對加強(qiáng)企業(yè)網(wǎng)絡(luò)安全意識教育的思考

對加強(qiáng)企業(yè)網(wǎng)絡(luò)平安意識教育的思考目錄TOC\o"1-5"\h\z\o"CurrentDocument"編者按1刖舌1\o"CurrentDocument".加快網(wǎng)絡(luò)平安意識標(biāo)準(zhǔn)的制定2\o"CurrentDocument".加強(qiáng)網(wǎng)絡(luò)平安意識教育基地建設(shè)2\o"CurrentDocument".如何進(jìn)行網(wǎng)絡(luò)平安意識培訓(xùn)3\o"CurrentDocument".健全基于行業(yè)崗位的網(wǎng)絡(luò)平安教育知識體系4\o"CurrentDocument".部署全員網(wǎng)絡(luò)平安意識教育提升與社工演練上報(bào)系統(tǒng)4\o"CurrentDocument".完善企業(yè)網(wǎng)絡(luò)平安事件上報(bào)機(jī)制5\o"CurrentDocument".加強(qiáng)國家網(wǎng)絡(luò)平安宣傳周等網(wǎng)絡(luò)平安意識的宣傳教育5編者按必須有組織有體系地持續(xù)完善該項(xiàng)工作，提高員工的平安防范意識和技能，防御網(wǎng)絡(luò)釣魚等攻擊，這樣才能有效構(gòu)建起網(wǎng)絡(luò)平安的人民防火墻。-J-Z1—刖百網(wǎng)絡(luò)攻擊的產(chǎn)業(yè)化、市場化、云犯罪、犯罪即服務(wù)、共享犯罪、內(nèi)部共謀等趨勢，讓更多善于利用“人的漏洞”的攻擊者“如虎添翼”。在近幾年開展的網(wǎng)絡(luò)攻防演練中，越來越多成功入侵企業(yè)內(nèi)網(wǎng)的攻擊采取了網(wǎng)絡(luò)釣魚、供應(yīng)鏈預(yù)置等社會工程攻擊。一些企業(yè)往往忽視全員網(wǎng)絡(luò)平安意識教育的提升與演練，在網(wǎng)絡(luò)平安意識培訓(xùn)方面投入少，使得人員成為企業(yè)網(wǎng)絡(luò)平安防護(hù)體系中的巨大短板。同時，社工欺騙的方式不斷翻新，人員的網(wǎng)絡(luò)平安意識能力提升卻很難量化評價，僅僅通過簡單的基本知識培訓(xùn)，很難形成敏銳持久有效的安全風(fēng)險意識。如何有效提高人員網(wǎng)絡(luò)平安意識、防御社工及網(wǎng)絡(luò)詐騙風(fēng)險、建立企業(yè)網(wǎng)絡(luò)空間平安全員防火墻，一直是網(wǎng)絡(luò)平安行業(yè)的難題。從企業(yè)實(shí)踐出發(fā)，建議做好以下工作。第1頁共6頁.加快網(wǎng)絡(luò)平安意識標(biāo)準(zhǔn)的制定開展網(wǎng)絡(luò)平安意識教育提升工作必須標(biāo)準(zhǔn)先行，才能做到有“標(biāo)”可依、規(guī)范執(zhí)行。美國作為全球網(wǎng)絡(luò)最為興旺的國家，從20世紀(jì)開始就陸續(xù)建立了一系列網(wǎng)絡(luò)平安意識培訓(xùn)評價標(biāo)準(zhǔn)和規(guī)范。國內(nèi)近年出臺的網(wǎng)絡(luò)平安法律規(guī)范均對網(wǎng)絡(luò)平安意識教育考核有明確要求，但在如何落實(shí)國家或行業(yè)對網(wǎng)絡(luò)平安意識教育的內(nèi)容、要求和測評方法等方面仍然探索缺乏，缺乏一套全面的國家或行業(yè)標(biāo)準(zhǔn)。2021年，由北京紅山瑞達(dá)科技牽頭承當(dāng)?shù)摹毒W(wǎng)絡(luò)平安技術(shù)網(wǎng)絡(luò)平安意識評價指標(biāo)體系》標(biāo)準(zhǔn)研究工程，在全國信息平安標(biāo)準(zhǔn)化技術(shù)委員會WG7會議通過驗(yàn)收。該標(biāo)準(zhǔn)研究工程制定了單位網(wǎng)絡(luò)平安意識風(fēng)險的量化評價指標(biāo)體系和計(jì)算方法，從評價單位或組織人員群體網(wǎng)絡(luò)平安意識風(fēng)險出發(fā)，設(shè)計(jì)了兩級網(wǎng)絡(luò)平安意識指標(biāo)體系，設(shè)計(jì)了每個指標(biāo)的數(shù)值測量和標(biāo)度方法。每個一級指標(biāo)和二級指標(biāo)都有其指標(biāo)權(quán)重。根據(jù)行業(yè)、地域、評價目標(biāo)、評價活動導(dǎo)向等不同，可直接調(diào)整一級或二級指標(biāo)權(quán)重。后續(xù)，相關(guān)單位可以在此基礎(chǔ)上加快推動網(wǎng)絡(luò)平安意識全員教育相關(guān)的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的評價方法、知識體系、工作指南、最正確實(shí)踐等標(biāo)準(zhǔn)的制定工作。.加強(qiáng)網(wǎng)絡(luò)平安意識教育基地建設(shè)2016年，“兩會”正式通過了《關(guān)于在全國范圍建設(shè)“國家網(wǎng)絡(luò)平安青少年科普基地”的建議》議案。此后，全國先后建立了北京網(wǎng)絡(luò)平安教育體驗(yàn)基地（國家科技館卜福州網(wǎng)絡(luò)平安科普基地、鄭州網(wǎng)絡(luò)平安科技館等科普基地。這些科普基地面向廣大青少年、學(xué)生群體及家長，運(yùn)用現(xiàn)代化技術(shù)手段、通過豐富的視聽內(nèi)容，科普互聯(lián)網(wǎng)的原理、開展及平安知識，極大地提高了廣大青少年的網(wǎng)絡(luò)平安意識。針對領(lǐng)導(dǎo)干部、涉密人員等特殊群體，局部省市先后建成了幾十個保密教育實(shí)訓(xùn)平臺，通過體驗(yàn)式、互動式演示教學(xué)，直觀生動地展示網(wǎng)絡(luò)竊密方式和危害，在保密教育轉(zhuǎn)型升級的道路上邁出了重要一步，大大提升了特殊人員網(wǎng)絡(luò)平安保密意識。第2頁共6頁這些基地和實(shí)訓(xùn)平臺的建設(shè)，突出了網(wǎng)絡(luò)平安意識教育的責(zé)任主體，可以有效支撐國家網(wǎng)絡(luò)平安宣傳、普法、科普等任務(wù)，推進(jìn)網(wǎng)絡(luò)平安進(jìn)機(jī)關(guān)、進(jìn)農(nóng)村、進(jìn)社區(qū)、進(jìn)學(xué)校、進(jìn)企業(yè)、進(jìn)軍營，有效增強(qiáng)全體人員的網(wǎng)絡(luò)平安意識。.如何進(jìn)行網(wǎng)絡(luò)平安意識培訓(xùn)企業(yè)數(shù)據(jù)泄露，不僅由網(wǎng)絡(luò)不法分子入侵引起的，還有企業(yè)員工網(wǎng)絡(luò)平安意識的缺乏。網(wǎng)絡(luò)平安是企業(yè)開展的關(guān)鍵，而員工的平安意識往往容易被忽視，重要系統(tǒng)登錄密碼使用弱口令、隨意點(diǎn)擊不明鏈接等行為給網(wǎng)絡(luò)入侵者指明了方向。員工網(wǎng)絡(luò)平安意識薄弱正在成為企業(yè)面臨的最大風(fēng)險，做好員工的網(wǎng)絡(luò)安全意識培養(yǎng)，是非常重要的。那么，企業(yè)該如何開展網(wǎng)絡(luò)平安意識培訓(xùn)？(1)要讓員工了解網(wǎng)絡(luò)平安的重要性，例如分析漠視信息平安的嚴(yán)重后果、不重視將會出現(xiàn)哪些問題、會受到怎樣的處分，強(qiáng)調(diào)網(wǎng)絡(luò)平安意識的重要程度，(2)公司應(yīng)制定相關(guān)網(wǎng)絡(luò)平安管理制度，在新員工入職階段對其進(jìn)行培訓(xùn)，或定期開展內(nèi)部培訓(xùn)活動，傳授該如何防止訪問釣魚網(wǎng)站、不良信息網(wǎng)站等應(yīng)該采取的防范措施。平安技術(shù)人員可不定時向內(nèi)部人員發(fā)送釣魚郵件，進(jìn)行模擬真實(shí)演練，強(qiáng)化員工的網(wǎng)絡(luò)平安意謖；(3)培訓(xùn)使用操作系統(tǒng)的規(guī)范，員工登錄相關(guān)重要系統(tǒng)，一定要有操作日志，以便于出現(xiàn)問題時平安人員能夠快速查找原因；(4)相關(guān)網(wǎng)絡(luò)攻擊事件的發(fā)生和攻擊手段的變化，應(yīng)及時在公司內(nèi)部進(jìn)行傳播。通過真實(shí)的平安事件，反映當(dāng)前平安形勢的極端惡化，讓員工更加了解實(shí)際網(wǎng)絡(luò)平安變化，從而規(guī)避這些網(wǎng)絡(luò)風(fēng)險；(5)網(wǎng)絡(luò)平安管理人員也需要做好自身技術(shù)的提升，有必要時可以就網(wǎng)絡(luò)平安意識組織員工培訓(xùn)，制定網(wǎng)絡(luò)平安管理制度，從內(nèi)部貫徹開來。良好的網(wǎng)絡(luò)平安意識教育能夠全面提升各個崗位人員的平安意識與平安防護(hù)能力，調(diào)動全體員工積極參與平安意識和專業(yè)技術(shù)提升工作中來，培養(yǎng)網(wǎng)絡(luò)平安習(xí)慣，才能有效地防范網(wǎng)絡(luò)攻擊。多數(shù)企業(yè)面對培訓(xùn)沒有經(jīng)驗(yàn)不知從何下手，該如何解決？第3頁共6頁（1）公司網(wǎng)絡(luò)平安管理人員開展培訓(xùn)工作，對內(nèi)部員工進(jìn)行演練和宣傳,加強(qiáng)網(wǎng)絡(luò)平安意識；（2）找專業(yè)網(wǎng)絡(luò)平安公司進(jìn)行培訓(xùn)指導(dǎo)，具有針對性并且有完整的培訓(xùn)體系，根據(jù)客戶的培訓(xùn)需求定制培訓(xùn)課件，以滿足客戶不同部門、不同崗位人員的信息平安培訓(xùn)需求，能夠更好地發(fā)現(xiàn)企業(yè)的問題所在，結(jié)合企業(yè)網(wǎng)絡(luò)平安現(xiàn)狀給出合理的建議。網(wǎng)絡(luò)平安不單單是維護(hù)系統(tǒng)那么簡單，還需要人員的配合，以平安意識為前提，才能更好地防范外來攻擊。平安意識同等重要，應(yīng)防微杜漸，做到有備無患。.健全基于行業(yè)崗位的網(wǎng)絡(luò)平安教育知識體系由于各地區(qū)、各行業(yè)的信息化程度、管理體制和產(chǎn)業(yè)重點(diǎn)不同，因此，各個地區(qū)和行業(yè)的全員網(wǎng)絡(luò)平安教育內(nèi)容，其考核重點(diǎn)也不一樣，需要根據(jù)實(shí)際情況健全不同地區(qū)、不同行業(yè)、不同崗位類別的網(wǎng)絡(luò)平安教育知識體系。通常情況下，網(wǎng)絡(luò)平安知識體系自下而上逐漸由通識教育轉(zhuǎn)向精英教育。例如，普通員工僅需打好網(wǎng)絡(luò)平安意識基礎(chǔ)，了解并掌握一般性網(wǎng)絡(luò)平安防范知識即可；工程開發(fā)人員需要掌握網(wǎng)絡(luò)平安工程領(lǐng)域的平安知識；企業(yè)高管需要強(qiáng)化網(wǎng)絡(luò)平安風(fēng)險管理、網(wǎng)絡(luò)平安戰(zhàn)略和策略制定等方面的專門知識。這樣才能體現(xiàn)出針對性更強(qiáng)、效果更好的培訓(xùn)效果。.部署全員網(wǎng)絡(luò)平安意識教育提升與社工演練上報(bào)系統(tǒng)人員漏洞是企業(yè)最危險的漏洞（很容易被攻擊者利用）和最容易修復(fù)的漏洞（不需要昂貴的技術(shù)產(chǎn)品和頂尖技術(shù)人才），但也是最難修復(fù)的漏洞（不被重視、缺乏預(yù)算，每個員工都是一個社工攻擊面）。因此，開發(fā)并部署低成本、全員覆蓋的網(wǎng)絡(luò)平安意識教育與社工演練上報(bào)系統(tǒng)是合適并具有性價比的解決方案。紅山瑞達(dá)與國家互聯(lián)網(wǎng)應(yīng)急中心、北京理工大學(xué)等開展產(chǎn)學(xué)研合作，聯(lián)合研制出了國內(nèi)第一套全員網(wǎng)絡(luò)平安意識教育提升與社工演練上報(bào)系統(tǒng)，其關(guān)鍵技術(shù)和應(yīng)用填補(bǔ)了國內(nèi)空白。該系統(tǒng)具有網(wǎng)絡(luò)平安文化宣傳、教育考試、釣魚演練、量化評估、事件上報(bào)等功能，能夠支撐網(wǎng)絡(luò)平安宣傳周、保密教育、大型網(wǎng)絡(luò)攻防演練等網(wǎng)絡(luò)安第4頁共6頁全活動。同時，系統(tǒng)還能夠?qū)悠髽I(yè)郵箱賬號、企業(yè)微信、釘釘?shù)龋B接全員認(rèn)證和身份管理系統(tǒng)，支持SaaS部署或私有化部署。該系統(tǒng)的功能和應(yīng)用場景包括但不限于防網(wǎng)絡(luò)釣魚模擬演練、網(wǎng)絡(luò)平安保密宣傳教育、網(wǎng)絡(luò)平安意識量化評價、網(wǎng)絡(luò)平安保密在線文化宣傳等場景。.完善企業(yè)網(wǎng)絡(luò)平安事件上報(bào)機(jī)制在企業(yè)內(nèi)部網(wǎng)絡(luò)平安事件上報(bào)機(jī)制建設(shè)及運(yùn)營上，我國企事業(yè)單位和網(wǎng)絡(luò)平安企業(yè)遠(yuǎn)遠(yuǎn)落后于國外。例如，國外從事網(wǎng)絡(luò)平安意識教育與釣魚郵件模擬上市公司KnowBe4,是全球最大的平安意識培訓(xùn)和模擬網(wǎng)絡(luò)釣魚平臺的提供商，累計(jì)被全球44,000多家組織使用。該公司的釣魚模擬與上報(bào)數(shù)據(jù)說明，威脅模擬訓(xùn)練是最為有效的社工威脅防御方式，上報(bào)是最有效的釣魚郵件防御手段之一。國內(nèi)專業(yè)從事網(wǎng)絡(luò)釣魚模擬與上報(bào)處置的系統(tǒng)與服務(wù)的提供商較少，企業(yè)內(nèi)部的釣魚模擬上報(bào)運(yùn)營機(jī)制剛剛開始，這方面與國外差距較大。.加強(qiáng)國家網(wǎng)絡(luò)平安宣傳周等網(wǎng)絡(luò)平安意識的宣傳教育加強(qiáng)員工網(wǎng)絡(luò)平安法規(guī)和網(wǎng)絡(luò)平安知識技能普及宣傳教育，結(jié)合熱點(diǎn)事件和法律法規(guī)，圍繞重點(diǎn)案例、個人信息保護(hù)、網(wǎng)絡(luò)平安風(fēng)險及應(yīng)對，制作宣傳教育材料；定期提供網(wǎng)絡(luò)防詐騙、網(wǎng)絡(luò)平安普及、網(wǎng)絡(luò)平安普法等宣傳材料，定時定量做好公眾號、抖音、微博等社交平臺內(nèi)容維護(hù)，建成全員網(wǎng)絡(luò)平安意識教育平臺；將網(wǎng)絡(luò)平安宣傳教育活動列入重要議事日程，認(rèn)真制定活動方案，加大投入力度，調(diào)動各個單位積極性，在國家網(wǎng)絡(luò)平安宣傳周期間集中組織開展各類網(wǎng)絡(luò)平安宣傳教育活動，突出宣傳實(shí)效。充分利用各類媒體平臺，加強(qiáng)活動宣傳報(bào)道，制作播出專題節(jié)目，開展知識競賽、主題晚會等，普及網(wǎng)絡(luò)平安防護(hù)技能，提升網(wǎng)絡(luò)平安意識?？傊髽I(yè)網(wǎng)絡(luò)平安意識提升工