文│北京红山瑞达科技有限公司总经理 朱代祥
网络攻击的产业化、市场化、云犯罪、犯罪即服务、共享犯罪、内部共谋等趋势,让更多善于利用“人的漏洞”的攻击者“如虎添翼”。在近几年开展的网络攻防演练中,越来越多成功入侵企业内网的攻击采取了网络钓鱼、供应链预置等社会工程攻击。一些企业往往忽视全员网络安全意识教育的提升与演练,在网络安全意识培训方面投入少,使得人员成为企业网络安全防护体系中的巨大短板。同时,社工欺骗的方式不断翻新,人员的网络安全意识能力提升却很难量化评价,仅仅通过简单的基本知识培训,很难形成敏锐持久有效的安全风险意识。如何有效提高人员网络安全意识、防御社工及网络诈骗风险、建立企业网络空间安全全员防火墙,一直是网络安全行业的难题。从企业实践出发,建议做好以下工作。
一、加快网络安全意识标准的制定
开展网络安全意识教育提升工作必须标准先行,才能做到有“标”可依、规范执行。美国作为全球网络最为发达的国家,从 20 世纪开始就陆续建立了一系列网络安全意识培训评价标准和规范。国内近年出台的网络安全法律规范均对网络安全意识教育考核有明确要求,但在如何落实国家或行业对网络安全意识教育的内容、要求和测评方法等方面仍然探索不足,缺乏一套全面的国家或行业标准。
2021 年,由北京红山瑞达科技有限公司牵头承担的《网络安全技术 网络安全意识评价指标体系》标准研究项目,在全国信息安全标准化技术委员会WG7 会议通过验收。该标准研究项目制定了单位网络安全意识风险的量化评价指标体系和计算方法,从评价单位或组织人员群体网络安全意识风险出发,设计了两级网络安全意识指标体系,设计了每个指标的数值测量和标度方法。每个一级指标和二级指标都有其指标权重。根据行业、地域、评价目标、评价活动导向等不同,可直接调整一级或二级指标权重。
后续,相关单位可以在此基础上加快推动网络安全意识全员教育相关的国家标准、行业标准的评价方法、知识体系、工作指南、最佳实践等标准的制定工作。
二、加强网络安全意识教育基地建设
2016 年,“两会”正式通过了《关于在全国范围建设“国家网络安全青少年科普基地”的建议》议案。此后,全国先后建立了北京网络安全教育体验基地 ( 国家科技馆 )、福州网络安全科普基地、郑州网络安全科技馆等科普基地。这些科普基地面向广大青少年、学生群体及家长,运用现代化技术手段、通过丰富的视听内容,科普互联网的原理、发展及安全知识,极大地提高了广大青少年的网络安全意识。针对领导干部、涉密人员等特殊群体,部分省市先后建成了几十个保密教育实训平台,通过体验式、互动式演示教学,直观生动地展示网络窃密方式和危害,在保密教育转型升级的道路上迈出了重要一步,大大提升了特殊人员网络安全保密意识。
这些基地和实训平台的建设,突出了网络安全意识教育的责任主体,可以有效支撑国家网络安全宣传、普法、科普等任务,推进网络安全进机关、进农村、进社区、进学校、进企业、进军营,有效增强全体人员的网络安全意识。
三、健全基于行业岗位的网络安全教育知识体系
由于各地区、各行业的信息化程度、管理体制和产业重点不同,因此,各个地区和行业的全员网络安全教育内容,其考核重点也不一样,需要根据实际情况健全不同地区、不同行业、不同岗位类别的网络安全教育知识体系。通常情况下,网络安全知识体系自下而上逐渐由通识教育转向精英教育。例如,普通员工仅需打好网络安全意识基础,了解并掌握一般性网络安全防范知识即可;项目开发人员需要掌握网络安全工程领域的安全知识;企业高管需要强化网络安全风险管理、网络安全战略和策略制定等方面的专门知识。这样才能体现出针对性更强、效果更好的培训效果。
四、部署全员网络安全意识教育提升与社工演练上报系统
人员漏洞是企业最危险的漏洞(很容易被攻击者利用)和最容易修复的漏洞(不需要昂贵的技术产品和顶尖技术人才),但也是最难修复的漏洞(不被重视、缺乏预算,每个员工都是一个社工攻击面)。因此,开发并部署低成本、全员覆盖的网络安全意识教育与社工演练上报系统是合适并具有性价比的解决方案。红山瑞达与国家互联网应急中心、北京理工大学等开展产学研合作,联合研制出了国内第一套全员网络安全意识教育提升与社工演练上报系统,其关键技术和应用填补了国内空白。
该系统具有网络安全文化宣传、教育考试、钓鱼演练、量化评估、事件上报等功能,能够支撑网络安全宣传周、保密教育、大型网络攻防演练等网络安全活动。同时,系统还能够对接企业邮箱账号、企业微信、钉钉等,连接全员认证和身份管理系统,支持 SaaS 部署或私有化部署。
该系统的功能和应用场景包括但不限于防网络钓鱼模拟演练、网络安全保密宣传教育、网络安全意识量化评价、网络安全保密在线文化宣传等场景。
五、完善企业网络安全事件上报机制
在企业内部网络安全事件上报机制建设及运营上,我国企事业单位和网络安全企业远远落后于国外。例如,国外从事网络安全意识教育与钓鱼邮件模拟上市公司 KnowBe4,是全球最大的安全意识培训和模拟网络钓鱼平台的提供商,累计被全球44,000 多家组织使用。该公司的钓鱼模拟与上报数据表明,威胁模拟训练是最为有效的社工威胁防御方式,上报是最有效的钓鱼邮件防御手段之一。
国内专业从事网络钓鱼模拟与上报处置的系统与服务的提供商较少,企业内部的钓鱼模拟上报运营机制刚刚开始,这方面与国外差距较大。
六、加强国家网络安全宣传周等网络安全意识的宣传教育
加强员工网络安全法规和网络安全知识技能普及宣传教育,结合热点事件和法律法规,围绕重点案例、个人信息保护、网络安全风险及应对,制作宣传教育材料;定期提供网络防诈骗、网络安全普及、网络安全普法等宣传材料,定时定量做好公众号、抖音、微博等社交平台内容维护,建成全员网络安全意识教育平台;将网络安全宣传教育活动列入重要议事日程,认真制定活动方案,加大投入力度,调动各个单位积极性,在国家网络安全宣传周期间集中组织开展各类网络安全宣传教育活动,突出宣传实效。充分利用各类媒体平台,加强活动宣传报道,制作播出专题节目,开展知识竞赛、主题晚会等,普及网络安全防护技能,提升网络安全意识。
总之,企业网络安全意识提升工作难度较大,涉及文化宣传、教育培训、攻防对抗等不同工作,也涉及办公室、保密、人力、IT、风控等众多部门,面临工作量大、工作琐碎繁杂、不容易出成绩,供应商参差不齐等众多问题。但是面对网络安全最大的、最顽固的人因漏洞,必须有组织有体系地持续完善该项工作,提高员工的安全防范意识和技能,防御网络钓鱼等攻击,这样才能有效构建起网络安全的人民防火墙(HumanFirewall),保护好企业乃至国家的网络安全。
(本文刊登于《中国信息安全》杂志2022年第1期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。