企業(yè)信息安全建設(shè)從一人到一眾

1、企業(yè)信息安全建設(shè)從一人到一眾背景遇到的問題：信息安全人員不夠；安全風(fēng)險(xiǎn)發(fā)現(xiàn)不全；漏洞修復(fù)意愿不強(qiáng)；安全建設(shè)從一人到一眾一、安全認(rèn)知的改變二、自上而下的貫徹三、自下而上的執(zhí)行安全建設(shè)從一人到一眾一、安全認(rèn)知的改變安全認(rèn)知的改變安全建設(shè)從思想開始讓其看到，感受到從而改 變思想，進(jìn)而改變行為。觀點(diǎn)感受行為思想我這安全 的很安全發(fā)的恐嚇式郵件安全得聽 我的來漏洞等 會修安全建設(shè)從一人到一眾二、自上而下的貫徹自上而下的貫徹安全建設(shè)需要領(lǐng)導(dǎo)的支持：觀點(diǎn)上： 他山之石感受上： 事件驅(qū)動(dòng)思想上： 改革開發(fā)自上而下的貫徹自上而下的貫徹，將安全視為公司底線，并將其納入考核：1.安全可用性2.敏感數(shù)據(jù)底線安全建設(shè)從

2、一人到一眾三、自下而上的執(zhí)行自下而上的執(zhí)行為了確保員工對安全建設(shè)更有意愿以VP部門為單位進(jìn)行了3大類活動(dòng)：趣味化的安全意識培訓(xùn)生活化的安全競賽3.實(shí)戰(zhàn)化的安全演練安全培訓(xùn)安全競賽安全演練安全考核自下而上：安全意識培訓(xùn)通過安全監(jiān)督員進(jìn)行全員工安全意識培訓(xùn)：1.對每部門的安全監(jiān)督員培訓(xùn)考核；2.安全監(jiān)督員對自己部門內(nèi)員工培訓(xùn)；3.信息安全部對考核未通過者定向培訓(xùn)；信息 安全安全監(jiān) 督員員工.安全監(jiān)督員員工.自下而上：安全意識培訓(xùn)安全意識培訓(xùn)經(jīng)驗(yàn)：通俗易懂（培訓(xùn)以及考試）互動(dòng)（溝通以及操作）趣味、獎(jiǎng)勵(lì)（對聽眾的認(rèn)可）自下而上：安全競賽分個(gè)人以及團(tuán)體對安全競賽進(jìn)行積分排名：1.小白安全擂臺賽2.文藝安

3、全創(chuàng)意賽3.技術(shù) CTF比賽4.圍觀 學(xué)以致用賽安全競賽自下而上：安全競賽安全競賽經(jīng)驗(yàn)：明白競賽的意義；獎(jiǎng)金要有誘惑力；活動(dòng)之間是有關(guān)聯(lián)的；傳銷的方式運(yùn)營；自下而上：安全實(shí)戰(zhàn)演練看誰在裸泳，用被釣魚的賬號密碼進(jìn)行釣魚：打破思想誤區(qū)：釣魚來自外部；自我認(rèn)為不實(shí)際的差距；自下而上：安全實(shí)戰(zhàn)演練網(wǎng)絡(luò)釣魚方法的總結(jié)：1.目的如：密碼、資料、通信錄等 2.渠道如：郵件、WiFi、短信、U盤等 3.技術(shù)方法如：偽造、中間人劫持、漏洞、二維碼等 4.話術(shù)如：貪便宜心理、權(quán)威、自身利益、公益、日常工作自下而上：安全實(shí)戰(zhàn)演練安全釣魚的經(jīng)驗(yàn)：新員工入學(xué)第一課；人員覆蓋率（郵件查看，URL點(diǎn)擊）；釣魚長期，隨機(jī)化，實(shí)戰(zhàn)化；安全建設(shè)從一人到一眾安全人士：風(fēng)險(xiǎn)