網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的六個(gè)創(chuàng)新思路

網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的六個(gè)創(chuàng)新思路導(dǎo)語(yǔ)網(wǎng)絡(luò)安全意識(shí)月活有助于提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)認(rèn)識(shí)。但常規(guī)的教室培訓(xùn)、懲罰性的考核，卻不是有效的好方式。很多機(jī)構(gòu)都會(huì)舉辦網(wǎng)絡(luò)安全意識(shí)月活動(dòng)，旨在幫助員工、客戶以及公眾提高對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)知水平，其間也強(qiáng)調(diào)各類角色在緩解安全風(fēng)險(xiǎn)上所能夠發(fā)揮的作用。今年的網(wǎng)絡(luò)安全意識(shí)月重要程度遠(yuǎn)超以往，這與當(dāng)下極為嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)不無(wú)關(guān)系：從網(wǎng)絡(luò)釣魚與域名欺詐，到勒索軟件以及超大規(guī)模DDoS，網(wǎng)絡(luò)安全領(lǐng)域的各個(gè)方面都呈現(xiàn)出越來(lái)越可怕的威脅態(tài)勢(shì)。更糟糕的是，安全威脅已經(jīng)超越了傳統(tǒng)的惡意與財(cái)務(wù)意圖——2016年美國(guó)總統(tǒng)大選事件證明，攻擊者已經(jīng)開始利用網(wǎng)絡(luò)渠道實(shí)施與地緣政治相關(guān)的活動(dòng)。如果員工好不能充分參與，網(wǎng)絡(luò)安全意識(shí)月將無(wú)法帶來(lái)任何符合預(yù)期的積極影響。我們需要有各類有趣引人的想法，確保大家能積極參與。下面是我們覺(jué)得6個(gè)值得一試的有趣思路。一、問(wèn)答之夜！您的員工對(duì)于網(wǎng)絡(luò)安全知識(shí)的了解程度如何？事實(shí)上，我們可以通過(guò)多種方式傳授網(wǎng)絡(luò)安全的知識(shí)。您可以通過(guò)正式的課堂式集訓(xùn)進(jìn)行普及，但員工恐怕會(huì)厭倦這種枯燥乏味的形式。事實(shí)上，其他手段的效果往往不理想：例如作為企業(yè)整體安全意識(shí)建設(shè)計(jì)劃的一部分，很多員工并不愿意定期閱讀自己收到的信息安全電子郵件。通過(guò)組織有趣且存在一定競(jìng)爭(zhēng)元素，但又不那么嚴(yán)肅正式的問(wèn)答活動(dòng)，我們可以更充分地調(diào)動(dòng)起員工積極性。想象一下，在問(wèn)答之夜活動(dòng)中，由不同部門作為參賽團(tuán)隊(duì)彼此對(duì)抗，并為答對(duì)最多問(wèn)題的團(tuán)隊(duì)提供獎(jiǎng)品——其中貢獻(xiàn)最突出的個(gè)人還將獲得相應(yīng)的殊榮，是不是很棒？為了獲得更好的效果，請(qǐng)盡可能提出非技術(shù)性問(wèn)題，否則競(jìng)賽勝利者的頭銜恐怕會(huì)長(zhǎng)期被IT部門所占據(jù)。二、 敏感文件大搜捕！相信每個(gè)人都對(duì)尋寶活動(dòng)抱有渾厚興趣。因此我們可以任意選擇一天，在日常工作結(jié)束后指定某一部門的員工在另一部門的工作區(qū)內(nèi)盡可能多地尋找敏感文件或者未及時(shí)鎖定的計(jì)算機(jī)。敏感資料泄露量最少的部門，將在比賽中獲勝。其中的問(wèn)題在于，已經(jīng)擁有良好文件管理習(xí)慣以及信息保護(hù)文化的部門往往更有可能刻這一挑戰(zhàn)。為了提升參與積極性，大家可以選擇另一種方式：在指定場(chǎng)所內(nèi)隱藏一份或者多份文件，而后開展文件大搜捕行動(dòng)。接下來(lái)的一整個(gè)月都屬于搜捕期，那些成功找到相關(guān)文件的個(gè)人將獲得獎(jiǎng)勵(lì)。三、模擬釣魚攻擊！設(shè)計(jì)一份極具誘惑力的釣魚郵件，并將其發(fā)送給組織中的每位成員。我們可以在深夜期間進(jìn)行發(fā)送，以確保員工能夠在第二天早上馬上看到。您可以使用外部或者欺騙性電子郵件地址，總之盡可能提升內(nèi)容的可信度就是了。為了強(qiáng)化迷惑效果，大家甚至可以在其中添加企業(yè)徽標(biāo)、品牌宣言、免責(zé)聲明甚至是高層管理人員的真實(shí)姓名等等。在內(nèi)容層面，郵件應(yīng)該要求收件人盡快發(fā)送某些機(jī)密信息。這場(chǎng)模擬攻擊的目標(biāo)，是為了了解多少員工會(huì)根據(jù)要求在回復(fù)郵件中提供對(duì)應(yīng)的實(shí)際數(shù)據(jù)。實(shí)際上，即使員工沒(méi)有提供所要求的數(shù)據(jù)，其做出的任何回復(fù)操作都應(yīng)被視為失敗。一般來(lái)講，身份竊取者需要積極搜尋組織內(nèi)員工的真實(shí)姓名以發(fā)動(dòng)進(jìn)一步攻擊，而任何回復(fù)都有可能為其提供線索。當(dāng)然，在工作人員最終意識(shí)到這只是一場(chǎng)小測(cè)驗(yàn)時(shí)，心態(tài)會(huì)非常放松。但在放松的同時(shí)，他們也學(xué)習(xí)到了很多關(guān)于社會(huì)化工程攻擊的知識(shí)。四、活動(dòng)游戲化如果大家沒(méi)有購(gòu)買現(xiàn)成的應(yīng)用程序產(chǎn)品，游戲化活動(dòng)往往會(huì)帶來(lái)不少定制化編程工作量。但是，這一切都將物有所值。此類活動(dòng)將獎(jiǎng)勵(lì)參與者展示或者提升自身安全意識(shí)的行為。為了獲得理想效果，游戲活動(dòng)應(yīng)該制定有明確的規(guī)則，包括員工必須清楚了解他們要如何參與、能夠獲得怎樣的獎(jiǎng)勵(lì)并通過(guò)實(shí)時(shí)排行榜展示當(dāng)前得分最高的人員等。舉例來(lái)說(shuō)，參與者在完成信息安全測(cè)驗(yàn)之后可以獲得20分，如果能夠確定安全程序失效則可獲得50分等等。在網(wǎng)絡(luò)安全意識(shí)月結(jié)束后，大家可以為員工安排一場(chǎng)總結(jié)活動(dòng)，并為得分最高的員工提供豐盛的晚宴或者禮品卡等。整個(gè)流程應(yīng)該盡可能自動(dòng)化，從而提升參與者的信心并緩解緊張感。五、充分組織戶外活動(dòng)！如果大家希望員工之間能夠進(jìn)行充分的創(chuàng)新思維交流，在網(wǎng)絡(luò)安全意識(shí)月之內(nèi)至少應(yīng)該組織一次戶外活動(dòng)。目前已經(jīng)存在各種各樣的戶外團(tuán)隊(duì)建設(shè)活動(dòng)，您可以有針對(duì)性地向其中加入網(wǎng)絡(luò)安全元素，并鼓勵(lì)員工們相互競(jìng)爭(zhēng)。戶外活動(dòng)的優(yōu)勢(shì)在于，大家不必為獲勝的個(gè)人或者團(tuán)隊(duì)準(zhǔn)備太過(guò)昂貴的獎(jiǎng)品。首先，員工們本身就樂(lè)于離開辦公室享受戶外環(huán)境;其次，新環(huán)境下的對(duì)抗能夠帶來(lái)不同于以往的樂(lè)趣。這種悠閑的環(huán)境能夠非常高效地傳遞嚴(yán)肅信息，并讓工作人員徹底擺脫日常辦公事務(wù)的束縛，專注于網(wǎng)絡(luò)安全議題開展充分討論。六、Bug賞金項(xiàng)目我們此前強(qiáng)調(diào)控制網(wǎng)絡(luò)安全活動(dòng)中技術(shù)性的重要意義，這主要是為了建立相對(duì)公平的競(jìng)爭(zhēng)環(huán)境。盡管如此，必須承認(rèn)IT部門在保障網(wǎng)絡(luò)安全控制方面承擔(dān)著最大的責(zé)任。如果大家希望在網(wǎng)絡(luò)安全意識(shí)月中給自己提供一些有針對(duì)性、有吸引力的挑戰(zhàn)，同樣需要?jiǎng)觿?dòng)心思。因此，對(duì)于更熟悉技術(shù)知識(shí)的員工，大家不妨組織一次漏洞賞金項(xiàng)目——即鼓勵(lì)參與者在一個(gè)月的周期內(nèi)搜尋各類系統(tǒng)漏洞。與任何其他滲透測(cè)試一樣，請(qǐng)確保您的漏洞賞金項(xiàng)目的執(zhí)行不會(huì)影響日常運(yùn)營(yíng)。事實(shí)上，入侵有可能會(huì)給生產(chǎn)環(huán)境造成嚴(yán)重影響，因此請(qǐng)謹(jǐn)慎地將黑客嘗試限制在低流量日（例如，大多數(shù)企業(yè)在星期日的流量水平明顯較低）。除此之外，大家還可以將演習(xí)限制在測(cè)試環(huán)境當(dāng)中，但請(qǐng)確保該測(cè)試環(huán)境與生產(chǎn)系統(tǒng)保持高度一致。發(fā)現(xiàn)漏洞可能是一項(xiàng)既耗時(shí)又耗神的工作。因此，對(duì)于那些能夠發(fā)現(xiàn)高嚴(yán)重度漏洞的員工，大家應(yīng)該為其提供誘人的經(jīng)濟(jì)回報(bào)。結(jié)語(yǔ)：網(wǎng)絡(luò)安全意識(shí)：投