网络安全管理问题

让同事们担负起网络安全职责

admin

网络安全无疑是一项跨部门的工作,这是所有行业的信息安全总监、经理和主管们不得不面对的挑战。无论是大中型公司或小微型企业,无论是中央机关还是地方单位,网络安全现在都是无法忽视的重要事务。对此,昆明亭长朗然科技有限公司网络安全分析员董志军表示:如果关注网络安全新闻,您就会知道,每年都会发生大量安全事件,苹果、索尼、京东、谷歌、当当公司这样的大公司都难逃被入侵的厄运,何况很多不会众人所熟悉的中小企业呢!可以说,所有现代的、联网的组织机构都是网络安全的潜在受害者,黑客、病毒等网络安全威胁会通过所有的通讯渠道进行渗透入侵,因此,谁都不能置身事外。

网络安全既是技术问题,也是人为问题,更是管理问题,因此搞好网络安全,需要流程、技术和人员三者有效结合的管理解决方案。组织机构必须要求管理者、员工、供应商、商业伙伴等等共同承担确保网络安全的责任。要让人们担负起责任,需要与其沟通,让其理解组织机构对其的网络安全期望,通常会制定出一些安全行为规范,并对目标受众进行安全知识的宣导,然后进行考核测试并令其签署网络安全责任书。

让我们简要分析过去的这种做法,组织机构可能仅出于法规遵从性(合规)或行为改变而实施安全意识宣导活动,这往往是被动的,或者局限于某项安全问题的,因此,不够全面和深入。现在,人们正在寻找超越安全知识和行为的方法,以使安全成为文化的一部分。

随着“国家网络安全宣传周”活动的大面积铺开,承办机构和中央机关往往会策划一些活动,并要求下属或关联机构参加,以活跃良好的宣传活动气氛。网络安全负责人应借机强化人员的网络安全职责,这正是进行网络安全政策和文化变革的非常完美时机。接下来,我们将探讨一些网络安全意识计划推广工作的方法和小技巧,以便与相关负责人、策划及执行人员分享。

发现和找出重要的信息资产

“网络安全等级保护”制度已经在很多关键性行业落地,这种思想和方法可以用于等保之外,在制定信息安全框架策略之前,应该确定组织中最有价值的信息资产。除非不这样做,所制定的安全策略最终可能迷失方向,保护了不太重要的系统或数据。让关联部门或业务单元列出重要的信息资产,以及所面临的安全风险,有助于让相关人员初步建立网络安全责任意识。

建立及更新风险应对策略

在确定好需要重点保护的信息资产之后,下一步就是实施网络安全保护。通常应该建立安全规范、策略和流程,其主要目标是保护信息系统和信息数据,以应对各类安全威胁。在制定相关风险应对策略的过程中,各部门或业务单元的领导干部以及安全协调员应该会再次强化网络安全责任意识,特别是相关的安全工作流程,需要他们日常或定期参与。此外,网络安全负责人应发动针对安全策略、流程文件的定期测评和审查,以确保有效性和保持更新,在这个过程中也是对人员网络安全责任的重复强调。

建立安全事件检测及响应能力

网络事件可能发生在组织中任何易受攻击的部分。因此,大多数员工应具有及时发现违规或可疑活动的能力。否则,隐藏于众多计算终端及员工们身边的安全隐患就无法被识别出来,分担网络安全责任就是一句空话了。列出一些网络安全隐患和安全事件的特征,以便员工们知晓,比如工作场所出现的陌生人、计算设备出现的异常情况、可疑的信息刺探来电、不请自来的电子邮件附件、不合情理的过分权限请求等等。这些将帮助员工们了解需要报告的事件和可以忽略的事件,进而让员工们了解其在日常工作中所能做的网络安全事情,在潜移默化中反哺网络安全责任意识。此外,网络安全部门强化安全事件的应对能力,包括与部门或业务单元的领导及安全协调员的协同工作,所有的安全事件都应立即得到遏制,并采取适当的措施予以应对。因此,制定并实施安全事件响应计划是网络安全部门的关键工作,该计划将使业务运营尽快回到正轨,而且影响最小。当人们了解到自己在网络安全事件化解方面可以为组织做出的积极贡献,甚至可以得到认同或奖励时,他们会更有责任感。

建立及更新业务持续性计划

不怕一万,就怕万一,即使人人都有足够的网络安全意识并能积极投入安全保护行动,组织机构仍然应为最坏的情况做好准备。在发生意外的灾难性安全事件,比如重要的信息资产被破坏,信息系统中断、数据失窃之后,请立即启动业务持续性计划,响应并使业务操作恢复正常。灾难恢复计划中应以人为本,确保人员生命安全为每一要素。灾难中,员工们应该知晓生命受到关爱,在生命安全不受威胁的情况下,自然而然就会全心投入到业务的恢复工作。经历过灾难,经过努力奋斗,将业务恢复到正常,员工们将更加深入地认识到网络安全工作的重要性,认识到自身的网络安全责任。

总而言之,针对人员的安全意识计划很重要,因为人员将一直是网络不法分子坏蛋的主要目标。使用上述这些技巧,网络安全管理负责人可以创建一种共同承担责任的企业文化,以激发所有人员的安全思想和行动。显然,网络安全的未来取决于所有的利益相关者,包括我们所列举的网络安全部门、业务部门或业务单元、供应商、合作伙伴等等。任何一方在网络安全方面的疏忽或过失,都是没有任何一个利益相关者能够完全承担的,因为每一个计算终端、每一位同事的安全弱点都可能被利用,进而对整个组织来讲,演变成前所未有的巨大灾难。

为了帮助各类型的组织机构强化人员的安全职责意识,进而帮助保护组织机构的重要信息资产,昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。

网络安全更应关注管理问题和人为问题

admin

传统上,不法分子使用电信诈骗手法针对网银用户,比如架设一个用于套取密码的假冒网站,通过海量发送“您的账户需要验证”、“点击链接领取退款”等诈骗短信,来吸引缺乏警惕或粗心大意的用户上钩。经过银行、公安、电信等多部门的联合反制,包括意识宣教、诈骗监测以及转账限制等手段,近年来这种骗术明显少了许多。不过,从人民银行一名工作人员那里得知,最近几大国有银行遭遇了新型的网络攻击,具体情况是很多用户的身份信息,包括姓名、支付卡号码、身份证号码、手机号码、密码等等被不法分子通过含有恶意软件的假冒网银APP给窃取了。

几大国有银行立即采取排查行动,及时通报受影响的用户,提醒其立即修改密码。令人意外的是,“官方”银行发出的不少提醒消息,包括电话和短信,大部分都被智能手机判定为“疑似”诈骗。即使接到电话或短信,很多用户也把其当是诈骗,并采取了立即删除短信、挂掉电话或与对方进行调侃等行为。从这类事件我们可以看出,网络安全问题的核心已经从技术问题转移到人为问题,而人为因素是非常复杂的,解决起来要比预想中的困难很多。

回顾很多网络安全入侵,包括近年来让各类机构损失惨重的勒索软件泛滥之源,都是包括操作系统在内的应用程序没有得到及时的漏洞修补,进而被勒索软件利用。然而,继续深挖会发现,应用程序的安全补丁没有得到及时安装,是因为对该工作负责的人员比如用户和IT管理员出现了疏忽大意。而且,很多机构的数据被加密之后损失惨重,因为他们没有行之有效的数据备份程序,更别谈什么高可靠性、灾备、业务持续性和灾难恢复计划了。对此,昆明亭长朗然科技有限公司网络安全管理专员董志军说:网络安全需要稳健可靠的技术控制措施,更需要行之有效的管理控制措施。有很多技术方案听起来很简单,做起来也不难,然而大规模的数据泄露和损毁事件却经常发生,网络安全问题仍然不时登上头条新闻。问题何在呢?再多的技术解决方案,没有人员参与工作流程的执行,就没有真正的实效。因此,网络安全本质上更多的是管理问题和人为问题,必须从管理的角度,从人员的角度加以考量和解决。

比如,针对桌面型终端设备,有些机构使用自动化的安全补丁修复方法,以便以最快速度安装安全修复程序,但最终用户却并不及时点击安装,更不愿在工作时间重启电脑,这就造成了一定的时间差,给“零日漏洞”攻击带来机会。问题不在技术,而在于管理流程的缺失和人员安全意识的不足。而针对重要的信息系统如服务器等,补丁修复的流程可能包含测试、备份、回滚预案、审批等等控制点,管理员和审批领导如果正好不在岗,或者稍一懈怠,等流程还没跑完,已经给“零日漏洞”攻击带来了巨大的时间窗口机会。重要的信息系统稳定可靠是第一位的,打补丁是重要的变更,相关的控制要严格,这是可以理解和认可的。但是安全漏洞也得及时修复,不然系统的稳定可靠也会受到影响,这两个问题看似矛盾,实则非常统一。解决之道是根据漏洞的紧要级别,设置修复相关工作流程的时间限制。这个道理很简单,操作起来却还需要很多系统管理员、IT经理和最终用户们强化规范操作意识、安全意识,并谨慎对待。

让我们再想一想,从技术操作来讲,安装应用程序的补丁,就运行一两个命令,或者点击“安装”、“重启”按钮而已,而在管理和人为因素方面来说,问题就很复杂。补丁有没有能够及时安装,问题不在技术,而在管理和人员。让我们跳出“应用程序”补丁的范围,从更广阔的“安全漏洞”来看,各行各业各种机构都会有各种安全漏洞,如果被恶意(有意)利用,甚至只是无意的失误,都可能带来严重的灾难,造成巨大的损失。在安全漏洞面前,人们可能无知或忽视,可能选择视而不见或者躲避绕行。而为安全负责的管理者必须做出行动,制定强有力的管理措施,推进安全漏洞的发现、报告和修复行动,提升人们的安全意识和觉悟,让人们重视并谨慎对待安全,进而改变人们的安全行为。

建立可靠的网络安全管理流程,让安全制度和规范成为可重复性的运维工作,是网络安全工作的关键。如果一家机构经常测试和上线各式各样的网络安全系统或设备,那无疑是管理失败的或者借机搞钱腐败的。在网络安全的人为因素方面,要让人们拥有基本的网络安全知识不难,要纠正人们的粗心大意,要让人们拥有足够的安全敏感度,可不容易。需要在安全意识方面不断加强,培养用户良好的网络安全行为习惯。对此,董志军补充说:我们应该有足够的信心,人们既然能够养成外出关家门的习惯,也必然可以养成离开座位清桌锁屏的习惯,以及看到安全补丁修复的提示,就立即安装并配合重启的习惯。

总之,在网络安全领域,技术措施必不可少。同时,技术的创新解决不了复杂的管理问题和人为问题。在当下,组织机构应该从管理和人员因素入手,一步步解决网络安全问题。昆明亭长朗然科技有限公司专注于帮助各类型的客户加强对职工们的安全意识提升工作,我们理解客户面对的网络安全管理问题和人为问题,通过我们的作品和服务,帮助客户提升网络安全价值。欢迎有兴趣的客户及合作伙伴联系我们,预览作品和进行商务采购。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898