信息安全管理

当禁止浪费之风刮向网络安全行业

admin

infosec-return-on-investment

尽管扩大内需是提升经济活力的重要法宝,铺张浪费仍然被主流世界所诟病,勤俭节约仍然是中华民族的美德。

自中央国家安全委员会、中央网络安全与信息安全领导小组成立以来,网络安全显然已经上升到了国家战略的层面,更成为各级党委和政府的重要工作项目,相关的投入似乎应该上一个新台阶。但是,受“禁止浪费政策”的影响,各地并不敢贸然大举采购网络安全设备及信息化系统。

其实,要说与发达国家相比,我国网络安全在信息化总预算和投入的比例一直较低。在国家日益重视信息安全的大环境气氛下,提升安全方面的预算比例应该是彰显工作政绩及遵循合规的一个手段。

为什么实际情况不够理想呢?昆明亭长朗然科技有限公司网络安全顾问董志军说:网络安全毕竟有些技术门槛,这个领域内的“奢侈浪费”不容易被人们特别是外部人员发现,特别是当技术和产品披上知识产权外衣的时候,一台设备或一套软件值多少钱,谁都不能轻下诊断。

不过尽管如此,网络安全与信息化办公室的决策人员们还是心有顾虑。一方面政府机关及大型企业反腐败反贿赂活动风头强劲,本身都能过上好日子了,为了收入上的数字多那么一点点,而冒失去未来大好生活的风险不值得。另一方面则是担心即使自己毫无私心,也可能犯下决策性的错误,花了大钱,没办成事儿,反倒毁了自己的前程。

如果说招投标采购“污水横流”可能有些夸张,“乌烟瘴气”也有点太过,但是说“劳民伤财”可算是恰到好处。为了一个无关紧要的参数折腾数百人又是加班开会又是半夜弄标书的情形真是惨不忍睹,然而即使这么累,真正能够用到网络安全及信息化实际项目活动中的钱,往往不到总数的一半,大半的钱当然被潜规则了。可现在,只要一个不小心,下属犯错的连带责任也会让决策者吃不了兜着走。

而说到网络安全产品,无非是为了达到某种控管效果,解决某个或多个安全问题。如果使用技术手段防范某个技术层面的问题,早已不是什么难题。难在这些安全相关的问题都与人有关,它们并不是仅仅一个或多个产品可以轻易和彻底解决掉的,要么我们的信息安全操控人员无法全力撑控技术设备,要么从表面上解决了这个安全问题,另一个新的安全问题又出来了。

不少网络安全与信息化主管都清楚,多数网络安全设备采购来了之后,仅仅使用了两三个月,新鲜劲一过,便没有多少人愿意去折腾了。当初想要实现的安全控制目标,可能只实现了一部分,但是没有达到预期,尽管表面上这个项目的实施是成功的。前期没暴露出来的问题,在使用一些日子之后可能出现了,特别是影响到了一些其它的使用,这时候人们倾向于弱化这些产品的安全控管能力,比如放开防火墙的访问控制规则。同时,多数IT人并不期望坚守在一个个运维系统上,人们希望有更多的新项目,新机会,所以在心态上,也开始漠视已经完成的项目。于是无形中,这些网安全产品就成了摆设。

可网络安全重在运维,前期采购天融信、启明星辰、联想、东软或绿盟等某个厂家的防火墙产品其实关系不大,把这些产品真正用起来实现控管目标才是真正重要的。亭长朗然公司董志军说:很多信息安全主管都明白,除非现有的网络安全设备在性能上无法满足业务增长的需求,否则没有必要更换新的设备。而在安全控制的目标方面,无疑仅仅依赖更多的技术手段比如新功能是不够的,实现信息安全的目标,更多的是需要管理的手段。

而在信息安全管理方面,不能独立于其它管理制度和工作流程,更需要和组织文化一致,这显然也是个很大的难题。管控的松紧是一种科学,更是一种艺术。紧巴巴地把互联网给断了,惹众怒,不行。松垮垮地放开任意网络访问和接入,不断违反了国法又给组织引来安全威胁,也不行。不过要找咨询顾问服务来解决这些东西,也没门,厂商也不会深入这些组织内部的问题,他们只希望将一套套模板稍稍修改,早日让项目了解了。

不过,也不要以为在网络安全方面保持现状不外花钱就是在为组织省钱和做贡献。亭长朗然公司董志军说:网络安全行业的问题我们已经剖析了这么多,核心问题的解决都离不开组织内部的人员,包括IT人员和非IT人员。

如何解决人员相关的问题呢?一方面,要让IT人员忙起来,让旧的设备跑起来,让IT安全运营方面的成绩受到新项目成绩同样的高规格礼遇。另一方面,针对全员的,在信息安全管理方面下功夫,在信息安全制度流程的建设上,寻找多个大家都能理解和接受的平衡点,工作重点在于信息安全意识的沟通和网络安全理念的推广。

网络信息安全专业领域有句话:三分技术,七分管理。现在的人性化管理不能是军事化命令与控制的那套儿,而要重在全员沟通、重在流程协调。网络信息安全行业也是如此,更多的投入应该在人性化的信息安全管理层面,发动信息安全意识宣传推广计划,将安全控管需求及目标、安全制度和流程以及安全技术手段结合起来,才是正确的省钱之道。

想想看,五百万的网络安全预算,增加一台两百五十万的可能会成为一个摆设的网络安全新设备,通过潜规则让两百五十万落入员工们的口袋,从此担心吊胆好呢?还是花上两百万的预算,采购一台真正能用上的设备和一些信息安全管理及宣传服务,将三百万拿来光明正大地奖励IT安全人员的运营贡献以及优秀员工的良好安全行为要好呢?

人员People,流程Process,产品Product(亦可称技术Technology),这“3P”是信息安全管理的三要素。网络安全与信息化工作者们,想要防止浪费,又要有所成绩,应该知道如何将这三要素有效结合起来,即能让省钱并且让钱光明正大地进入员工们的腰包,又能提升网络信息安全制度化管理水平,还不误网络信息安全技术的提升,最佳的方式,无疑是从强化全员信息安全意识开始。

年底快到了,想要有所成绩的网络信息安全管理者们,欢迎联系我们洽谈业务合作哦!您可以在线体验一下我们的信息安全意识培训产品,或者通过我们的信息安全意识推广计划了解更多内容。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

智能电网安全之殇:从“人”的安全入手,筑牢数字电力根基

admin

我是董志军,在智能电网安全领域摸爬滚打多年,深感信息安全对行业发展的关键作用。我常常自问,我们是否真正理解了“安全”的真谛?是否深刻认识到,在数字化的电网时代,信息安全不再是可有可无的附庸,而是关乎电网稳定运行、国家安全和人民福祉的生命线。

今天,我想和大家分享一些我亲身经历的案例,剖析信息安全事件的根本原因,并结合多年来在信息安全建设方面的经验,提出一些切实可行的建议。我希望通过我的讲述,能够引发大家对信息安全问题的深刻思考,共同为智能电网的安全发展贡献力量。

一、 历史的教训:信息安全事件的“痛点”与“根源”

在我的职业生涯中,我亲历了无数信息安全事件,每一次事件都让我深感警醒。以下几起事件,我将重点剖析其背后隐藏的“痛点”和“根源”,尤其强调人员意识薄弱这一关键要素。

  • 恶意链接:看似无害的诱饵,实则致命的陷阱。 记得几年前,我们接到一个关于供应商的邮件,邮件中包含一个看似正常的附件。员工点击附件后,触发了一个恶意链接,导致我们的内部网络被入侵。攻击者利用该漏洞窃取了大量的敏感数据,并对关键系统进行了破坏。事后调查发现,攻击者利用的是一个精心设计的社会工程学攻击,利用员工的疏忽大意,成功地诱导他们点击了恶意链接。这充分说明,即使是技术高超的攻击者,也往往是利用人性的弱点,才能达到目的。

  • 视频钓鱼:伪装身份的魔术,轻易就能让人上当。 还有一次,我们接到一个声称来自公司高层的视频通话请求。对方声称需要紧急处理一个重要事务,并要求我们立即执行。由于对方的身份信息和语气都非常逼真,我们的员工没有仔细核实,就轻易地执行了对方的指令,导致我们的财务系统被攻击。这再次证明,视频钓鱼攻击的危害性不亚于传统的邮件钓鱼攻击。攻击者利用视频技术,伪装身份,欺骗员工,从而获取系统的控制权。

  • 短信钓鱼:隐蔽的威胁,难以察觉的风险。 近期,我们面临的短信钓鱼攻击事件层出不穷。攻击者通过短信,冒充银行、政府机构等权威部门,诱骗员工点击虚假链接,输入个人信息或银行账户密码。由于短信的隐蔽性和紧急性,很多员工没有仔细核实,就轻易地点击了虚假链接,导致个人信息泄露和财产损失。这提醒我们,短信钓鱼攻击的风险不容忽视,需要加强员工的安全意识培训,提高他们的警惕性。

  • 供应链攻击:看似安全的链条,暗藏的危机。 供应链攻击是近年来信息安全领域的一个重要威胁。我们曾经遇到过一个案例,攻击者通过入侵一家我们合作的软件供应商,成功地将恶意代码植入到他们的软件中。由于我们对供应商的软件没有进行充分的安全审查,导致我们的系统也受到了感染。这充分说明,供应链攻击的危害性不容小觑,需要加强对供应链的安全管理,确保供应链的可靠性。

以上几起事件,都暴露出一个共同的问题:人员意识薄弱。无论是恶意链接、视频钓鱼、短信钓鱼,还是供应链攻击,都往往是由于员工的安全意识不足,没有能够识别和防范攻击而造成的。

二、 全面防护:从战略规划到持续改进

要有效应对信息安全挑战,我们需要从战略规划、组织架构、文化建设、制度优化、监督检查和持续改进等多个方面入手,构建一个全面、系统的安全管理体系。

  • 战略规划:明确目标,统筹全局。 信息安全战略规划应该与企业整体战略紧密结合,明确信息安全的目标、原则和重点任务。要根据企业的信息资产状况、风险状况和业务发展需求,制定切实可行的安全规划,并定期进行评估和调整。

  • 组织架构:明确职责,分工协作。 信息安全组织架构应该明确各部门的职责和权限,建立一个高效、协同的安全管理团队。要设立专门的安全部门,负责信息安全战略的制定、安全事件的响应、安全技术的部署和安全意识的培训。

  • 文化建设:营造氛围,强化意识。 信息安全文化是信息安全管理的重要基础。要通过各种方式,营造一个重视安全、人人参与的安全文化氛围。要鼓励员工积极参与安全活动,分享安全经验,共同提高安全意识。

  • 制度优化:完善流程,规范操作。 信息安全制度应该完善、规范、易于执行。要建立完善的安全管理制度,包括访问控制制度、数据备份制度、应急响应制度等。要定期对制度进行审查和更新,确保其有效性。

  • 监督检查:定期评估,及时发现。 信息安全监督检查是信息安全管理的重要环节。要定期对信息安全状况进行评估,及时发现安全漏洞和风险。要对员工的安全行为进行监督,确保他们遵守安全制度。

  • 持续改进:学习借鉴,不断提升。 信息安全是一个不断变化的过程。要持续学习新的安全技术和安全知识,不断改进安全管理措施。要借鉴其他企业的成功经验,不断提升自身的信息安全水平。

三、 技术保障:常规控制,筑牢防线

除了加强人员意识培训,我们还需要加强技术保障,部署常规的网络安全技术控制措施,构建一道坚固的安全防线。

  • 防火墙: 作为网络安全的第一道防线,防火墙能够有效阻止未经授权的网络访问。
  • 入侵检测/防御系统 (IDS/IPS): IDS/IPS能够实时监控网络流量,检测和阻止恶意攻击。
  • 防病毒软件: 防病毒软件能够检测和清除恶意软件,保护系统安全。
  • 数据加密: 数据加密能够保护敏感数据,防止数据泄露。
  • 访问控制: 访问控制能够限制用户对资源的访问权限,防止未经授权的访问。
  • 漏洞扫描: 漏洞扫描能够及时发现系统漏洞,并采取相应的补救措施。
  • 安全审计: 安全审计能够记录系统操作日志,方便安全事件的调查和分析。
  • 多因素认证 (MFA): MFA能够提高账户的安全性,防止账户被盗。

这些技术控制措施,结合智能电网行业的特性,可以有效提升组织的安全防护能力。例如,在智能电网领域,我们需要特别关注工业控制系统的安全,加强对工业控制系统的访问控制和漏洞扫描。

四、 意识提升:创新实践,赋能未来

信息安全意识培训是信息安全管理的重要组成部分。传统的培训方式往往枯燥乏味,难以引起员工的兴趣。因此,我们需要创新培训方式,提高培训效果。

我们曾经在信息安全意识培训方面进行了一些创新实践,例如:

  • 情景模拟: 通过模拟真实的攻击场景,让员工亲身体验攻击的危害,从而提高他们的安全意识。
  • 游戏化学习: 将安全知识融入到游戏中,让员工在轻松愉快的氛围中学习安全知识。
  • 案例分析: 分析真实的攻击案例,让员工了解攻击的手段和危害,从而提高他们的警惕性。
  • 定期测试: 定期对员工进行安全知识测试,检验培训效果,并及时进行补救。

这些创新实践,有效地提高了员工的安全意识,并为组织的信息安全管理提供了有力保障。

五、 结语:携手共筑,安全未来

各位同仁,各位朋友,信息安全是智能电网发展的基石,也是我们共同的责任。我们不能忽视信息安全的重要性,更不能掉以轻心。

希望通过我的讲述,能够引发大家对信息安全问题的深刻思考,并共同为智能电网的安全发展贡献力量。让我们携手共筑,安全未来!

在日益复杂的网络安全环境中,昆明亭长朗然科技有限公司为您提供全面的信息安全、保密及合规解决方案。我们不仅提供定制化的培训课程,更专注于将安全意识融入企业文化,帮助您打造持续的安全防护体系。我们的产品涵盖数据安全、隐私保护、合规培训等多个方面。如果您正在寻找专业的安全意识宣教服务,请不要犹豫,立即联系我们,我们将为您量身定制最合适的解决方案。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898