管理员用户发表的博客
如今,只需点击几下按钮,就可以做很多事情:发送表情符号、移动扫码支付、进行视频直播、从电商应用中订购货物,然后在一两天内收货。但是同时,不要忘记,仅需点击一下按钮,例如打开已有安全问题的邮件附件或网址链接,即可破坏工作单位内部网络的安全,甚至造成机密外泄。
信息科技部门可以通过实施恶意软件防护,网络威胁检测,终端准入控制等措施,并部署大量网络安全工具等来应对最终用户的安全泄密风险。但是解决人为因素也许更为重要,这就需要通过最终用户安全保密意识培训对员工进行网络威胁以及如何避免失密的教育。对此,昆明亭长朗然科技有限公司网络安全及机密保护顾问专员董志军表示:纯技术型的安全保密控制措施并不足够和全面,有时也很昂贵,显得不够经济划算。安全与保密管理是技术、人员和流程的紧密结合,唯有如此,才能使风险控管变得有效力并有效率。
有很多不同的方法可以使用户及时了解最新的安全风险以及他们应如何处理工作相关的信息资源。关键是要让用户时刻将安全保密放在心中,只有人们的头脑意识中有安全保密观念,在面对安全威胁及窃密泄密隐患时,用户方可做出正确的选择。军工保密专家们表示:要确保安全保密常识性成为组织文化的一部分,否则,再强大的安全保密技术和程序都存在巨大缺陷。
接下来,让我们简单看看当下,安全保密专业人员们要解决的主要风险。网络黑客、商业间谍、媒体探子和恶意软件对最终用户构成最大威胁,因此最终用户安全保密意识培训通常旨在解决欺骗用户的攻击,例如网络钓鱼、电信诈骗、泄密诱骗或其他社会工程手段。
这些针对于人性弱点的“内容”式诈骗,很难从技术层面管控,否则技术服务需掌握用户的所有工作“内容”,这显然将对个人隐私和工作机密造成威胁,令组织机构陷入侵权违法的境地。对此,董志军补充说:人们坚信科技、安全与保密团队成员需要设置如防垃圾邮件、防电话泄密、防数据泄露等技术侦测参数,以在合规授权的情况下,侦测并防范安全失密威胁。然而,不法分子们非常的狡猾,他们可能会尝试躲避或越过安全保密方面的侦测系统,比如约用户私下见面。
对此,董志军补充说:需教育用户,消息传递必须使用常识进行,不要轻易打开可疑的附件,防止点击陌生的链接,使用更强大的密码等。 用户通过实际执行组织所推行的安全保密政策,进而来获得安全保密方面的成功。
安全窃密威胁的领先性也让侦测系统追赶不及,通过电子邮件以外的平台发起基于人性弱点的社工攻击越来越普遍,并且越来越严重。没有任何一种传播媒介在安全保密方面是完美或者无敌的,黑客总是在尝试新手法,以进入人们认为值得信赖的媒介。坏人们一直在冒充他人,如果只是被动的依赖技术手段,那将永远处于被动落后的局面,防不胜防。
关于信息保密和安全政策方面的培训对于确保员工们以正确的方式访问公司资源非常重要。组织机构保护好网络安全与内部机密的方法并不是什么高超的技艺,而是朴实的管理理念。将安全、保密与合规结合起来武装员工们的大脑,使他们为组织的成功做好准备。从某种意义上讲,组织可以拥有世界上最好的安全保密防护软件,但是如果没有管理层的承诺与示范,没有职工们的理解认可和积极实践,安全保密难成功。因为,每位职员都是安全保密需要保护的终端。