络钓鱼,睁大眼睛,不轻信很重要,当然还有很重要的一招,就是永远不要轻信对方所声称的身份,想方设法确认/核实对方身份的真实性,往往能够让不法分子立即原形毕露。

总之,每个人都可以获得上述所有这些技巧,而不仅仅是少数了解操作系统工作原理的高级管理员或IT人员。请记住,所有数据都具有价值,如果用户的数据真的一文不值,就不会有那么多黑客试图窃取它们。对于组织机构来讲,打击网络犯罪的斗争早已开始并长期持续!在此,我们强烈呼吁,不要再浪费时间了,立即行动起来,将员工们的头脑武装起来,在网络战争中,组织一道安全防御的“人力防火墙”,让网络不法分子难以找到可攻下的薄弱之处,进而乖乖而退或不战自降。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

信息安全知识重要还是技能重要?

在过去十年里,网络信息安全产业得到蓬勃发展,我们看到整个行业已经成熟到被广泛接受的地步,即将安全的心态和习惯融入组织的文化中。尽管如此,我们仍然看到太多的安全领导者陷入“该做什么”以及“怎么做”的陷阱。

为了探寻信息安全管理之道,笔者从乙方换到乙方,再从乙方换到甲方,又从甲方换到甲方,旋而再从甲方换到乙方,经过一番职场“挪腾”,终于自己创立了专注于安全意识和行为改变的小事业,我可以向您保证这个行业没有什么深不可测的传奇人物,更没有振聋发聩的传奇理论,以及无比厉害的科技装备。

都是在国家登记注册的企业,都是在党领导和管治下的机构,都是爹妈生下的血肉之身,企业与企业之间,人与人之间的差别其实并不大。人们对安全“该做什么”以及“怎么做”的误解和纷争,终究逃不出所在的人脉圈子,以及所在企业和职位带来的认知限制,当然出于对自身利益的诠释与包装,不少“明白人”会故意对安全“真理”进行一定的扭曲。

对大多数甲方客户来讲,当面临乙方设备厂商与咨询服务商时,最典型的一项争议便是采购安全设备重要,还是加强安全制度管理重要?当甲方客户说要坚持对员工进行安全意识培训时,乙方不满意了,他们极力掩饰着内心的着急,表面上表示出不屑:安全的最高境界是透明的好像不存在,因此还是不要打扰用户的好,再说培训用户那事儿没点技术含量,没什么价值。这时候,甲方客户可不傻,当然尽管其对于安全培训的“技术含量”与“价值”的看法有差异,往往也不会失去基本的社交礼仪,毫不留情地给乙方厂商怼回去,而是委婉地推脱或谢绝。乙方厂商一看对方不感冒,暗暗后悔自己失言或太冒进了,不过,事已至此,也只能礼貌地遗憾地离场。

千万不要以为事情就此告一段落了,乙方厂商人员不愿甲方客户的这个培训需求“肥水流了外人田”,便找来自己以往的兄弟乙方培训服务人员,与之私下分享了这道好菜。乙方安全培训服务人员登门拜访甲方客户了,在简单寒暄之后,切入正题:是要培训安全知识,还是安全技能?一句话点中了甲方客户的要害,争议又出现了,不过这次争议不是在乙方,而在甲方内部。甲方内部的技术派,当然觉得安全技术至上,除了强化安全从业人员的技能之外,还应强化最终用户的技术能力,以应对各种如病毒和黑客等安全威胁;而甲方的管理派,往往并不是技术极客,觉得技术很重要,但更重要的是要让最终用户理解安全基本知识,进而遵守安全管理要求。

先让我们放下争执,安全意识培训是所有安全计划的必要组成部分,通常也是安全计划中最薄弱的环节之一,因为安全教育往往很难坚持进行,造成这种情况的原因有很多。比如培训计划不够充分,没有明确定义教育框架,或者开展的次数太少。无论原因是什么,安全意识失败都会导致网络信息安全漏洞。难怪首席安全官(CSO)、信息安全官(CISO)和其他IT决策者们都在积极寻找更有效的安全意识计划。

问题的根源可能不在于安全意识培训计划,而是您的员工不了解他们正在使用的业务信息所面临的安全威胁。我们都希望能够使用技术来解决安全问题,来节省人力和提升效率。对某些人如网络黑客来说,这简直是真理。他们喜欢深入研究各种软件和硬件,以使他们更容易识别出什么时候工作不正常或漏洞可能存在于何地。这种技术人员经常在IT或安全部门中不难找到。

但对于大多数企业来说,我们与科技的互动并不会超出实际的用途。没有那么多无聊的人去折腾各类信息系统,去发掘漏洞赢得赏金。不过,也有一些令人惊讶的可笑的事情,就是有不少用户竟然认为云计算“实际上是在天空中”、大数据就是一个接近无穷大的的数字、黑客和网络犯罪只存在于影视作品之中。这让网络安全与信息化领导们颇为惊讶。随着数字化转型的出现,强调业务技术意识以及安全意识培训变得更加重要和紧迫。随着物联网(IoT)在工作场所无处不在,人们必须了解它们如何既能使组织受益又增加网络和数据的风险。

显然,在科技如物联网技术进步的过程中,用户对物联网的认识严重不足,它是什么,它在网络上的位置,以及它所连接的一切。如果您的员工无法识别该基本信息,您必然会遭到基于物联网的网络攻击。我们要做的,不仅仅是上系统,上安全,更需要对用户进行科技与安全的知识科普。

安全意识培训应该教会员工如何识别潜在的威胁,防止或减轻网络事件。但是,如果您不了解您所保护的技术,则很难将安全培训付诸行动。这导致网络安全最佳实践漏洞,可能导致数据泄露、勒索软件攻击甚至共享特权访问信息。换句话说,如果您的用户不知道他们正在保护什么,那么保持安全是非常困难的。

当然了解技术的好处也会超越了安全性。当员工熟悉他们使用的技术时,他们的生产力和效率会提高。他们的求助呼声会下降,因为他们更擅长使用软件和硬件,不仅可以解决问题,还可以找出新的捷径。

在安全意识培训中添加业务技术意识培训将一举多得。员工将了解他们每天使用的业务工具以及网络安全行为如何影响技术的生产。当他们看到技术和安全性如何协同工作时,组织内的整体网络安全工作将得到改进,安全培训也将更具洞察力。

只要有人的地方就有江湖,就有网络安全威胁,不要以为使用人工智能安全技术就可以解决人类江湖中的纷争,原因在于“道高一尺、魔高一丈”,安全威胁永远在进化,人工智能永远处于研究学习的落后状态。

再有,所有新科技最终是要人来使用的,因此,不应该在安全意识培训活动中忽视掉技术部分,也不能假设所有员工都拥有相同的知识库。首席安全官、信息安全官和IT决策者应为组织内的每位员工制定基准,以了解他们知道什么以及他们需要知道什么。这可以直接纳入每个安全培训模块,问题与特定技术直接相关,也可以是根据他们的工作岗位、他们使用的科技工具以及每个员工如何使用它们的方式为特定部门设计简单调查问卷。

传统上安全教育一方面侧重于针对专业人员的技能教育,以及针对非专业人员的意识培训和行为指导。但是,如果用户不能真正了解应用程序或硬件的运行方式,就无法知道他们的行为是否会增加风险。让用户知晓关于云计算、大数据是什么以及它的安全性如何受到影响的基本知识,以及物联网有哪些设备以及物联网成为安全问题的原因,可以大大提高员工的安全意识和技术娴熟度。

所以,信息安全知识重要还是技能重要呢?它们是不能分家的,安全专业技术人员需要了解必要的管理和意识知识,而用户除了基本的安全常识之外,也还要掌握基础的技术能力,不仅是为了防止闹笑话,更是为了提升工作绩效与安全防范能力。

昆明亭长朗然科技有限公司帮助各类型的客户提升员工的安全素养,包括对员工进行安全知识和技能培训,我们的方法是创作量身定制的培训内容,以及使用领先的在线培训系统。欢迎有兴趣了解更多详情的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898