如何建立网络安全文化

根据网安科技的一项调查,中央国资企业仅将其IT预算的3.2%用于网络安全。对此,昆明亭长朗然科技有限公司网络安全专员董志军感叹道:这点支出与全球范围内的跨国企业13%的基准相比,显得多么的微不足道。

不可否认的是,很多中央企业担负着重要的政治任务,这就造成可能在非经济领域的事情上花了很多钱,因此尽管有庞大的开支,在网络安全方面,央企仍然会觉得处处都是威胁,尽管有如《网络安全法》、等级保护等法规驱动力来促进网络安全工作的开展,但是“巧妇难以无米之炊”,那紧张的预算,想买高端的设备和服务,是不可能的。

《网络安全法》实施几年来,相关细则不断出台,给互联网、金融等行业带来了巨大变化,许多公司正在不断加强对网络安全的关注和投入,但是这种情况似乎并没有在央企大量发生。为什么央企不带好头儿严格遵循网络安全相关的法律法规呢?要说他们不怕惩罚那是不可能的,要说没有资源那也说不过去,有国家做后盾的都是财大气粗的,而且有大量的服务商盯着看着。

一位常年与央企网络安全负责人打交道的超级销售称:“客户知道他们在信息安全方面的支出低于其发达国家同行的支出,但是他们也知道中国的国情,即使争取到了可观的网络安全预算,也很快会被领导一句话,就挪做他用。”

这就是央企国企的企业文化的一部分,网络安全负责人无奈也没有办法。不过,如果硬着头皮要上,那最好也是从文化入手,即少花钱买“物品”,多用“人力”,以建立网络安全文化。网络安全领域传统的观念就是安装硬件设备,安全人员喜欢这样做,因为外行的领导们不懂,当然,这闹出过很多笑话,比如一套软件一张光盘一千块领导觉得贵,把同样的软件装进工控机十万块领导却觉得值。不过近些年来,领导们越来越聪明了,他们不再迷信机器设备这些硬件,而是更注重人的因素。这也是一个潮流和趋势,设备设施是为人服务的,也要人来使用的,安全亦是如此,需要与人互动起来,才是真的安全。

建立企业网络安全文化,通过内部沟通,让人人懂安全,是最经济实惠的“秀”安全工作的方法,领导们可能不喜欢去机房看那些硬件设备,但一定会喜欢看到职员们展示出来的安全风貌,这就是领导们喜欢玩儿的,安全文化的体现。网络安全文化的体现会在哪些方面呢?董志军举出如下几个例子。

密码或口令的保护,密码出入各类信息系统的钥匙,是网络安全防御体系的重要一环,央企职员们可以使用容易创建、容易记忆、复杂而强大的密码来帮助提高网络安全性。这需要网络安全团队强化宣传,以激励职员们保持更健康的密码习惯。在职员们为领导们演示工作时,输入复杂的密码登录系统,与输入简单的密码,或者看着屏幕旁边的小纸片上记录的密码,给领导的印象会截然相反。

机密与隐私的保护,领导到办公区走走,看到有的员工不在座位上,但涉密信息却被摆放在桌面,有的员工在微信中随意披露工作内容,有的员工将工作文件上传到互联网云盘上,领导肯定会有些担心。与之相比,领导看到不在座位的员工桌面仍然很整洁,电脑屏幕也被锁定起来,其他的员工在离开座位时也收拾好桌面,并习惯性地锁起重要物品和电脑桌面。即使领导嘴上不说,心里也肯定会有自己的认识和看法。

恶意软件的感染,从来未感染过或听过受到恶意软件感染的机构,和感染了勒索软件的机构,给领导的印象绝对是截然不同的,即使领导是个网络安全方面的技术外行,但是显然,人们会有一个常识,电脑文件被勒索软件加密,绝不是偶然的因素,而无疑体现出网络安全综合水平的落后。

通常上述几个例子,相信不难理解网络安全文化的重要性,网络安全文化并不是虚无的东西,也并不是表面的东西,而是实实在在的网络安全治理管理体系的组成部分。文化的养成源自行为习惯的塑造,而行为习惯则源自于对网络安全的积极和正确的认识。如果人们不认为安装安全补丁有什么用处、甚至觉得是麻烦事儿的话,他们就不会及时安装软件的安全补丁,系统和网络的安全漏洞就会一直存在,一旦遭遇网络安全威胁,风险便随之而来。

不要以为通过扫描网络漏洞、识别和监控网络安全入侵行为,建立网络安全事件快速响应计划等等措施就可以替代掉对职员的安全文化熏陶工作,网络安全是一项全民的工作,针对网络安全威胁的战争亦是如此,不能仅仅依靠专业团队,全民用网络,全民要防范。

借助新型的安全意识培训产品,央企网络安全负责人可以快速、轻松地部署以培训员工安全意识的在线网络教育课程,内容包括安全意识基础和安全意识技术。在线网络教育系统通常还使管理人员下载报告以识别已完成课程和未能及时完成课程的职员。

当然,网络安全文化的建立并非一两次安全意识培训活动就可以达成,要不断地放在实践中去检验,网络安全现场审核与检查、人员网络安全意识访谈、模拟网络钓鱼攻击等等活动,都是花很少钱,却能同时衡量和促进网络安全文化建设的好方法和好工具。

确保网络安全法规与政策的落实,需要拿得出的东西来激励人们学安全、行安全。创建网络安全文化不能虎头蛇尾,要坚持不懈,定期进行全员安全意识刷新是必不可少的工作。

为帮助各类型企业机构的网络安全负责人员,昆明亭长朗然科技有限公司推出了网络安全意识培训与文化宣传服务及课程内容资源,欢迎联系我们,洽谈采购与合作事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

网络安全勒索事故案例及教训

对于刚开始业务的、要拓展业务或者扩张业务企业来说,要忙碌的事务非常多,不过,网络安全问题是不容忽视的。对于越来越依赖信息系统,业务数据流就是财务资金流的现代企业来讲,如果遭遇严重的网络安全事故,那么后果往往是致命的,足以令企业的核心业务中断,甚至破产倒闭。对此,昆明亭长朗然科技有限公司网络安全专员董志军补充说:近几年,总是有一些IT人员通过网络联系我们,表示其公司的企业资源管理系统被勒索软件锁住,导致重要数据被网络不法分子加密,业务无法开展。除了对客户的遭遇表示同情,我们真的帮不上什么忙去解密或恢复数据。

有人说,不是有方案可以恢复数据吗?我不否认存在侥幸的成功个案。但是总体来讲,在技术方面,声称能够帮上忙,清除勒索病毒并恢复数据的,和勒索分子一样不靠谱。因为大部分勒索软件使用的都是基于公私钥的加密系统,这种加密系统使用的成本很低,带来的安全性却很高,几乎是“无懈可击”的。也就是说,在没有解密密钥的情况之下,想靠猜测或破解,可能需要成千上万年的时间和算力,受害公司当然等不到那一天。同时,现在的固态硬盘技术不同于以往的磁盘技术,正常文件被加密后,一旦原始文件被删除,空出的存储单元很快会被操作系统填充上空数据,想使用恢复软件找回原始文件,也是希望渺茫,也可以说几乎是不可能的。从原理上了解了这些,人们就会知晓“未雨绸缪”,定期进行数据备份的必要性。

当然,网络安全工作不仅仅是数据备份,也不仅仅是防范勒索病毒,那么该采取哪些步骤来构建网络安全计划呢?如果预算紧张、资源有限,消极的反应就是这工作没法做,积极的方法是克服困难,将有限的资源最大化利用,那么,我们该做哪些核心的关键性网络安全工作呢?

首先,是最基本的措施,保持系统和软件的更新,如黑客、病毒等网络安全威胁利用的往往就是软件的漏洞。现代的操作系统都支持及时修复这些漏洞,及时“打补丁”、更新应用,虽然这些操作过程会耽误少许时间,但是花费这些时间却是很值得的,因为及时修复安全漏洞,往往能够预防80%的黑客攻击和病毒感染。

其次,我们推荐的措施是在身份认证方面进行加强,很多新的系统、软件和应用都支持多重身份验证,这个安全特性几乎都是免费的,启用该功能,稍稍带来一点麻烦(要安装免费的应用、进行初始配置、在登录时输入代码),却带来强大的安全保护。当然,密码策略也不应过于简单,早期很多弱密码,包括空密码、默认密码、常见密码等等,都是给网络不法分子送的大礼。近年来,重复使用同一个密码,被“撞库党”瞄上并非法利用的情形之多,也是令人震惊的。

再次,由于员工是组织机构的第一道防线,因此安全意识培训具有最高的投资回报率。特别是近几年,针对人员弱点的社会工程学攻击、网络钓鱼、电信诈骗等成泛滥之灾。创建某种形式的教育计划,让员工学习、吸收并参与实践,将有助于建立网络安全防御方面的协同效应。同时,在工作中养成良好的网络安全习惯将有助于扩展到个人使用,以帮助他们在生活的各个方面更加安全。安全意识培训是较低预算的,摊到个人头上的费用与一杯咖啡大致相同。组织机构可以从基本的安全意识培训开始,其中包括交互式的培训模块、在线测试和简单的报告。

最后,加强信息安全巡检,包括工作环境物理安全(比如防窃贼尾随)、桌面清洁(比如电脑锁屏)、计算设备安全检查(比如防病毒情况和软件更新情况等),信息安全巡检是一项管理措施,只需投入一些人力定期进行,不需要花多少钱,却可以帮助员工们养成良好的职场信息安全及保密工作行为习惯。

当然,还有一些信息安全措施,比如鼓励员工们发现及报告可疑的安全事件,在公司范围内进行表彰在信息安全方面表现积极的员工,可以激发员工们的信息安全意识和觉悟,推动公司内部积极的信息安全文化建设。这项措施花不了什么钱,却能带来很大的影响力,也是管理层能够看得到的,能够很容易理解的网络安全管理工作。

对导致严重后果的信息安全事故进行深入分析,从中汲取教训是防范事故发生(再发)的重要方法。我们会不断搜集整理在业界发生的安全事故案例,以便给您参考,让我们多作思考和辨析其根本原因,汲取经验教训。

这些信息安全事故案例只供参考之用,由于一些资料来源并非我们亲历亲见,因此在此声明我们不保证信息安全事故案例的真实性和可靠性,亦不会为所提供资料不正确、内容上的错误或遗漏,负上任何法律责任。但是,从宏观上讲,这些信息安全事故的发生是毫不意外的。因此,我们的目的是不要让悲剧再重演,而不是追查事实真相和追究相关人员责任,毕竟作为专业人员,我们做不了那么多,那或许是取证、鉴定和司法机关的事情。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com