建立人员安全保密“防火墙”的必要性

网络安全协会计算机专家表示,由于缺乏安全性或意识,黑客正在瞄准规模较小的企业和组织。

安全意识博客最近对500多名首席信息安全官进行的一项调查发现,人才和培训限制对安全组织产生了重大影响。更重要的是,那些采用隔离式安全方法的组织比那些采用强大的企业级战略方法的组织要虚弱很多。典型的“隔离式安全方法”包含但并不限于构建专用的“涉密网络”和“涉密区域”。

首席信息安全官联盟表示明年的优先工作事项,这揭示了当今企业面临的根本挑战,就是需要更多的安全人才,需要更好的员工安全培训。到底发生了什么,为什么要解决这个永远存在的痛点?

“一方面,没有足够的专业安全人员可用,”昆明亭长朗然科技有限公司网络安全与信息保密观察员董志军说:“网络安全行业人才短缺,大型机构需要先进的网络安全技术和管理水平才能完成工作。”

另一方面,黑客正在欺骗公司和个人使用针对假冒合法电子邮件而定制的网络钓鱼电子邮件。根据网安协会专家的说法,点击电子邮件会绕过所有安全系统,允许黑客访问受害者的信息。

董志军解释了可以做些什么来帮助保护信息系统:防火墙和病毒早期的成功检测率是一半多,再加上防火墙、日志审核以及安全通讯,基本上一个安全管理体系就能搭建起来。而现在,必须要能够在实际威胁发生之前了解正在发生的事情,这样才能获得对抗的先机。传统的技术型安全方案不再足够,现在更多需要防范针对终端设备和信息使用人员的攻击。简单举例来讲,很多企业要求员工在晚上下班前关闭所有电脑和电源开关,这样没有开启电源没有联网的计算机就不易受到黑客攻击。

综合来讲,专业安全人员缺乏,普通职员缺乏必要的安全意识,这就需要我们强化对员工和利益相关者进行最佳实践教育和培训,以防止或减少针对内部人员的攻击,例如网络钓鱼等。此外,所统计,去年超过三分之一的网络攻击和机密泄露涉及内部参与者,这个数字很吓人,细思一下也很合乎现实逻辑。由此看来,构建将整个企业和组织范围内的安全保密意识和行动极其必要,这也被行业视为人员防火墙。

“安全并不仅仅存在于专业团队中,它存在于整个组织中,”京东安全总监说:“对于安全意识教育和培训而言,领导力对于如何影响文化中的变化非常重要。最终,要改变一种文化,要求人们做一些不同的事情。如果您能成功解释为什么要求人们改变,您的意见会得到更多的采纳。这归结为与其他员工保持透明沟通,影响和利用自己团队以外的资源。”

据悉,京东很重视员工培训,为建立安全意识文化,公司成立了“网络安全大使”和“安全保密之友”,他们在各自的部门内部注意安全,并协调安全意识沟通。“开发人员不是安全专业人员,但如果您教育他们并给他们工具以确保他们发布的代码是安全的,那么您将获得他们的尊重和认可。但您不能指望他们这样做而不解释原因,因此帮助他们理解为什么要这样对他们很重要。”

小米公司也非常强调沟通的重要性,并积极将安全性嵌入到公司文化DNA之中。该公司人力资源培训专员表示:“在对安全的沟通方面,我们强调诚实和透明,我们以非常实际的方式与我们的员工讨论网络安全与信息保密意味着什么,以便在他们的工作中进行关联。因此,我们拥有一整套方法,可以将安全意识内容嵌入安全文化之中。“

我们会对新入职员工进行普及性的信息安全意识培训,也会对特定职位的人员进行岗位安全知识和操作培训,还有每年都会发起全员的安全意识更新,并且在人员离职时也会强调信息保密沟通,以便他们离开公司时以及离开之后不至于冒险窃密泄密。通过这些手段,来牢筑网络安全与保密的“人类防火墙”。

不否认,电商领域对网络安全和信息保密有很高的重视程度,网站和人员的安全漏洞足以造成服务的中断、交易的中止、客户信息的丢失甚至信誉的丧失。不管企业性质如何,意识培训和安全文化都是一个成功的网络安全战略的关键要素,因为一个组织面临的许多脆弱性都来自内部。强大的安全性不仅仅体现在安全从业人员团队,更多的是从人员的角度看整个企业有多么强大和弹性。意识是网络安全战斗的重要部分,将安全保密最佳实践融入企业的每个角落是成功的安全领导层必须确立的一种心态和前进方向。

如果您对建立安全保密“人员防火墙”这个话题有更多兴趣,请不要客气地联系我们。我们已经开发创作了一系列的活动来帮助组织提高员工的意识。这可以包括内部交流,如海报挂图和传单彩页、卡通动画和真人视频、研习活动和一套全面的电子学习内容。重要的是,内容可以定制以适合您自己的政策、程序和品牌。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

中美之间商业网络窃密问题处理有高招

china-usa-cyber-espionage
APEC会议及全球互联网大会上的一个重要议题是网络安全,可见网络安全真的成为大国外交战略上的一个重要话题。抛开国际政治,专注于经济领域,跨国网络窃密问题更受商界领袖们的关注。美国总统奥巴马在美国商界领袖圆桌会议上表示,中美双方会积极处理商业网络窃密问题。如何处理呢?需要有政治大智慧,需要有专业的技术,也需要有更可靠的招数。

在全球一体化经济大背景下,网络窃密行为无疑是双方的。美国企业界拥有领先的科技创新力,能够借用互联网优势入侵中国的大型企业以及政府决策机构,进而获得竞争上的优势。而崛起之中的中国企业界,对拥有核心科技的饥渴,以及对高端高利润市场的奋扑,无疑也会成为网络窃密的驱动力。

尽管商业网络窃密事件给企业界带来了很大的冲击,但是切断国家网络这种粗暴的做法显然对谁都没有好处,所以商业网络窃密问题会一直持续下去,网络窃密情况已经有数十年了,之前有,现在有,未来肯定还会有。

我们没有办法完全杜绝商业网络窃密事件,但是却能减少这些事件的发生。如何做呢?昆明亭长朗然科技有限公司企业网络安全顾问董志军表示:在利益纷争之下,想从源头上切断企业的窃密念头,似乎难度较大。不过,如果双方强化网络安全领域内的协同执法,建立共通的网络安全法律框架,显然能够会对国与国之间的商业网络窃密以打击。如同“猎狐行动”给外逃贪官们的震慑一样,至少那些跨国企业不敢轻易入侵对方国家的竞争者,不过显然,如果我们过于强调网络主权,实施地方保护一套,那不用使用第三国的网络跳板,直接攻击窃密,谁也没有办法。

这么看来,从国家治理的高度来解决中美之间商业网络窃密问题,最迫切的是建立双方对网络安全的共同认知,进而形成了共通的网络安全法律框架。而互相学习和交流网络安全文化是建立共知的最重要的开端。

除了通过跨国协同机制来压制商业网络窃密的罪恶念头,再有就是增加网络窃密的难度。我国显然虽是网络大国,但并非网络强国。我们的网络安全攻击水平总体上显然落后于美国很多,虽然有少量精英网络安全人才,但整体杀伤力和防御力尚不如美国网军的一个小分队。我国的网络信息安全人才的培育和选拔机制显然不够灵活,关键的原因是大专院校信息安全专业教育课程的实战性不够,而实战性较强的社会培训机构又通常传播网络安全攻防相关的黑客工具,由于过于危害国内互联网,所以得不到认可常常被打压。

如何能够让经过正统教育的网络信息安全专业毕业生能够有较强的动手能力,同时又让社会培训机构出来的学员拥有较强的网络安全守法意识呢?亭长朗然公司董志军说:我们需要在加强网络安全技术培训的同时,强化学生和学员们的信息安全法制及道德建设。从国际范围看,不管是专业的CISSP课程,还是ISO 27001,合规守法及职业道德都有重要的篇幅内容。我们只要强化网络安全人才的守法意识宣传、职业承诺和相关监管,便能将网络安全技术更多地引导来用于正道。

增加商业网络窃密的难度,其实除了专业的网络安全人才之外,最重要的是建立全民皆兵的安全防线。网络窃密早不再是发现未知的或利用未公布的系统安全漏洞,进而获取目标信息系统中的数据,而是利用人性的弱点,发动高级可持续威胁攻击,比如利用自动化的社会工程学攻击工具、窃取员工帐户,长期潜伏慢慢渗透。根据木桶理论或围栏理论,只要有一个环节,一名员工的安全防范意识和相关措施不够,整个企业就可能轻易被大范围高强度地毯式的攻击拿下。

说到底,解决大国利益争端,化解网络安全争执,虽不是我等小民所能有所改变的,但是从身边做起倒是可以的,防范商业网络窃密的关键措施就是强化网络安全文化沟通和建立信息安全意识共知。我们有一部典型的商业网络窃密案例式动画教程,是一名实为商业间谍的“网络侦探”的自白,我们希望它能帮到您,如果您希望预览或者免费获得和使用它,请联系我们。