信息安全意识的内容与形式

近年来,网络入侵与信息泄密事件频发,无论是政府机关还是企事业单位,无论是如学校等教育机构还是如医院等医疗机构,无论是知名人士还是普通大众,都可能遭受黑客入侵和个人信息泄露。而这些事件的背后原因,并不仅仅是技术漏洞或软件弱点,更多的是人性的弱点,比如对安全的无知、缺乏相关的技能、或者粗心大意。根据昆明亭长朗然科技有限公司的一项研究,成功的网络攻击中有85%是通过网络钓鱼发起的,这其中又有90%都是从毫无戒心的员工那里窃取的信息而进行的。因此,越来越多的组织机构通过进行安全知识和技能培训,使员工武装起来,形成一道信息安全保护的“人力防火墙”,以防止由于人员的信息安全意识不足,而带来的无法衡量的严重损失。

信息安全意识培训是对员工进行网络安全最佳实践教育的正式过程。其受众包含所有的信息用户,通常来讲大到一个国家的全体网民,小到企业里的所有员工。其内容涵盖信息安全相关各个领域,重点针对人们的日常工作和个人行为,关注各种可能因个人行为不当或警惕性不强而引发的信息安全隐患或事故。因为目标对象不同,信息安全意识培训内容会以不同的形式及程度来展现,从简洁明了的宣传语,到浅显易懂的安全提示,再到全面具体的安全手册,甚至建立专门针对政府机关、不同行业企事业单位的信息安全知识库,从而满足不同方面和不同层次的需要。

那么,常见的信息安全培训内容都包括哪些呢?通过从信息安全管理角度讲,可以分为三大类:规章制度、安全知识以及安全技能。如下,我们从信息安全实践角度出发,列出信息安全意识的十个内容域:

  • 常规安全理论基础:包括信息安全的重要性、信息安全基础理论、通用政策指导、信息系统使用条款、人员信息安全管理等等。
  • 场所安全:包括物理环境安全、陌生人入侵防范,办公室安全、桌面清洁、会议文印安全等等。
  • 工作站安全:包括个人电脑安全、终端计算安全、恶意软件防范、保持系统更新等等。
  • 网络身份保护:包括密码(口令)安全、身份验证、账户管理、访问控制等等。
  • 信息情报安全:包括信息分级、等级划分、信息标识、信息存储、数据备份、保密常识、信息废弃、媒体介质安全等等。
  • 移动计算安全:包括移动计算终端、WIFI网络安全、在外工作及差旅安全、远程办公及远程访问等等。
  • 社会工程学攻击防范:包括网络钓鱼识别与防范、社交诈骗防范、电信诈骗防范等等。
  • 知识产权保护:包括知识产权科普、软件安装许可、点对点分享等等。
  • 互联网及通信安全:包括互联网安全、社会化网络、社交媒体安全,以及邮件安全、即时通讯安全等等。
  • 安全事件报告:包括安全事件的识别、安全事件报告及应急响应等等。

需要补充说明的是,我们细看不同的内容域之间可能会有相互的知识关联,甚至交叉,这是很正常的。当然随着时代的变迁,有的内容域也可以进行合并或拆分,不管如何,这种划分方法是业界较为流行和市场普遍认可的。那么,都有哪些形式实施信息安全意识教育和培训呢?

一、课堂式培训,也称现场培训或面对面培训。通常这种培训包括小组(部门)形式,在会议室,由讲师(安全专员)与学员面对面进行。往往包括入职宣导和专题培训,通常讲师会使用PPT演示,配以案例警示,以简洁明了的方式介绍信息安全意识基本常识。这种培训的效果通常很好,讲师可以在课堂即时与学员互动,对学员关注的问题进行现场答疑。

二、在线电子学习,也称为线上学习、网络培训或eLearning等等。通常会使用在线学习系统平台,其中包括学习内容如电子课件、测试等知识管理模块,学员账户管理模块,以及学习进度报表模块。具体技术工作包括在线学习管理系统的搭建、测试和运维等等。持续的知识内容更新和支持对建立长久可持续的学习文化很重要。通常在线学习和测试,学员可以随时随地安排线上学习计划,适合针对大规模学员的长期的信息安全学习管理。

三、平面媒体宣传,也可以称为纸类宣传或线下非电子宣传等等。当然,材质可能并不限于纸类,但基本上比较接近。这种方式比较适合传统工作环境,特别是那些人员比较集中的制造业和服务业,以及电子化水平比较低的中老年群体。通常包括如下几种:

  • 海报宣传画:各类安全宣传海报、张贴画、横幅或板报、易拉宝等,一般在楼梯、橱窗等适当宣传位置进行张贴、悬挂或放置。
  • 实用小本子:如将安全知识内容印制到台历、挂历、贴纸、笔记本等小本子上面的各种文化宣传品。
  • 宣传彩页及手册:包括页面较少更新频度较高的安全知识折页或单张,以及内容较多的职员信息安全意识手册和期刊。
  • 实物宣传品:通常是如鼠标垫、水杯、小挂饰、手机支架等标有信息安全意识信息的文具礼品。

四、电子媒体推广,也可称为多媒体宣传、电子屏或多屏宣传。通常包括知识视频、动画短片、宣传片的创意、拍摄或制作,可在食堂、休息室、接待区等公共场所电子大屏幕上播放;也包括一些电子宣传物如为电脑及手机使用的信息安全知识壁纸、信息安全屏幕保护程序、安全知识布景和微信宣传图文、H5展播、电子期刊等等。电子媒体推广比较适合现代办公环境和熟练使用电脑及手机的年轻人群,此外还有快速和宜于大规模传播的特点,非常适合信息安全动态知识更新。

五、体验式活动,体验式活动结合线上线下,并使用创新的方式,让学员在模拟或真实的环境中体验信息安全威胁、攻击以及防范之道。这种体验式活动一般要求学员现场参与挑战,有很多新的玩儿法,包括:知识竞赛、攻防演习、生存挑战、模拟钓鱼、窃密演示等等。这些活动往往需要精心的知识创新、活动设计和技术支撑准备,一般的课堂式培训讲师缺乏相关的资源,所以通常是专业的信息安全公司来提供。学员参与式和体验式的效果往往非常好,但是也受制于人员、时间、空间的限制,相关的设备设施和技术服务的成本也都比较高。

总之,信息安全意识内容主题有很多,宣传活动形式也很多样,要搞好信息安全意识宣教工作,需要有好的内容,以及好的形式。同时,请牢记,安全意识培训工作不是一次性的项目,而是一个长期的计划,是一个不断改进和发展的过程。最后,不管您需要什么宣教资源,或者有什么好的宣传活动点子想实现,都欢迎联系昆明亭长朗然科技有限公司,让我们一起来探讨和实现。经过多年的实战积累,我们拥有了大量的信息安全意识宣教素材和在线电子学习系统、模拟钓鱼平台等等,可以进行快速微调和立即使用。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

信息安全意识培训计划的五大主题

处在庞大的互联网络系统中,如果不实施有效而可靠的信息安全意识培训计划,任何组织都将无法保护信息的机密性、完整性和可用性。

超过半数的网络安全事件是由于人为错误而造成的,每年由于员工人为因素而带来的灾难导致企业遭受的损失达数亿元。对此,昆明亭长朗然科技有限公司网络安全培训专员董志军说:这不是危言耸听,看看那些诈骗窝点那些年轻人们的豪华生活,就知道情况是多么的严重。需知,科技再进步也只能是工具,人类永远是社会的主体,人工智能再厉害也不能完全理解和替代人们对世界的认知和人与人之间的微妙感情。正是因为这个原因,再先进的安全防范技术也不能彻底防御针对人性的攻击。举例来讲,不知情或粗心大意的工作人员可能会回应网络钓鱼电子邮件的要求,访问感染了恶意软件程序的网页或将其机密信息存储在不安全的存储位置,从而损害网络安全。

为了避免与人员相关的事件的发生,组织必须实施切实可行的信息安全意识培训计划。通常来讲,标准的安全意识计划应包含以下几条主题内容。

一、安全的互联网习惯

几乎所有职员,特别是技术性职工,都可以访问互联网。因此,对公司而言,安全使用互联网至关重要。信息安全意识培训计划应包含安全的互联网浏览习惯,以防止攻击者侵入公司内部网络。以下我们分享一些为员工安全使用互联网的注意事项:

用户们必须了解常见的网络钓鱼攻击,并学会不要打开恶意附件或单击可疑链接。这些能力需要通过深入地了解网络钓鱼攻击的警告信号来实现。最好禁止使用浏览器的弹出窗口,因为它们通常会带来安全风险。用户们应避免安装未知来源的软件程序,特别是感染了恶意软件的网站链接。如今,很多网站声称提供免费的互联网安全程序,实际上这些程序只会感染您的系统而不是对其进行安全保护。

二、数据安全保护

信息数据的类型有很多,例如客户合同、成功案例、产品特性、营销方案、开发计划或工作任务说明等等,许多员工可能不知道这一点。这些员工没有意识到对信息数据进行安全分类的重要性。例如,从财务角度来看,客户合同比成功案例更为重要。从营销角度看,营销方案要比产品特性更为重要。

员工们应了解所有类型的数据,以便他们了解其业务重要性。哪些数据属于高机密级别的,哪些属于内部的,哪些属于可公开的,如何保护这些不同安全级别的信息数据?哪些数据可以或不可以通过哪些渠道进行分享?了解这些数据安全保护的要求,是保障信息安全,防止数据泄露的基础性工作。

三、清洁办公桌政策

信息窃贼可以很容易地获得办公桌上的敏感信息,例如便签、纸张和打印出的文件,当然也还可以通过贼眼轻松偷看到敏感信息。根据清洁办公桌政策的要求,在结束每天的工作之时,应将所有敏感和机密信息从办公桌上移开。在午餐时间或在办公时间紧急离开时,所有关键信息都应锁在办公桌抽屉中或柜子里。

员工们需要理解清洁办公桌政策的要求,并养成良好的桌面清理习惯。除了纸类文件之外,当然也包括重要的信息物件,比如U盘、钱包、手机等。此外,计算机桌面的安全也属于清洁办公桌的一部分,设置带密码保护的屏幕保护程序,在离开办公桌时锁住屏幕。对于清洁办公桌政策,董志军补充说:要保证政策的落地,强化执行力,需定期不定期地进行办公桌安全检查,比如在工作期间、午餐时间或下班时间对员工们的办公桌进行巡检,以发现可能的问题并对进行必要的整改督促和再教育。

四、恶意软件防范

有关恶意软件的培训课程是非常经典的,但是总有新型的恶意软件不断出现和泛滥,这说明仍然有很多人不了解恶意软件的类型及其含义。恶意软件类型应包括广告软件、间谍软件、病毒、特洛伊木马、后门程序、勒索软件、僵尸网络、逻辑炸弹和蠕虫等等。

员工们应学习如何识别恶意软件、如何防范恶意软件并养成好习惯,以及如果设备或网络已被感染了该怎么应对。正确的响应应该是立即关闭系统或设备并通知信息安全响应团队。

五、安全使用社交网络

企业使用社交网络作为强大的工具来宣传品牌并产生在线销售。不幸的是,社交网络也为网络钓鱼攻击打开了闸门,网络钓鱼攻击可能导致公司遭受巨大灾难。不当的社交软件使用造成机密泄露的事件比比皆是。

为了防止关键数据通过社交媒体丢失,企业必须具有可行的社交网络安全使用政策,应限制社交网络的使用并指导员工注意网络钓鱼攻击的威胁和信息泄露的风险。通常来讲,对大多数员工来说,除了转发公司的公开宣传内容之外,不宜使用如微信、微博等社交媒体交流工作相关话题。

总之,员工在保障业务成功中扮演着至关重要的信息安全作用。未经培训和疏忽的员工可能使企业面临多重数据泄露的危险。因此,组织必须采用可行的信息安全意识培训计划,其中应包含阻止网络安全事件发生所需的基本准则。上述的几项常规安全意识培训主题都是昆明亭长朗然科技有限公司的大量客户在信息安全管理实践中探索出来的,希望这些宝贵经验能够帮上您和您所在的工作单位。

昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识,我们帮助客户策划和制定安全意识培训计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898