最近,昆明亭长朗然科技有限公司的一家客户针对全体员工进行了一项年度信息安全意识调查,调查结果令人震惊,几乎没有员工明白安全漏洞和安全威胁的区别,在怀疑或遭遇安全事故时如何正确响应也很不令人乐观。
如果说漏洞、威胁和风险属于专业术语,部分安全从业人员甚至都搞不明白的话,我们更应该原谅这些员工。如果员工在遭遇可疑安全事件时不知如何报告或向谁报告,那显然是安全应急响应体系和流程的缺乏或不足,至少在安全事件报告方面,暴露出安全管理人员未对最终用户进行适当的沟通和培训。
安全管理人员可能会说没有足够的资质来建立安全应急响应体系,拜托,再小的企业也会有突发安全事件吧?何况大些的公司还有专门的安全管理职位和队伍呢!安全应急响应的投入可大可小,但找两个轮流值班的、接电话和查收邮件的保安总可以吧?
为什么要安全应急响应呢?想想如果员工发现工作区域有鬼祟的陌生面孔,立即报告给公司安全部,安全应急响应服务台立即派保安前去盘问和检查好呢?还是员工不当一回事,公司财物丢失了也无人知晓的好呢?
公司的多数安全预算用于购置各类安全设施、安防设备和安全服务,网络信息安全领域也是如此,资源多数花在安全系统和外包安全服务上,而比较忽略内部的安全管理体系如安全流程建设。
提到网络信息安全,人们谈论最多的是病毒和网络黑客,比较少关注信息安全意识。亭长朗然公司的安全顾问James Dong说:就连防病毒和防黑客都不能离开用户的安全意识,更不要说防范内部不满员工和商业间谍等等这些威胁。
针对信息基础架构系统的电子攻击近年来引发政府的关注,水电能源、卫星通讯、交通导航、银行金融等系统在安全等级保护框架下有了较大的改善。甚至在国家层面已经开始关注和谈论互联网战争和网络恐怖活动,这都彰显出国家在信息安全方面已经牢牢掌握主导权。
不能忽视的是在信息安全方面,也同样存在国进民退和国强民弱之说,在国家牢牢控制互联网安全核心架构体系之时,关于信息安全的立法、司法和监管日益成熟。而老百姓的互联网安全能力提升明显偏慢,显然与全球发达国家国民的安全素质差距甚远,甚至有网络观察员称中国的互联网是一小拨网络暴徒绑架着大量无知的普通网民,这和互联网大国的地位很不匹配,而且这样下去无疑将严重影响信息社会的健康发展。
回到亭长朗然公司的这家客户,在分析调查报告结果之后,安全管理团队进行了适当的检讨,认为有必要改进安全应急响应体系,并且加强对全体员工进行信息安全意识教育,特别是强化安全事件的报告。公司安全管理团队为此专门举办了为期一周的信息安全年会,年会后对员工进行随机抽样调查和社会攻击学攻击渗透测试,结果证明:通过培训,被调查员工了解到哪些是信息安全事件,该向谁报告安全事件。有趣的是,针对同一名员工的两次社交工程渗透攻击都被识破并及时报告给了安全服务台,两次的不同是这名员工第一次交谈时显得很腼腆,满脸通红;第二次已经显得很“理直气壮”。
员工的安全意识得到了质的提升,这正是信息安全年会的目标。短短两周的时间,这家公司的信息安全部门已经通过员工的及时报告,快速响应,挽回了一起可能造成重大损失的信息安全悲剧,这起真实的事件得以成功处理,不得不感谢信息安全年会的举办和信息安全事故场景的模拟演练。