网络安全能力

唤醒员工安全意识降低网络安全风险

admin

云计算和移动化让传统的网络安全控管边界失效,同时也激发了诸如零信任之类的网络安全架构方面的创新,不过尽管如此,创建漏洞的员工们依然是网络犯罪分子突破组织安全防御时的好朋友。对此,昆明亭长朗然科技有限公司网络安全研究专员董志军说:尽管技术型的安全保障很重要,但是在保护工作单位的信息免受各种形式、规模和动机的网络犯罪分子侵害时,员工仍然是安全防线中最薄弱的环节,是木桶中的最短的一块儿板子。

坚定的网络犯罪分子定期通过复杂的网络钓鱼攻击,诱使粗心大意的员工们上钩,通常采取以下破坏安全性的伎俩:

  • 禁用、避开或越过安全管控措施,例如防病毒软件和防火墙软件等等。
  • 从可疑网站下载文件,这些文件会将恶意软件安装到电脑、平板和智能手机等计算设备上。
  • 单击来自陌生或危险域名的网络钓鱼邮件中的恶意链接。
  • 打开包含启动恶意代码的电子邮件附件。
  • 回应仿冒的请求,将重要的信息,比如账户、密码、战略、机密等合盘托出。
  • 误认为受到了上级或供应商的指示,将款项电汇到骗子指定的银行帐户。

以上网络钓鱼的风险非常普遍,我们通过各类媒体,经常都能看到类似的事故。组织需要唤醒员工的安全意识,以更加了解风险并更加警惕保护数据和计算基础架构。以下是针对员工们的安全意识计划宣传方案建议。

实施计算设备使用政策

传统上,由于国内缺乏透明的法治环境,很多企业机构也以“人治”为主,造成员工们不知道哪些信息系统使用行为是应该的,哪些不是,进而给网络犯罪分子以可乘之机。为防止因员工无知带来的网络安全风险,在政策层面,各类型的组织机构应该:

  • 制定可接受的计算机和互联网使用政策。这是为员工们使用信息系统指定一个大的方向,政策应该指定哪些行为是可接受的,比如鼓励员工报告可疑的消息;也应指定哪些行为是不可接受的,比如禁用安全程序或发布不法消息。
  • 确保该政策内容包括关于密码分享的禁令。有些小团队为了协同工作而内部分享密码,这种情况早期很普遍,因此带来不少的安全隐患,必须有政策禁止密码分享,这是提升安全,让员工们担负起保护账户的原则。
  • 让每个员工和承包商阅读并签署政策。如同保密协议一样,信息设备使用政策也需得到签署,以表示员工们对此的认可和承诺。
  • 告知违反政策的行为将记录在人事档案中,这将成为绩效评估、计算奖金、晋升事项和解雇理由的因素。这是确保政策执行力的关键措施,否则人们将会忽视规则,以及网络安全要求。

举行安全意识活动

只靠员工签署信息系统使用政策并不足够,很多员工可能并不会认真地阅读文本,也可能不会很好地理解其中的内容精要,也有一些员工可能会在实际工作时忘掉或者不能将政策与实际工作结合起来。因此,要降低网络安全风险,各类型的组织机构应该:

  • 提供安全意识知识内容。可以自行创作编写,也可以采购专业的网络安全意识作品,包括动画视频、宣传图片和电子课件等等。
  • 让所有员工和供应商每年都参加安全意识刷新。每年进行安全意识刷新,以防止遗忘,并紧跟安全威胁态势的发展,为确保学习质量,需要进行知识能力的考核。
  • 定期沟通讲解电子邮件、社交媒体和互联网使用中的安全风险。安全意识沟通需要长期不断地进行,以让员工们逐渐养成良好的安全习惯,也促进组织机构的安全文化建设。
  • 讨论和分享组织内部和行业发生的安全事件,并从中汲取教训。从安全事件中汲取教训是防止类似网络安全事件再次发生的关键措施,分析安全事件的根本原因,有针对性的提升安全意识。
  • 定期通报对可接受的信息系统使用政策的审查结果。没有检查,没有衡量,就没有效果。定期检查员工们的安全表现,检查计算设备的安全运行情况等等,并进行通报,奖励做的好的员工,带动良好的网络安全文化氛围。

将供应链纳入安全意识计划

现在,大多数组织都允许供应商、分销商和客户有限地访问他们的某些系统。供应商安全管理不当引起的一些安全漏洞,被网络犯罪分子使用获取访问权限的事件偶有发生,需要引起重视。因此,组织机构应鼓励或坚持其供应商和分销商应执行降低安全风险的计划,其中包括互相检查常规的安全控管措施和对供应链相关部分进行安全意识沟通。

进行年度安全意识审核

组织应进行年度审核,以向管理层保证安全意识计划在最大程度地降低网络安全风险和数据泄露风险方面的工作。审核范围应包括对以下内容的审查:

  • 违反可接受使用政策的情况。
  • 适当和不当访问系统的统计。
  • 员工发现和报告安全事件的情况。
  • 安全意识培训活动的参加情况。

唤醒员工安全意识是一件长期而琐碎的工作,不仅需要坚持不懈的努力,也需要良好的沟通技巧和沟通素材。昆明亭长朗然科技有限公司精心创作了大量的网络安全意识宣传培训作品,包括电子课件、动画教程和宣传图片,欢迎有兴趣、有需求的客户及合作伙伴联系我们,进行作品的预览和采购。

如何强化网络防御能力

admin

强化网络防御能力的缘由

近年来,各级党委政府大力推进网络安全和网络信息保护工作,根据人大执法检查情况看,《中华人民共和国网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》的实施情况不够理想,尽管相关部门做了不少普法教育工作、关停关闭了大量的违法网站和违法违规账号、消除了大量的违规信息、抓获和审理了大量的个人信息犯罪人及案件。

在国力如此强盛之际,维护网络安全方面的困难和问题何在呢?首先,很多地方政府和部门领导干部没有充分认识到网络安全的重要性,或者只是停留在口头重视,内心不当回事儿。其次,社会大众的网络安全意识不强,许多人缺乏网络安全意识,对网络安全“知其然不知其所以然”。

国家层面如此,国家的一个组成单位——公司也是如此。公司领导没能将网络安全工作列入重要议程,员工们的信息安全意识薄弱,进而导致网络安全风险不断凸显,信息安全事故频频发生。

在一次业界知名的信息安全研讨会上,得知不少中央级别的单位也感染了Wannacry勒索软件,昆明亭长朗然科技有限公司的网络安全政策研究员董志军与多家中央部委和中央企业的网络安全负责人谈论起Wannacry的教训。经过短暂的沟通,大家得出一致的结论:在对信息系统进行安全加固的同时,也应员工队伍的意识进行安全加固。

的确,不管是国家层面的捍卫国家网络空间主权,还是公司层面的应对勒索软件保护数据安全,组织都必须拥有足够的网络防御能力,组织内所有人员都拥有也必须担负起更好地管理我们的网络风险的责任,毕竟,所有人员都存取着一定量的信息数据。

当我们谈到“安全加固”人员队伍的时候,切记并非仅仅一个安全技术术语。我们需要力推,让全员都了解我们所面临的网络安全风险,进而使用安全常识和最佳实践,来更好地保护我们的信息。在理想的情况下,全员甚至全国公民都拥有了足够的网络防御能力,自然就不会有网络犯罪分子,网络空间也会更加太平清朗。

强化网络防御能力的现状

党和政府多年来一直在大力提倡网络安全,也一直开展多项网络安全宣传活动,试图让社会大众更加了解网络安全知识和掌握网络安全技能。这种出发点不错,但效果似乎并不理想。董志军表示:一方面,网络安全宣传活动如网络安全宣传周的重点只覆盖了少数几个主要城市,剩下几百城市那些活动都是有些迫不得已的,领导们走走过场,搭个台读读稿,找些群众拍拍照,秀一下就完工散场了。另一方面,方式方法也不够好,大街上贴海报、报刊上发文章、电视上播视频,在这碎片化和新媒体的传播时代,效果是肯定不行的啊。

坦率地说,这种老套的做法,很差劲,主要原因在于受众觉得置身事外,不去主动关心。再看宣传方,不少地方的党和政府搞针对社会大众的网络安全宣教活动,在衡量绩效方面,往往拿印刷品数量,展板数量,投入宣教人员数目来说事儿,这显然不大准确和合适。

于是,在国家层面提升国民的网络安全素养,加固网络安全意识,虽然是个大盘子,但是绝不会成为某个官员的首要工作,这项小工作做不好似乎也是合情合理的。然而,对于一家公司来讲,对信息安全管理负责人,特别是员工信息安全教育培训负责人,这就是重要工作了。如何做才有效呢?昆明亭长朗然公司董志军说:挂展板、推漫画、发期刊、放视频等手法不是没有效果,而是效果取决于宣传物的设计水准以及受众的参与度。在文化市场上,我们可以看到,同样是作品,有的就很受大众欢迎,有的只能被少数人喜欢,有的则无人问津。有的人能被动参与学习,有的人可以自发学习,问题是能自发自学的人是少之又少。

考试是初级也是必须的手段

管理大师彼得杜拉克说过:没有衡量,就没有管理。只有我们能够衡量人员队伍的“安全加固”工作成效,方才是找到了正确的方法。考试是最常用的衡量手段,虽然常被人诟病,但经过千来年被证明有效且还算公平。对员工进行信息安全水平测试,是初级的,也是必须的网络安全防御能力提升手段。职场人士都是经过枪林弹雨考过来的,职场中再考一考,也是不错的。要通过考试,总得要学习吧?这就给员工以学习信息安全的压力和动力。同时,为了避免应试教育,我们可以限定时间线上答题,使用海量题目,从中随机挑选,以减少作弊的情况。同时可以考虑增加线下的信息安全心得论述,以启发学员对信息安全的思考。

更进一步增强防御实力的招数

尽管考试能促进受众学习网络安全的动力,但它的主攻方向还是检验成效,缺乏系统的网络安全知识,所以仅靠考试不够全面。采取基于线上学习的信息安全意识培训计划,是一个较为完备的网络防御能力提升方案。要发起一个大型的安全意识培训计划,线上学习无疑是最为经济和有效的了,因为线上学习不受时空限制,学员可以随时随地参加线上学习和参与教学互动。在课程方面可以尽可能全面,要避免枯燥乏味,普通的纯知识讲解式教程可能会让学员打盹,使用案例式、情景式的培训最为有效。通常来讲,需要由高层领导定下了基调,可以请CEO、CIO或CSO录制一些讲话视频,以示对信息安全的重视,同时提出对线上学习的要求。一个重点是,必须要求各级领导层参加这个培训和练习,领导支持并以身作则地提升网络安全素养,下属们才会效仿,带来的人员“安全加固”回报是巨大的。

创新玩儿法带来防御力提升高潮

我们发现那些进行创新网络安全训练的组织,往往在各种网络安全赛事中取胜,这不仅仅限于网络安全技术方面的挑战,而且包括针对全员的安全水平测试情况。董志军说:这些创新玩儿法包括但并不限于模拟网络钓鱼、互动式的教学游戏,以及基于网络安全事件的演习等等。因为在教育培训方面,“体验式”和“参与式”的效果是公认最好的,也是效果最持久的。如果我们模拟一些内部和外部的网络安全威胁,利用一些成熟的网络钓鱼架构,发起模拟的鱼叉式网络钓鱼事件,那会大大增强网络安全培养活动的趣味性,积极调动全体人员的积极性。创新玩儿法就是在这些平台上,开动大脑,基于现实,创造一个个安全场景,并通过安全场景,来达成互动式教育,在互动式教育中成长变强的过程。记住,安全团队与全体职员是一种伙伴关系,在模拟、游戏和演习等活动过程中要多鼓励、多反思,而不是批评责怪。即使用户在网络安全方面表现非常糟糕,也应该不忘使用幽默的方式,营造开心和轻松的氛围。

学以致用通过检查来确保执行

当人们知晓了某个道理,拥有了某种能力,就应该使用起来,并不断强化。强化网络安全防御能力的过程也是防止弱化的过程,我们的经验是每月或季度实施一次全面的办公室安全检查计划,全面检查包括高阶领导们在内的所有员工的办公桌安全。看一看是否有随意放置重要信息资产,是否有违反计算机安全政策要求离开座位时未锁屏,网络安全软件工具是否都启用并且获得了更新,打印机或垃圾桶中是否有敏感文件等。安全大检查的报告及时呈给董事会及各部门高管,这样,我们就知道有哪些高价值高风险的信息,有哪些网络安全防范方面的弱点,有哪些需要改进的地方。同时,让受检查的员工们知道需要保护什么信息,以及如何保护这些信息。对此,董志军补充说:其实,这也就是典型的办公桌清洁政策,Clean Desk Policy,当然,重点是在是否获得强制执行。

强化防御实力活动的教训和反思

您可以给受众发一份信息安全手册,让其去阅读。但是不要指望人们能花足够的时间在上面,更不要期望人们能理解其中的内容,并去自觉地遵守。这不是文化品缺乏的年代,而相反,是信息过度的时代。要让员工们了解网络安全的利害,必须强制参加学习以提升网络安全防御能力。如果安全部门的力量不够强势,那必须得借助高层的力量来解决。发起一项宣教行动容易,要衡量效果,并不断改进,就需要很多跟进的工作。

记住,网络安全人力加固不是一朝一夕的事情,这是一个不间断的养育过程。综合使用安全测试、线上培训、网络钓鱼、互动游戏和情景式演习,是增强网络安全防御实力的最佳做法,您还应该至少每年进行一次。将月度或季度的桌面安全检查融入到员工们的日常工作之中,是学以致用、并不断保持这种网络安全防御力的必要措施。

更多的关于网络防御能力的补充

我们不奢望全民或全员都像网络安全专业人员一样,拥有强大的防御能力,但至少为保障其工作所需的最少的防御能力还是要有的。还需要用户知晓,如果发生网络安全事故,而自己没有能力应对,则应及时打电话给正确的联系人,以寻求帮助。话说回来,知道什么时候提前打电话给谁,在坏事发生之前,能够报告给安全应急响应团队,也是网络安全防御能力的一部分。

在未来的几年里,所有的党和政府官员,全体国民大众,以及公司职员都必须知道,为什么要重视网络安全,该怎么在工作中实践网络安全。这一前提是“安全加固”人员队伍,让人们拥有足够的网络防御能力。

提升全体国民的网络安全意识,强化客户员工的信息安全防御能力,是昆明亭长朗然科技有限公司的专业工作,我们全力以赴,以求做到最好。如果您有这方面的需求或兴趣,欢迎您联系我们,洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898