浅谈信息安全测试系统

如何才能轻松了解到各部门员工对信息安全基础知识的掌握情况呢?如何让考生在参加安全测试的同时还可以对自我的安全理念进行正确矫正呢?如何衡量安全培训项目或安全意识计划的成效呢?这一直是各企事业单位及政府机关的IT和安全主管人员所关注的话题。

市面上有不少标准化的考试系统软件,可以快速实施和部署,功能强大的系统还支持所见即所得试卷的录入和制作。不过标准化的学习系统虽然功能强大,但也有其缺点,即缺乏灵活的定制化功能。

其实,再强大的考试系统也需要人员的参与,在人员方面主要有两块儿:一块儿是参加测试的员工,亦可称为主角或考生;另一块儿是员工信息安全意识教育负责人,通常是安全意识培训讲师或信息安全培训部门经理,亦可称为监考人员。

先说考生与考试系统的互动,多数员工并非IT方面的高手,对他们来讲,考试系统的访问和操作要尽可能简单和快捷,访问一个页面链接即可立即进行参加答题、答题完成页面自动退出是最理想的方式。在参加真正测试之前,让考生在学习系统内进行登记注册、路径找寻等等事项显然是在花费时间、增加考生的压力而且容易造成各类人为方面的出错。

再说信息安全培训经理这方面,要考虑的东西就很多了。昆明亭长朗然科技有限公司的安全意识培训顾问James Dong说:与传统的课堂式考试相比,电子方式的考试无疑更具有时间和空间的优势,更适合针对大中型组织机构的全体员工进行的信息安全意识测试。关于要注意的事项,James提出如下几点参考意见:

首先要考虑考试环境及与考生的互动流程,多数大中型组织机构分布式的,难以聚集成课堂方式,而且员工们都还有大量日常工作要进行,这就需要灵活的时间安排。在线考试系统无疑可以满足“随时随地”的需求,不过在时间上仍然要设置一个截止日期,不可能无限期放任。互动流程则需考虑推动考试的步骤和秩序,可以先选择少量部门和人员进行小规模测试,然后按部门分批进行或大规模同时进行。信息安全考试的考生互动流程还不能缺少的是发动渠道,通常多数组织机构都有员工目录,通过内部沟通工具如群发邮件或公告板等可以快速告知;也有通过按业务单元由上至下推动的;也有通过部门经理主管和安全培训和考试协调员按部门分批推动的。

其次要确保参加考试员工的身份鉴别,不过通常企业层面的信息安全意识考试较少会出现代考替考现象,不过进行信息安全意识教育的相关系统没有强大的身份鉴别功能显然不符合信息安全管理的精神。身份识别多数可以集成Active Directory或LDAP目录服务,但是有的组织部分员工可能没有AD帐户,这可能需要弹性灵活的身份鉴别机制。

再次要保证知识点的覆盖和考题的不同,在同一个知识域内设置多个不同的考题,让系统随机选择少许数量并分配给考生是不错的方法。比如可以为密码安全、电脑锁屏、社交诈骗防范、物理安全、社交网络使用、邮件安全、桌面安全、版权保护、移动办公等主题各设置5至10道题目形成信息安全意识测试试题库,为每考生随机选择其中1至2道。

最后则是对考试成绩的显示、统计和报告,或衡量信息安全知识考试结果“是否通过”。考试成绩以及“是否通过”的结果显示可以让完成安全意识测试的考生立即获得反馈,甚至可以回顾错误的答题的解析,在这个过程中也强化了安全意识教育的目的。当然,这些灵活的需求都需要视具体的环境而定,有的组织可能并不在意立即给员工反馈。统计报告的用途多是来衡量“一次性通过率”,有的组织可能乐意给一次性通过安全意识测试的员工同时生成信息安全课程或考试通过的相关证书,而让没能一次顺利通过测试的员工再次参加信息安全意识培训学习和重新测试,直至最终通过安全意识测验。此外,也有相当多的信息安全培训负责人可能喜欢统计不同部门的总体结果,弄个各部门员工信息安全意识测评通过率排行榜,部门领导们往往会碍于面子和压力,进而会在其所管辖的部门花力气推动和强化关于信息安全意识的学习。总体说来,由于组织的企业文化和管理架构的不同,员工安全意识培训负责人对安全意识考试成绩显示、统计和报告的需求也是各不相同,这就需要定制化的服务。现成的标准化考试系统报告功能往往相对强大,但是固定化的强大统计报表功能却有大多数并不必要,而且笨重的身躯难掩不够灵活的缺点。

说到底,安全意识测试对系统功能的要求并不多,但是通用的考试系统却并不一定适用。亭长朗然公司不仅提供高质量的安全意识试题,更能提供量身定制的信息安全意识考试系统咨询顾问和实施部署服务,让各类型组织的员工安全培训负责人可以轻松地掌握整个组织范围的信息安全意识水平,并且能够借用信息安全意识测试来推动整体安全意识水平的不断改进和提升,进而达到保障业务信息安全的管理目标。

成功的信息安全意识教育计划是给用户亲身体验机会

security-chain-broken

大人警示小孩要注意什么,小孩儿都会理解并照做吗?答案并非如此,实际上,在公司信息安全管理领域,也是这样。

公司信息安全管理团队通常会强化对员工们进行必要的信息安全意识教育,但是很多安全管理者发现效果可能并不如意。即便是那些在信息安全意识推广活动中投入了漂亮的安全信息提示贴、精美的员工安全手册或有趣的FLASH故事动画,问题何在呢?昆明亭长朗然科技有限公司安全意识顾问董志军最近和一位信息安全总临聊起这个话题,如下是他的一些简单自述。

这家公司每年都有数万的信息安全意识培训预算,安全意识活动也搞得有声有色,但是员工们的安全行为却仍然不见大的改观。在接到咨询电话后,我和这位信息安全总监约好一早九点见面。

我向其询问了一些简单的信息安全管理方面的实践,了解到虽然公司的新入职员工需要参加全面的信息安全意识教育课程学习,全体员工也会被要求每年度定期刷新信息安全知识,但是对未遵守信息安全相关要求的行为,却没有任何的惩罚。我又问起了学员的信息安全课程参训率和在线考试的通过情况,几乎是100%的好。

我同他开玩笑说:“您觉得这是信息安全政策沟通不到位,还是执行力不到位呢?”对方苦笑回答:“开放包容充满人性化是我们公司的文化,我们很少会对员工进行惩罚,即使有安全事故,也会更多的反思公司方面的问题。”

这真是家伟大的科技公司,和日本台湾的苛刻管理模式大不相同,公司的业绩却是响当当,员工工作起来却很随意,上午10点半了,还可以看到衣衫不整的员工姗姗来迟。科技界竞争激烈,我有些怀疑这么懒散的员工们是否拥有必须具备的信息安全保密基础理念,以防范商业间谍和竞争者们来窃密。

我把我的怀疑讲了出来,信息安全总监微笑着说:你那边不是提供信息安全意识方面的渗透测试服务嘛!你来扮演个社工黑客,玩一玩诈骗电话和钓鱼邮件吧!我说:这正是我来拜访的目的啊!

于是我们就开始了一项信息安全意识模拟入侵项目,在简单而正式地签定保密协议以及授权书之后,我获得了包括姓名、工号、部门、电话号码和邮箱的员工通讯录、标准软件清单、信息系统名称以及登录界面截图。在简单熟悉了公司的IT环境之后,我便开始了入侵准备工作,我的设备包括一个内部分机号码,一部手机卡,一台位于互联网上的电脑和一台连接到公司内部的个人电脑,我的目标随机抽取五名员工,通过黑客手段,来获得他们的系统帐户和密码。

要说我已经连接到了公司内部网络,要发起一些基于网络层面的入侵嗅探简直太轻易。但是这种方法被信息安全总监禁止了,我也不想让人们以为我只是个技术极客,我需要向人们展示更大的可能性。五名员工已经随机选好,我打算假冒成IT/FI/HR等服务部门通过内线来套取他们的帐户和密码;假冒成客户、社保局、公安局和电信运营商工作人员通过外部手机来套取公司信息,我还伪造了一封钓鱼邮件,并且仿制了两个钓鱼网站。

现在让我说一说我的成绩吧!通过内线,我成功地拿下了两名员工;而通过外线,我只获得了一点皮毛信息;不过配合使用钓鱼邮件以及网站,我获得了所有人的帐户和密码!

当我把成绩展示给信息安全总监的时候,他瞪大了眼睛,忽然赞叹地说:我们太需要你的帮忙了!我们需要更多的员工来亲身体验!接着他把那五名员工叫了过去,向他们说明了这次钓鱼活动,展示了获取的帐户和密码,提醒他们注意信息安全,并要求他们回去立即改掉密码。

我插了一句说:应该鼓励这些同事将亲身的安全经历分享出来。信息安全总监说:这主意太好!亲身体验并且分享经验是最好的教材!

大人告诉小孩该怎么做,小孩儿没有照做,却在亲身经历了错误之后,改过了。通过信息安全意识模拟攻击测试,我们可以让这种错误的代价降至最低。欢迎访问我们的安全意识渗透测试服务介绍页面了解更多内容。