不管是从信息技术还是财务审计的角度看，各种资产都需要受到保护，不管是实体的和数字的，以免受到内部和外部的威胁。有趣的是，无论组织尝试保护哪种资产，保护它们的方法都非常相似。因为我们生活在一个物理世界之中，所以所有的东西，甚至连上数据，都将在物理层面以其最基本的形式存在。对此，昆明亭长朗然科技有限公司信息安全培训专员董志军补充说：人力资源记录、工程设计图、客户服务说明、生产方法和制程等等也都存在于物理领域。因此，要保护好组织的关键资产，重要的是要实施必要的安全保护措施，这些措施包括：技术防护措施、物理防护措施和人员防护措施。

安全保护措施的类型

• 技术措施是指旨在为组织网络中包含的数据提供数字保护的硬件或软件措施。如防火墙、黑客入侵侦测、加密算法、防病毒程序等均被视为技术保护措施。
• 物理措施是指设计和实施的屏障和监视设备，它们可以用来可防止对保存组织数据的物理网络设备造成直接的物理伤害。如栅栏、门禁、安全摄像机、备用系统、安全警卫等均被视为物理保护措施。
• 人员措施是指旨在指导组织中所有人员的政策和程序，人员包括从高级管理人员到最终用户的员工。如输入、管理和保护所有关键数据的信息的正确的计算机和网络操作。

技术保护措施

保护网络和数据的手段首先是技术保护措施。让我们看看常见的技术保护措施，包括直接处理数字数据传输的措施，例如数字防火墙、网络入侵检测系统、防病毒程序、网络流量嗅探器、渗透测试、备份媒体、加密措施、电子取证软件以及无线加密等等，这些都是组织可以实施的一些措施。这些都是必要的，不过如果没有相应的物理保护措施和人员保护措施，也是不够的。

一些信息技术专业人员非常擅长确保其网络具有最新的技术保护措施。这些技术人员以很少有病毒成功入侵网络而感到自豪，并且是网络安全方面的专家。这些信息技术专业人员定期安装安全补丁，并不断监视网络，网络上的任何活动都逃不出他们的掌握。

尽管这些信息技术专业人员擅长保护数字数据不受潜在网络犯罪分子的侵害，但有时缺乏实际的物理安全性。缺乏物理和人员安全性的问题不容忽视，甚至有时由信息技术人员完成的数字式堡垒只能起到提供安全性的幻象作用，而实际上网络很容易受到内部威胁的攻击。

物理防护措施

当我们突破仅仅是1和0的存储数据限制之时，很快就会认识到所有数据都是以物理形式存在的。这些1和0都存储在物理硬盘驱动器上，需要对其进行物理保护，以免受外部和内部攻击。组织的敏感记录必须保存在数据库中，该数据库通常位于物理服务器机房中。安全的机房、通风、灭火系统、结实的门锁是正确保护组织服务器的一些基本要求。如果没有适当的物理安全措施来阻止未经授权的人员访问服务器机房，那么服务器硬盘驱动器上包含的数据库就会轻易曝光于大庭广众之下。其它物理设备如计算机、路由器、显示器和网络基础架构的部分也是如此。不管在网络网关处安装的防火墙有多好，如果计算机的磁盘驱动器没有受到物理保护，则未经授权的用户可以轻松地从网关内部将恶意软件直接上传到其他计算机上，其中的所有数据都会受到威胁。

人员保护措施

人员保护措施可以应对组织网络、最终用户和计算机所面临的最大风险。无论是由于能力不足、培训不足、意外的错误还是故意的作恶，最终用户都在他们工作的网络上施加着惊人的力量。通过设计和实施良好的策略，可以减轻、管理、转移最终用户所构成的许多威胁，并且在某些情况下可以完全消除这些威胁。

雇用人员并允许其访问组织的网络始终存在一定程度的风险。接受这种风险是开展业务的一部分，但是，管理人员可以通过要求雇员完成全面的岗前流程来减轻这种风险。此过程应包括几个项目，以提高成功缓解与人员相关的风险的机会。首先，面试应包括一项技能评估测试，以确保新聘员工至少掌握了就业所需的最低技能。此外，如果员工已达到最低技能要求，则可以放心地假设自己将能够学习更多知识，并且按照工作要求进行的进一步培训也不会白费。

除了进行技能测试外，对于可能接触计算机的所有人员，进行背景检查都是一项不错的措施。对于所有将来会处理资金、健康记录或客户信用卡信息的员工，应将背景调查视为绝对必要。有许多公司专门提供低成本的背景检查并可提供即时的结果，因此在决定实施招聘过程的步骤时，可以考虑外包给他们。

招聘中经常被遗忘和忽视的另一个方面是对相关资料的检查。如果新员工列出了推荐人，请给他们打电话。如果未提供推荐人，请至少提供三个参考，然后联系他们进行检查。如果在被要求时不提供推荐人，请不要雇用该人员。不要后悔没有雇用到一名“感觉良好”的人，相反，当雇用某人之后才发现他严重危害了组织的安全，那才是真的悔之莫及。通过彻底审核新进员工可以避免许多安全问题，因此，无论在组织中做出安全选择之前，请必须确保严格认真地遵守这些要求。

管理与人员相关的风险还包括适当的安全培训、对流程进行持续审查以及对安全系统进行定期的审核。一旦对新进员工进行了适当的审查，作为组织的新手，下一步就是对其进行培训。培训不仅应包括如何执行工作要求，还应包括对组织的安全策略的全面普及。在适当的地方，应该讨论安全性并将其融入员工工作的各个方面。

转移与人员相关的风险管理风险的一种选择是转移到另一个实体。这种风险转移通常有两种方式：要么将对关键流程的授权和责任交给另一个实体，要么购买了保险。例如，专门从事客户服务的第三方公司可以处理来自客户的来电和问题。可以聘请人力资源顾问来处理公司的许多人力资源问题，例如会计公司可以为公司财务提供财务上负责且符合安全要求的处理方式。制造公司雇用第三方供应商来构建产品的组件和子组件，以降低管理费用，同时还能少雇佣一些员工，避免人员直接与公司网络系统进行交互带来的安全风险。

开除对组织及其资产安全构成特定威胁的员工是消除单一威胁的一种方法。但是，由于人员是动态的，因此应对与人员相关风险的要求时刻都在变化，切记我们永远无法完全消除人员风险。

在建立信息安全政策和程序时，请仔细考虑所概述的措施在日常实践中是否可行。因为人们总是会找到规避规则的方法，他们认识那些规则影响了有效地完成工作。对此，董志军说：组织需要改善信息安全意识教育，使员工们不仅知道他们应该做什么，而且知道他们为什么要这样做以及不遵守规则的后果。

通过与众不同的信息安全意识计划与活动，让员工们不会陷入安全政策和程序根本不适用于他们的困境，进而让员工们更容易记住并遵守适用于其工作职能的安全规则。那些安全规则建立了预期的和可接受的组织资产使用和保护行为。此外，由于书面的指导难以涵盖所有的偶然性，因此用户还必须在日常工作中进行安全决策时，使用合理的判断和最高的道德标准。昆明亭长朗然科技有限公司专注于信息安全管理体系中人员保护措施的研究，我们通过帮助客户向员工们提供安全意识培训，来降低人为因素带来的信息安全风险。欢迎就这一话题联系我们，也欢迎有员工信息安全意识相关教育培训的机构联系我们，洽谈业务合作。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898

近年来，针对各类型机构，不法分子实施了大量的网络攻击，包括身份盗窃和传播破坏性恶意软件，这些攻击带来了严重的风险。犯罪分子通过窃取用户名、密码和电子邮箱，并使用该用户身份标识对系统进行身份验证或窃取系统访问权限。每种系统权限的失窃都会带来不同的风险，从利用账户信息进行进一步的商业财务欺诈、知识产权等敏感信息盗窃，到使用员工身份访问内部系统进行系统破坏或修改、或对机构的内部数据进行篡改或损毁。对此，昆明亭长朗然科技有限公司网络安全研究员董志军称：其实，我们从大量安全事件的调查响应情况来看，追查到底，类似机密信息失窃、钱财被骗走等等的根本原因往往都是账户被黑客入侵了，或者系统由于感染了病毒、木马等恶意软件而被黑客远程操控了。当然，我们不排除某些系统在设计和开发方面存在安全弱点，被技艺高超的黑客发现而利用。不过，由于所谓的“零日漏洞”所造成的安全事故其实非常少，大部分由于系统软件或应用程序的安全弱点所造成的安全事故，还是由于管理员或用户们没有及时安装安全更新（补丁）的原因。

因此，各类型的组织机构需要使用科学的技术方法，从而减轻各种信息技术风险，这些技术包括持续的信息安全风险评估、安全监控、定期对关键系统的控制措施实施测试、以及为员工提供安全意识和培训计划。

传统上，组织机构依靠IT专家来专门处理网络安全问题，不过这个“技术保障安全”的时代已经结束，在新时期，网络安全上升到管理层面，管理层必须采取必要的措施，以确保在网络攻击后迅速恢复、重启和维护机构的运营。

那么，该如何减轻风险？董志军表示：组织机构应设计多层安全控制措施，以建立多道安全防线，并考虑诸如下列的行动步骤：

信息安全风险评估。组织机构应该持续进行安全性的评估，以应对新出现的和不断发展的威胁。识别、确定、分级并评估关键系统的风险，重点在于识别出包括对各种控制系统以及其他安全和防欺诈措施的应用程序的威胁。第三方服务提供商也应接受对其安全控制措施的定期测试，并有责任和义务在出现安全问题时提交安全事件报告。

安全监控、预防和风险处置。组织机构应首先建立基准环境，以使其能够检测异常行为，并监视防护和检测系统，以及随后的防火墙访问控制系统。同时，还应根据需要进行渗透测试和漏洞扫描，并迅速管理漏洞。

访问权限管理控制。为了降低风险，组织机构应限制特权用户账号的数量，并定期进行审核以确保访问权限适合工作职能的需要。同时，应该为不活动的账号建立严格的到期期限，并为基于Web的网络应用设立多因素协议身份验证规则。此外，提供用于远程访问系统的安全连接并设置默认密码的修改策略和密码的使用期限策略也将有所帮助。

关键系统的控制。组织机构应定期检查和测试关键系统的适当控制措施（例如访问控制、职责分离和欺诈检测系统），并在必要时将结果报告给高级管理层和董事会。传输和存储中的数据都应进行加密，并且在超过尝试次数阈值后限制并锁定对关键系统的登录。

安全意识和培训。在整个组织机构范围内，进行定期的和强制性的信息安全意识培训，包括如何识别和防止成功的网络钓鱼企图。要让员工们理解并接受信息安全要求，需确保安全意识培训能够反映员工们的安全角色和职责。

参与安全情报信息共享。由于威胁和手法可能会快速变化，因此参加诸如安全前线之类的博客、论坛、公众号等威胁情报发布渠道，组织机构可以提高识别攻击手法并成功缓解新型网络攻击的能力。

在此要补充声明，组织机构应特别注意破坏性恶意软件的危害，员工下载附件、连接外部驱动器或访问受感染的网站都可能会将破坏性恶意软件引入系统。组织机构的管理人员应维持足够的业务连续性计划流程，以确保在涉及破坏性恶意软件的网络攻击后，组织机构的业务能够快速恢复、重启和维护。

如果组织机构或其关键服务提供商成为此类网络攻击的受害者，则组织机构应制定适当的流程来恢复数据和业务运营，并解决网络功能重建和数据恢复的问题。这应该包括保护离线数据备份不受破坏性恶意软件攻击的能力。

总之，数十年来，尽管信息技术自身不断演变并带来了各种新的变化，但是信息安全管理手法无甚新招。尽管如此，仍然有不少信息安全人员以及管理层对这些知之甚少，所以有必要再次回顾这些信息安全管理的科学方法，从风险管理的角度实施关键的安全管控措施。话说回来，对于很多网络安全专业人员来讲，动动嘴皮容易，道理也很容易懂，然而，真正能做好安全管理工作落实的，却总是那么的稀少。如果您对本文所倡导的信息安全科学管理方法有意见或建议，欢迎不要客气地联系我们。如果您有安全意识和培训方面的需求或想法，更欢迎您联系我们，洽谈业务合作机会。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898