加強(qiáng)員工安全意識(shí)培訓(xùn)的方法

■ 云南 張銳

編者按：企業(yè)內(nèi)部威脅已成為企業(yè)面臨的最重要隱患之一，因此加強(qiáng)員工安全意識(shí)培訓(xùn)已變得迫在眉睫。本文探討加強(qiáng)這一方面的5 種方法。

InfoScales的報(bào)告顯示，成功實(shí)施的網(wǎng)絡(luò)攻擊中有95%的是人為失誤造成的，其中最明顯的是公司員工遭遇網(wǎng)絡(luò)釣魚詐騙。很多企業(yè)的網(wǎng)絡(luò)安全工作主要側(cè)重于對(duì)安全技術(shù)和產(chǎn)品的投入，來防止技術(shù)性的數(shù)據(jù)泄漏、黑客滲透和系統(tǒng)入侵。

但他們往往忽視了人為因素，這也是攻擊者所利用的重要因素。

因此，對(duì)企業(yè)員工的安全意識(shí)培訓(xùn)勢(shì)在必行，以下5種方式可以幫助企業(yè)來實(shí)現(xiàn)這一目標(biāo)。

1.重點(diǎn)防范網(wǎng)絡(luò)釣魚攻擊

無論企業(yè)的防火墻和電子郵件網(wǎng)關(guān)等安全防御體系有多么強(qiáng)大，如果遇到毫無戒心的員工點(diǎn)擊到了電子郵件中的惡意鏈接并毫不知情地輸入了憑據(jù)，以上措施都將形同虛設(shè)。因此，加強(qiáng)對(duì)員工這方面的培訓(xùn)，使其有能力區(qū)分合法或可疑的電子郵件，例如來自“領(lǐng)導(dǎo)”的電話，員工的“工資單”等，可以更好地使員工具備處理突發(fā)事件的能力。

第三方提供的技術(shù)解決方案，可以使員工將可疑的電子郵件直接報(bào)告給公司專門應(yīng)對(duì)釣魚郵件的安全系統(tǒng)，以供內(nèi)部安全人員進(jìn)行審查。這樣即便員工中招，企業(yè)的安全運(yùn)營部門也可以立即將其隔離并查殺。

通過全面的安全培訓(xùn)，員工“檢舉”可疑電子郵件就可以大大降低因偶然性帶來的風(fēng)險(xiǎn)。

2.在信息處理方面保持合規(guī)

如果員工更好地掌握了處理敏感信息的方法，企業(yè)自然會(huì)更符合相關(guān)法律法規(guī)的要求，以避免因違規(guī)而帶來的法律風(fēng)險(xiǎn)。例如網(wǎng)絡(luò)安全法、相關(guān)行業(yè)網(wǎng)絡(luò)安全規(guī)章制度等。跨國企業(yè)還會(huì)涉及當(dāng)?shù)赜嘘P(guān)數(shù)據(jù)保護(hù)方面的法規(guī)，或是企業(yè)軟件開發(fā)人員和信息安全人員沒有意識(shí)到阻止惡意流量而導(dǎo)致DDoS 攻擊。

要讓員工的安全意識(shí)形成一種企業(yè)文化，例如，員工不能通過即時(shí)通訊軟件或其他不安全的渠道非正式地共享企業(yè)敏感信息，IT 專業(yè)人員要在法律框架之下設(shè)計(jì)和管理IT 系統(tǒng)等。

3.加強(qiáng)物理邊界安全

安全涉及的方面非常繁多，并且遵循“木桶理論”。不管安全體系多么強(qiáng)大，如果存在某一個(gè)很明顯的短板被攻擊者利用，那么一切安全措施都是徒勞的。

例如，盡管存在人臉識(shí)別或指紋識(shí)別的電子門禁，但社會(huì)工程攻擊仍然是企業(yè)安全管理上面臨的重要威脅。如果只是擺上設(shè)備而疏于管理，陌生人尾隨獲得授權(quán)的人員進(jìn)入辦公室，就很輕易地突破了限制。

這只是一個(gè)很常見且很低級(jí)的安全管理漏洞，像其他類似的安全問題還有很多。如果陌生人違規(guī)進(jìn)入敏感場(chǎng)所，然后對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行物理訪問來竊取數(shù)據(jù)，又或者是惡意競(jìng)爭(zhēng)者偷偷溜進(jìn)敏感場(chǎng)所進(jìn)行偷拍該怎么辦？

為避免發(fā)生這些情況，必須制定嚴(yán)格的企業(yè)政策以及安全培訓(xùn)，以確保安全意識(shí)培訓(xùn)囊括整個(gè)公司范圍內(nèi)所有員工，而不僅僅是重要崗位員工。

4.減少違規(guī)和負(fù)面因素帶來的風(fēng)險(xiǎn)

受過良好教育并且具有較強(qiáng)安全意識(shí)的員工可以很好地防范社會(huì)工程攻擊，從而避免企業(yè)數(shù)據(jù)泄露事件的發(fā)生。僅此一項(xiàng)就可以保護(hù)企業(yè)寶貴的資產(chǎn)，盡可能地減少知識(shí)產(chǎn)權(quán)的泄漏，并從整體上保護(hù)企業(yè)品牌聲譽(yù)。而這些積極措施也能夠更好地吸引投資者并贏得客戶的信任。相反，遭遇數(shù)據(jù)泄露問題的企業(yè)在吸引新客戶方面也將遇到很多麻煩。

5.保護(hù)員工的個(gè)人信息

不僅僅是保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)，員工個(gè)人信息也是企業(yè)應(yīng)重點(diǎn)保護(hù)的對(duì)象。要知道，員工個(gè)人信息泄露同樣會(huì)給企業(yè)帶來嚴(yán)重?fù)p失。因此，增強(qiáng)員工安全意識(shí)也應(yīng)包括對(duì)員工個(gè)人信息的保護(hù)，也證明了保護(hù)員工自身利益同樣能讓企業(yè)受益。

總而言之，針對(duì)員工的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)應(yīng)當(dāng)落到實(shí)處，而不是停留在理論層面，這樣的投入和付出必將使企業(yè)獲得更大的收益。