《对加强企业网络安全意识教育的思考.docx》由会员分享,可在线阅读,更多相关《对加强企业网络安全意识教育的思考.docx(6页珍藏版)》请在第一文库网上搜索。
1、对加强企业网络安全意识教育的思考目录编者按1前言11 .加快网络安全意识标准的制定22 .加强网络安全意识教育基地建设23 .如何进行网络安全意识培训34 .健全基于行业岗位的网络安全教育知识体系45 .部署全员网络安全意识教育提升与社工演练上报系统46 .完善企业网络安全事件上报机制57 .加强国家网络安全宣传周等网络安全意识的宣传教育5编者按必须有组织有体系地持续完善该项工作,提高员工的安全防范意识和技能,防御网络钓鱼等攻击,这样才能有效构建起网络安全的人民防火墙。1.刖百网络攻击的产业化、市场化、云犯罪、犯罪即服务、共享犯罪、内部共谋等趋势,让更多善于利用“人的漏洞”的攻击者“如虎添翼”
2、。在近几年开展的网络攻防演练中,越来越多成功入侵企业内网的攻击采取了网络钓鱼、供应链预置等社会工程攻击。一些企业往往忽视全员网络安全意识教育的提升与演练,在网络安全意识培训方面投入少,使得人员成为企业网络安全防护体系中的巨大短板。同时,社工欺骗的方式不断翻新,人员的网络安全意识能力提升却很难量化评价,仅仅通过简单的基本知识培训,很难形成敏锐持久有效的安全风险意识。如何有效提高人员网络安全意识、防御社工及网络诈骗风险、建立企业网络空间安全全员防火墙,一直是网络安全行业的难题。从企业实践出发,建议做好以下工作。1 .加快网络安全意识标准的制定开展网络安全意识教育提升工作必须标准先行,才能做到有“标
3、”可依、规范执行。美国作为全球网络最为发达的国家,从20世纪开始就陆续建立了一系列网络安全意识培训评价标准和规范。国内近年出台的网络安全法律规范均对网络安全意识教育考核有明确要求,但在如何落实国家或行业对网络安全意识教育的内容、要求和测评方法等方面仍然探索不足,缺乏一套全面的国家或行业标准。2021年,由北京红山瑞达科技有限公司牵头承担的网络安全技术网络安全意识评价指标体系标准研究项目,在全国信息安全标准化技术委员会WG7会议通过验收。该标准研究项目制定了单位网络安全意识风险的量化评价指标体系和计算方法,从评价单位或组织人员群体网络安全意识风险出发,设计了两级网络安全意识指标体系,设计了每个指
4、标的数值测量和标度方法。每个一级指标和二级指标都有其指标权重。根据行业、地域、评价目标、评价活动导向等不同,可直接调整一级或二级指标权重。后续,相关单位可以在此基础上加快推动网络安全意识全员教育相关的国家标准、行业标准的评价方法、知识体系、工作指南、最佳实践等标准的制定工作。2 .加强网络安全意识教育基地建设2016年,“两会”正式通过了关于在全国范围建设“国家网络安全青少年科普基地”的建议议案。此后,全国先后建立了北京网络安全教育体验基地(国家科技馆)、福州网络安全科普基地、郑州网络安全科技馆等科普基地。这些科普基地面向广大青少年、学生群体及家长,运用现代化技术手段、通过丰富的视听内容,科普
5、互联网的原理、发展及安全知识,极大地提高了广大青少年的网络安全意识。针对领导干部、涉密人员等特殊群体,部分省市先后建成了几十个保密教育实训平台,通过体验式、互动式演示教学,直观生动地展示网络窃密方式和危害,在保密教育转型升级的道路上迈出了重要一步,大大提升了特殊人员网络安全保密意识。这些基地和实训平台的建设,突出了网络安全意识教育的责任主体,可以有效支撑国家网络安全宣传、普法、科普等任务,推进网络安全进机关、进农村、进社区、进学校、进企业、进军营,有效增强全体人员的网络安全意识。3 .如何进行网络安全意识培训企业数据泄露,不仅由网络不法分子入侵引起的,还有企业员工网络安全意识的缺乏。网络安全是
6、企业发展的关键,而员工的安全意识往往容易被忽视,重要系统登录密码使用弱口令、随意点击不明链接等行为给网络入侵者指明了方向。员工网络安全意识薄弱正在成为企业面临的最大风险,做好员工的网络安全意识培养,是非常重要的。那么,企业该如何开展网络安全意识培训?(1)要让员工了解网络安全的重要性,例如分析漠视信息安全的严重后果、不重视将会出现哪些问题、会受到怎样的处罚,强调网络安全意识的重要程度,(2)公司应制定相关网络安全管理制度,在新员工入职阶段对其进行培训,或定期开展内部培训活动,传授该如何避免访问钓鱼网站、不良信息网站等应该采取的防范措施。安全技术人员可不定时向内部人员发送钓鱼邮件,进行模拟真实演
7、练,强化员工的网络安全意识;(3)培训使用操作系统的规范,员工登录相关重要系统,一定要有操作日志,以便于出现问题时安全人员能够快速查找原因;(4)相关网络攻击事件的发生和攻击手段的变化,应及时在公司内部进行传播。通过真实的安全事件,反映当前安全形势的极端恶化,让员工更加了解实际网络安全变化,从而规避这些网络风险;(5)网络安全管理人员也需要做好自身技术的提升,有必要时可以就网络安全意识组织员工培训,制定网络安全管理制度,从内部贯彻开来。良好的网络安全意识教育能够全面提升各个岗位人员的安全意识与安全防护能力,调动全体员工积极参与安全意识和专业技术提升工作中来,培养网络安全习惯,才能有效地防范网络
8、攻击。多数企业面对培训没有经验不知从何下手,该如何解决?(1)公司网络安全管理人员开展培训工作,对内部员工进行演练和宣传,加强网络安全意识;(2)找专业网络安全公司进行培训指导,具有针对性并且有完整的培训体系,根据客户的培训需求定制培训课件,以满足客户不同部门、不同岗位人员的信息安全培训需求,能够更好地发现企业的问题所在,结合企业网络安全现状给出合理的建议。网络安全不单单是维护系统那么简单,还需要人员的配合,以安全意识为前提,才能更好地防范外来攻击。安全意识同等重要,应防微杜渐,做到有备无患。4 .健全基于行业岗位的网络安全教育知识体系由于各地区、各行业的信息化程度、管理体制和产业重点不同,因
9、此,各个地区和行业的全员网络安全教育内容,其考核重点也不一样,需要根据实际情况健全不同地区、不同行业、不同岗位类别的网络安全教育知识体系。通常情况下,网络安全知识体系自下而上逐渐由通识教育转向精英教育。例如,普通员工仅需打好网络安全意识基础,了解并掌握一般性网络安全防范知识即可;项目开发人员需要掌握网络安全工程领域的安全知识;企业高管需要强化网络安全风险管理、网络安全战略和策略制定等方面的专门知识。这样才能体现出针对性更强、效果更好的培训效果。5 .部署全员网络安全意识教育提升与社工演练上报系统人员漏洞是企业最危险的漏洞(很容易被攻击者利用)和最容易修复的漏洞(不需要昂贵的技术产品和顶尖技术人
10、才),但也是最难修复的漏洞(不被重视、缺乏预算,每个员工都是一个社工攻击面)。因此,开发并部署低成本、全员覆盖的网络安全意识教育与社工演练上报系统是合适并具有性价比的解决方案。红山瑞达与国家互联网应急中心、北京理工大学等开展产学研合作,联合研制出了国内第一套全员网络安全意识教育提升与社工演练上报系统,其关键技术和应用填补了国内空白。该系统具有网络安全文化宣传、教育考试、钓鱼演练、量化评估、事件上报等功能,能够支撑网络安全宣传周、保密教育、大型网络攻防演练等网络安全活动。同时,系统还能够对接企业邮箱账号、企业微信、钉钉等,连接全员认证和身份管理系统,支持SaaS部署或私有化部署。该系统的功能和应
11、用场景包括但不限于防网络钓鱼模拟演练、网络安全保密宣传教育、网络安全意识量化评价、网络安全保密在线文化宣传等场景。6 .完善企业网络安全事件上报机制在企业内部网络安全事件上报机制建设及运营上,我国企事业单位和网络安全企业远远落后于国外。例如,国外从事网络安全意识教育与钓鱼邮件模拟上市公司KnowBe4,是全球最大的安全意识培训和模拟网络钓鱼平台的提供商,累计被全球44,000多家组织使用。该公司的钓鱼模拟与上报数据表明,威胁模拟训练是最为有效的社工威胁防御方式,上报是最有效的钓鱼邮件防御手段之一。国内专业从事网络钓鱼模拟与上报处置的系统与服务的提供商较少,企业内部的钓鱼模拟上报运营机制刚刚开始
12、,这方面与国外差距较大。7 .加强国家网络安全宣传周等网络安全意识的宣传教育加强员工网络安全法规和网络安全知识技能普及宣传教育,结合热点事件和法律法规,围绕重点案例、个人信息保护、网络安全风险及应对,制作宣传教育材料;定期提供网络防诈骗、网络安全普及、网络安全普法等宣传材料,定时定量做好公众号、抖音、微博等社交平台内容维护,建成全员网络安全意识教育平台;将网络安全宣传教育活动列入重要议事日程,认真制定活动方案,加大投入力度,调动各个单位积极性,在国家网络安全宣传周期间集中组织开展各类网络安全宣传教育活动,突出宣传实效。充分利用各类媒体平台,加强活动宣传报道,制作播出专题节目,开展知识竞赛、主题
13、晚会等,普及网络安全防护技能,提升网络安全意识。总之,企业网络安全意识提升工作难度较大,涉及文化宣传、教育培训、攻防对抗等不同工作,也涉及办公室、保密、人力、IT、风控等众多部门,面临工作量大、工作琐碎繁杂、不容易出成绩,供应商参差不齐等众多问题。但是面对网络安全最大的、最顽固的人因漏洞,必须有组织有体系地持续完善该项工作,提高员工的安全防范意识和技能,防御网络钓鱼等攻击,这样才能有第5页共6页全活动。同时,系统还能够对接企业邮箱账号、企业微信、钉钉等,连接全员认证和身份管理系统,支持SaaS部署或私有化部署。该系统的功能和应用场景包括但不限于防网络钓鱼模拟演练、网络安全保密宣传教育、网络安全
14、意识量化评价、网络安全保密在线文化宣传等场景。6 .完善企业网络安全事件上报机制在企业内部网络安全事件上报机制建设及运营上,我国企事业单位和网络安全企业远远落后于国外。例如,国外从事网络安全意识教育与钓鱼邮件模拟上市公司KnowBe4,是全球最大的安全意识培训和模拟网络钓鱼平台的提供商,累计被全球44,000多家组织使用。该公司的钓鱼模拟与上报数据表明,威胁模拟训练是最为有效的社工威胁防御方式,上报是最有效的钓鱼邮件防御手段之一。国内专业从事网络钓鱼模拟与上报处置的系统与服务的提供商较少,企业内部的钓鱼模拟上报运营机制刚刚开始,这方面与国外差距较大。7 .加强国家网络安全宣传周等网络安全意识的
15、宣传教育加强员工网络安全法规和网络安全知识技能普及宣传教育,结合热点事件和法律法规,围绕重点案例、个人信息保护、网络安全风险及应对,制作宣传教育材料;定期提供网络防诈骗、网络安全普及、网络安全普法等宣传材料,定时定量做好公众号、抖音、微博等社交平台内容维护,建成全员网络安全意识教育平台;将网络安全宣传教育活动列入重要议事日程,认真制定活动方案,加大投入力度,调动各个单位积极性,在国家网络安全宣传周期间集中组织开展各类网络安全宣传教育活动,突出宣传实效。充分利用各类媒体平台,加强活动宣传报道,制作播出专题节目,开展知识竞赛、主题晚会等,普及网络安全防护技能,提升网络安全意识。总之,企业网络安全意识提升工作难度较大,涉及文化宣传、教育培训、攻防对抗等不同工作,也涉及办公室、保密、人力、IT、风控等众多部门,面临工作量大、工作琐碎繁杂、不容易出成绩,供应商参差不齐等众多问题。但是面对网络安全最大的、最顽固的人因漏洞,必须有组织有体系地持续完善该项工作,提高员工的安全防范意识和技能,防御网络钓鱼