有特色(奇葩)的信息安全管理流程

最近昆明亭长朗然科技有限公司网络安全专员董志军翻出一个企业的信息安全管理流程,好多年前的事情了,依稀记得当年就觉得那个流程有些难以理解。最近再看一遍,反倒觉得有些释然了,所谓“存在即是真理”,任何流程的存在都有其目标,该流程在外行看来,没有明确的目标,满是折腾。不过,如果让内行,也就是网络安全专业人员看来,应该明白是在干什么,甚至还会有些佩服这种管理制度体系。这就是我们今天要分享的,一个有中国特色的企业信息安全管理流程——信息安全巡查机制。

打印及时领取

查看打印机是否有打印资料未及时领取,发现有资料未及时领取扣2分,再对照绝密、机密信息表,发现为绝密信息扣10分,有机密信息扣5分。

桌面净空

离开办公室是否锁屏,桌面上是否有绝密、机密资料随意摆放。发现一个未锁屏扣1分,有绝密、机密资料随意摆放桌面扣1分。

笔记本电脑及台式机硬盘封条完整性检查

信息安全科将各部门粘贴硬盘封条的名单提供给巡查员,巡查员根据名单抽样检查(抽样比例不少于20%)被巡查部门电脑硬盘封条完整性,发现一个封条被私自撕毁的扣5分。

密码管理

1、检查密码是否写在纸上贴显眼的地方。发现一个扣2分,该项累加扣分。
2、密码规则询问,抽样询问(不低于10%)本部门人员对密码管理要求:抽样人员全部答对不扣分,答对率每降低10%扣1分,最高扣5分。

安全软件安装检查

抽样检查(抽查比例不少于10%)电脑是否有安装信息安全软件,未安装的记录信息提供给信息安全科核实情况,核实为私自卸载的扣10分,该项由信息安全科扣分。

信息安全组织基本知识

抽样询问(不低于10%)信息安全委员会组织架构内容:如谁担任信息安全委员会主任?谁担任本中心信息安全委员?抽样人员答对率高于80%不扣分,低于80%扣2分,低于50%扣5分。

信息安全事件通报渠道了解

抽样询问(不低于10%)部门员工是否了解信息安全事件通报渠道。抽样人员全部答对不扣分,答对率每降低10%扣1分,最高扣5分。

文库资料抽查

在百度、豆丁等文库中根据公司及被巡查部门相应的关键字进行搜索,查找是否有公司相关文档。查找后给信息安全科调查。

微博信息抽查

在新浪、网易、搜狐等各大微博根据公司及被巡查部门相应的关键字进行搜索,查找是否有公司敏感信息披露,找到疑似的发给信息安全科处理。

部门巡查配合

部门人员配合巡查员工作的态度及积极性,该项由巡查员扣分,最高扣10分。

奇葩说分析

看到这么多扣分,估计很多人都会有一些天然的抵触情绪,没错,这就是我当年的强烈的感觉,如今呢,还是如此。当然,细细琢磨,其非常有中国特色,那就是默认的观念,认为员工们漠视规则,在安全工作方面很不自觉。可想而知,这样的信息安全管理团队,与员工们的关系有多么的隔阂与僵硬。不过话说回来,在制造业,成本竞争激烈,人工低的话,工人心情也好不了,不可能在信息安全方面有较高的觉悟和素养,所以敌对、漠视、逃避、刻意违规等都是难以避免的。在这种气氛下,也只有用惩戒的重压,似乎才能让信息安全工作发生效力。管理不得罪人,哪行。

废话少说,上图。希望这个有中国制造业特色的安全检查流程,能够给信息安全管理人员以启示。当然,我们更希望的是组织机构内部能对员工们多一些人文关怀,在安全管理制度方面能更加人性化,多些奖励,多些尊重,多些阳光。真希望“巡查”、“审计”、“核查”这些带有攻击性的压迫性的管制性的用语不要出自企业内部的信息安全部门。

昆明亭长朗然科技有限公司专注于为各类型机构提供信息安全、保密与合规方面的员工宣教培训服务,包括各种课程素材资源,以及在线平台。我们的作品包括标准的视频、图片和课件,以及定制化的服务。在线平台可以用于快速发起学习。不管您同意不同意我们的观点和看法,我们都乐于为您提供帮助,如果您需要我们的作品,或者希望为您工作,请不要客气地联系我们。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

网络安全更应关注管理问题和人为问题

传统上,不法分子使用电信诈骗手法针对网银用户,比如架设一个用于套取密码的假冒网站,通过海量发送“您的账户需要验证”、“点击链接领取退款”等诈骗短信,来吸引缺乏警惕或粗心大意的用户上钩。经过银行、公安、电信等多部门的联合反制,包括意识宣教、诈骗监测以及转账限制等手段,近年来这种骗术明显少了许多。不过,从人民银行一名工作人员那里得知,最近几大国有银行遭遇了新型的网络攻击,具体情况是很多用户的身份信息,包括姓名、支付卡号码、身份证号码、手机号码、密码等等被不法分子通过含有恶意软件的假冒网银APP给窃取了。

几大国有银行立即采取排查行动,及时通报受影响的用户,提醒其立即修改密码。令人意外的是,“官方”银行发出的不少提醒消息,包括电话和短信,大部分都被智能手机判定为“疑似”诈骗。即使接到电话或短信,很多用户也把其当是诈骗,并采取了立即删除短信、挂掉电话或与对方进行调侃等行为。从这类事件我们可以看出,网络安全问题的核心已经从技术问题转移到人为问题,而人为因素是非常复杂的,解决起来要比预想中的困难很多。

回顾很多网络安全入侵,包括近年来让各类机构损失惨重的勒索软件泛滥之源,都是包括操作系统在内的应用程序没有得到及时的漏洞修补,进而被勒索软件利用。然而,继续深挖会发现,应用程序的安全补丁没有得到及时安装,是因为对该工作负责的人员比如用户和IT管理员出现了疏忽大意。而且,很多机构的数据被加密之后损失惨重,因为他们没有行之有效的数据备份程序,更别谈什么高可靠性、灾备、业务持续性和灾难恢复计划了。对此,昆明亭长朗然科技有限公司网络安全管理专员董志军说:网络安全需要稳健可靠的技术控制措施,更需要行之有效的管理控制措施。有很多技术方案听起来很简单,做起来也不难,然而大规模的数据泄露和损毁事件却经常发生,网络安全问题仍然不时登上头条新闻。问题何在呢?再多的技术解决方案,没有人员参与工作流程的执行,就没有真正的实效。因此,网络安全本质上更多的是管理问题和人为问题,必须从管理的角度,从人员的角度加以考量和解决。

比如,针对桌面型终端设备,有些机构使用自动化的安全补丁修复方法,以便以最快速度安装安全修复程序,但最终用户却并不及时点击安装,更不愿在工作时间重启电脑,这就造成了一定的时间差,给“零日漏洞”攻击带来机会。问题不在技术,而在于管理流程的缺失和人员安全意识的不足。而针对重要的信息系统如服务器等,补丁修复的流程可能包含测试、备份、回滚预案、审批等等控制点,管理员和审批领导如果正好不在岗,或者稍一懈怠,等流程还没跑完,已经给“零日漏洞”攻击带来了巨大的时间窗口机会。重要的信息系统稳定可靠是第一位的,打补丁是重要的变更,相关的控制要严格,这是可以理解和认可的。但是安全漏洞也得及时修复,不然系统的稳定可靠也会受到影响,这两个问题看似矛盾,实则非常统一。解决之道是根据漏洞的紧要级别,设置修复相关工作流程的时间限制。这个道理很简单,操作起来却还需要很多系统管理员、IT经理和最终用户们强化规范操作意识、安全意识,并谨慎对待。

让我们再想一想,从技术操作来讲,安装应用程序的补丁,就运行一两个命令,或者点击“安装”、“重启”按钮而已,而在管理和人为因素方面来说,问题就很复杂。补丁有没有能够及时安装,问题不在技术,而在管理和人员。让我们跳出“应用程序”补丁的范围,从更广阔的“安全漏洞”来看,各行各业各种机构都会有各种安全漏洞,如果被恶意(有意)利用,甚至只是无意的失误,都可能带来严重的灾难,造成巨大的损失。在安全漏洞面前,人们可能无知或忽视,可能选择视而不见或者躲避绕行。而为安全负责的管理者必须做出行动,制定强有力的管理措施,推进安全漏洞的发现、报告和修复行动,提升人们的安全意识和觉悟,让人们重视并谨慎对待安全,进而改变人们的安全行为。

建立可靠的网络安全管理流程,让安全制度和规范成为可重复性的运维工作,是网络安全工作的关键。如果一家机构经常测试和上线各式各样的网络安全系统或设备,那无疑是管理失败的或者借机搞钱腐败的。在网络安全的人为因素方面,要让人们拥有基本的网络安全知识不难,要纠正人们的粗心大意,要让人们拥有足够的安全敏感度,可不容易。需要在安全意识方面不断加强,培养用户良好的网络安全行为习惯。对此,董志军补充说:我们应该有足够的信心,人们既然能够养成外出关家门的习惯,也必然可以养成离开座位清桌锁屏的习惯,以及看到安全补丁修复的提示,就立即安装并配合重启的习惯。

总之,在网络安全领域,技术措施必不可少。同时,技术的创新解决不了复杂的管理问题和人为问题。在当下,组织机构应该从管理和人员因素入手,一步步解决网络安全问题。昆明亭长朗然科技有限公司专注于帮助各类型的客户加强对职工们的安全意识提升工作,我们理解客户面对的网络安全管理问题和人为问题,通过我们的作品和服务,帮助客户提升网络安全价值。欢迎有兴趣的客户及合作伙伴联系我们,预览作品和进行商务采购。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898