安全意识提升攻略.docVIP

安全意识提升攻略 　　提升安全意识看似简单，不过相信大家在实践后就会发现并非易事。其不仅需要资源等客观条件准备到位，对于人员的培训同样必不可少。因此企业在进行安全意识培训时，可能会遇到复杂度极高、成本不菲等众多问题。不过，通过科学的方法，这些困难或许都能得到有效解决。 　　无论大企业还是小公司，曾经都可能有过提升员工安全意识的计划。尽管项目结果未必完美无缺，但其中大部分仍会有收效。从本质上讲，保证项目获得成功的关键在于，企业必须真正理解自身的目标规划。 　　在这一课题的研究过程中，CSO网站曾对众多从业专家以及企业高管进行了调查。 　　一般而言，企业高管会将信息安全与业务视为两项独立的事务，而且尽管这种观点现在发生了一定转变，但大多数管理者仍然很难将安全防护纳入整体业务流程。 　　虽然对于那些已经将安全与业务联系起来的高管们来说，许可更新、支持与服务协议、防火墙以及其他相关安全设备已经成为其必须深入了解的安全组件。但即便如此，对于管理者而言，安全意识培训似乎更像是一种整体安全培训的扩展与延伸，这类似于需要单独拨款的项目往往得不到管理者的认可。 　　不可否认的是，伴随一些重大信息安全事件的发生，一些企业管理层开始意识到事态的严重性，很多企业在安全预算方面也确实增加了不少，但大部分企业还没有意识到这一点。 　　安全意识培训是否必要？ 　　安全意识培训的实际价值在专家眼中同样存在争议。一部分人认为很有必要，不过也有不少专家觉得这纯粹是在浪费时间和资源。 　　CSO网站专栏作家Dave Aitel这样论述他的安全意识培训无用观点：“与其投入时间、金钱与人力资源尝试向员工传达安全意识，企业还不如将注意力高度集中在业务环境保护以及网络隔离上。这才是更科学的企业管理哲学。员工应该可以点击任何链接或者打开任何附件，而这些都不应该给企业带来安全风险。” 　　“由于员工有可能这样做，因此我们不妨以此为核心作好规划。这是CSO、CISO或者IT安全经理的本职工作，即确保威胁在接触到员工之前就受到扼止。如果这些手段未能奏效，那么网络隔离机制也必须有能力控制感染的进一步扩散。”Aitel说。 　　不过另一位专栏作家Ira Winkler则从反面提出了不同的见解：“我们要关注的是，安全意识培训所需要的成本是否低于由此可能带来的实际损失。举例来说，每一次成功的钓鱼攻击都会造成相应的经济损失，如果大家能够通过培训将钓鱼攻击成功的机率降低50%、那就相当于降低了50%的潜在损失。” 　　“有观点指出，科学有效的安全意识培训能够将攻击活动的成功率降低90%甚至95%。很明显，这足以证明安全投入的物有所值，特别是在大多数安全意识培训方案甚至并不需要花费多少资金的前提之下。”Winkler表示。 　　安全意识培训存在的意义并不是为了取代传统的网络安全设备或者管理策略。同样，它也不是为了替代紧急事件的响应与处理机制。事实上，安全意识培训根本也起不到这样的作用。安全意识培训的惟一作用在于提高业务流程的恢复成功率，并在问题发生时显著缩短响应时间。 　　虽然通过培训能够使员工轻松识别并上报钓鱼攻击或者邮件恶意附件，但这并不代表此类攻击会被彻底消灭。其更多作用是帮助安全团队的技术人员更快发现问题，而这最终很可能成为决定事故到底是一场虚惊还是一场灾难的关键性因素。 　　从零开始分步实施 　　提升安全意识，首先要构建起科学的安全意识培训机制。值得注意的是，一定要把安全意识培训与安全培训区分开来。对于普通员工来说，安全意识与安全事件的处理能力是完全不同的两类内容。 　　安全培训的目的在于提供一套目标明确的执行规则，而这也是大多数审计工作人员在进行合规性检查时的考量重点。安全意识培训则意在纠正员工的行为方式。如果能够以正确的行为方式行事，企业员工将成为现有安全体系的延伸与扩展。相比之下，安全训练可以每年进行一次，但安全意识培训则是一个漫长且持续性的过程。 　　安全意识提升实例 　　Amanda Berlin在美国中西部一家中等规模的医疗企业负责安全相关的工作。在过去几个月，她在几乎没有任何资源的前提下构建起了一套行之有效的安全意识培训方案。 　　由于她所供职的企业无法提供安全意识发展与培训所需要的资源，但安全意识培训又是必要的，所以Berlin只能选择自己解决。虽然整个过程持续了很长一段时间，但她的努力现在已经开始收到成效，员工对于安全相关事务的关注让企业避免了不少损失，而这部分工作也没有给财务支出带来大的压力。 　　“由此我们意识到，安全事务当中最薄弱的一环就是员工本身，”Berlin在接受CSO网站采访时指出。“虽然对于企业而言，我们可以部署IDS/IPS，甚至大规模实施电子邮件过滤机制，但员工的疏忽仍然会给恶意人士留下可乘之机。