讓員工成為安全衛(wèi)士，而非安全隱患

趙明

防范企業(yè)安全風(fēng)險(xiǎn)看起來(lái)是一項(xiàng)“技術(shù)活”，但其實(shí)無(wú)論是安全攻防還是技術(shù)對(duì)抗，網(wǎng)絡(luò)安全領(lǐng)域的自然法則其實(shí)與“人”息息相關(guān)。

隨著BYOD靈活辦公的普及，在保護(hù)企業(yè)的數(shù)據(jù)、應(yīng)用、知識(shí)產(chǎn)權(quán)等方面，員工常常成為最大的安全威脅。

員工對(duì)IT安全政策的疏忽，以及對(duì)網(wǎng)絡(luò)威脅的漠不關(guān)心是云安全最大的障礙之一。員工顯然對(duì)安全問(wèn)題缺乏充分的了解。調(diào)查顯示，幾乎2/3的企業(yè)將“員工缺乏網(wǎng)絡(luò)安全知識(shí)”歸結(jié)為最大的內(nèi)部威脅，公司內(nèi)僅有1/10的員工完全了解網(wǎng)絡(luò)攻擊實(shí)施的全過(guò)程。

近期思杰和波耐蒙研究所（Ponemon Institute）針對(duì)IT安全基礎(chǔ)設(shè)施所展開的一項(xiàng)題為《全球調(diào)查：需要一種新的IT安全架構(gòu)》的全球調(diào)查顯示，超過(guò)一半（66%）的被訪者表示，由于操作太過(guò)復(fù)雜，員工和第三方會(huì)選擇繞過(guò)安全策略和技術(shù)。事實(shí)上，這種復(fù)雜性更會(huì)加劇“影子IT設(shè)備或軟件”的增多，它們不受IT管理員監(jiān)管。

缺乏安全培訓(xùn)和安全意識(shí)不足常常導(dǎo)致兩種截然不同的結(jié)果——知道自己遭遇了黑客入侵，以及完全不知道自己的網(wǎng)絡(luò)被入侵。如果企業(yè)員工沒(méi)有充分了解攻擊是如何發(fā)生的，既沒(méi)有采取措施保護(hù)數(shù)據(jù)安全，也不會(huì)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行監(jiān)控并向IT管理人員求助，那么遭受網(wǎng)絡(luò)攻擊的隱患就會(huì)一直存在。

企業(yè)怎樣才能既讓員工享有移動(dòng)、高效、便捷的工作方式，又確保數(shù)據(jù)、應(yīng)用和具備競(jìng)爭(zhēng)優(yōu)勢(shì)的知識(shí)產(chǎn)權(quán)的存儲(chǔ)安全？企業(yè)該如何提倡靈活、積極的IT安全管理文化，又該如何通過(guò)增加培訓(xùn)來(lái)提升員工的安全意識(shí)？

首先，要讓員工成為安全衛(wèi)士，而非安全隱患。

企業(yè)要確保把安全問(wèn)題放在第一位，并使安全性要求牢牢植根于業(yè)務(wù)流程之中。安全要求需要嵌入到企業(yè)的日常運(yùn)作中，讓“人體防火墻”發(fā)揮作用，讓員工成為安全解決方案，而不是安全隱患的組成部分。

嚴(yán)格說(shuō)來(lái)，應(yīng)該在公司制定從上到下的安全策略，讓盡可能多的部門員工、利益相關(guān)方提出意見和建議，網(wǎng)絡(luò)安全問(wèn)題人人有責(zé)。集中開展安全講座，每年應(yīng)該組織一次以上的常規(guī)培訓(xùn)。

開展有趣的網(wǎng)絡(luò)安全教育活動(dòng)，數(shù)據(jù)泄露事件與社會(huì)工程學(xué)事件和魚叉式網(wǎng)絡(luò)釣魚攻擊有關(guān)。網(wǎng)絡(luò)釣魚攻擊通常是電子郵件釣魚，騙取受害者點(diǎn)擊惡意鏈接。有些企業(yè)據(jù)此“定制”了假的釣魚郵件，將郵件發(fā)送給員工，使IT團(tuán)隊(duì)能夠了解哪些員工更容易受到攻擊，從而為這些員工提供額外的培訓(xùn)，幫助他們了解如何發(fā)現(xiàn)更復(fù)雜的欺詐和騙局。思杰 （Citrix） 公司大中華區(qū)總裁曹衡康表示：“我們提倡企業(yè)有責(zé)任為所有員工提供必要的工具、指導(dǎo)和培訓(xùn)，以提升員工保護(hù)企業(yè)安全的主觀能動(dòng)性。通過(guò)提供認(rèn)證、全面的課程培訓(xùn)，以及免費(fèi)的學(xué)習(xí)機(jī)會(huì)，提高員工識(shí)別潛在攻擊并及時(shí)做出響應(yīng)的能力?！?/p>

其次，要激勵(lì)員工守護(hù)企業(yè)網(wǎng)絡(luò)安全。

進(jìn)一步說(shuō)，企業(yè)還應(yīng)該讓員工更加積極地參與到抵御安全攻擊、維護(hù)網(wǎng)絡(luò)安全的日常工作中去。明智的企業(yè)應(yīng)該讓員工樹立安全觀——安全是發(fā)展的前提，也是發(fā)展的保障，員工必須幫助企業(yè)保護(hù)知識(shí)產(chǎn)權(quán)等數(shù)據(jù)安全，與企業(yè)共筑網(wǎng)絡(luò)安全防線。

與此同時(shí)，樹立持久的安全保護(hù)意識(shí)，提倡員工學(xué)習(xí)安全知識(shí)，讓員工感到網(wǎng)絡(luò)安全防護(hù)能力對(duì)個(gè)人成長(zhǎng)至關(guān)重要。比如，此前提到的用“偽造”釣魚郵件“模擬”安全攻擊，就是幫助員工提升安全意識(shí)的一種方式，旨在培養(yǎng)員工識(shí)別潛在攻擊的能力。

這種模擬安全攻擊是行之有效的培訓(xùn)工具，既可以測(cè)試企業(yè)員工遇到威脅、受到攻擊時(shí)的反應(yīng)，也可以作為一種互動(dòng)式的員工培訓(xùn)活動(dòng)。向員工介紹最佳實(shí)踐和安全做法，激勵(lì)員工創(chuàng)造一種自然抵制安全威脅的公司文化，減少大規(guī)模安全事件的發(fā)生幾率。

這種方法同時(shí)能夠賦予企業(yè)員工更大的預(yù)防攻擊的責(zé)任，每個(gè)人都可以養(yǎng)成相應(yīng)的安全習(xí)慣和意識(shí)，共同推進(jìn)和保護(hù)企業(yè)網(wǎng)絡(luò)安全。

最后，要自下而上保護(hù)數(shù)據(jù)安全。

員工的安全意識(shí)很重要，但采取協(xié)作和移動(dòng)辦公的新員工們，不僅需要培養(yǎng)安全防護(hù)知識(shí)，更應(yīng)該獲得具有保障的技術(shù)基礎(chǔ)設(shè)施，以確保應(yīng)用、數(shù)據(jù)等安全。沒(méi)有這樣的IT安全基礎(chǔ)設(shè)施，任何“有安全意識(shí)的”企業(yè)文化本質(zhì)上都是脆弱的。

為了應(yīng)對(duì)網(wǎng)絡(luò)威脅格局的日新月異，安全的核心技術(shù)支柱應(yīng)該包括：身份和訪問(wèn)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全，以及監(jiān)控和響應(yīng)。企業(yè)歷經(jīng)數(shù)十年已經(jīng)學(xué)會(huì)了一些基本措施、應(yīng)急響應(yīng)機(jī)制，以及更為規(guī)范的安全流程、滿足企業(yè)安全需求的解決方案，可以為企業(yè)用戶全盤提供企業(yè)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)直至員工的相關(guān)安全培訓(xùn)。最終，讓員工能夠在任何地方安全、高效工作的同時(shí)，還能兼顧滿足隱私、合規(guī)和安全風(fēng)險(xiǎn)管理的要求。

網(wǎng)絡(luò)攻擊的不斷演變推進(jìn)了安全技術(shù)的發(fā)展。在媒體和公眾對(duì)網(wǎng)絡(luò)安全持續(xù)關(guān)注、移動(dòng)辦公方式越來(lái)越流行的今天，企業(yè)只有積極主動(dòng)開展培訓(xùn)，并充分提升員工的安全意識(shí)，同時(shí)加固IT基礎(chǔ)設(shè)施，才能真正增強(qiáng)網(wǎng)絡(luò)安全信心。這對(duì)所有企業(yè)而言，都是切實(shí)可行并能夠?qū)崿F(xiàn)的。

隨著數(shù)字化轉(zhuǎn)型的加速、“互聯(lián)網(wǎng)+”模式的流行、監(jiān)管環(huán)境的變化，網(wǎng)絡(luò)安全不僅對(duì)我們的工作、企業(yè)安全非常重要，而且對(duì)國(guó)家安全、國(guó)際事務(wù)的影響也不斷增大，這些因素都將促使企業(yè)更加積極主動(dòng)地升級(jí)保護(hù)措施，從“人”和“技術(shù)”兩個(gè)方面增強(qiáng)安全性和可持續(xù)性。