趙明

防范企業(yè)安全風險看起來是一項“技術活”，但其實無論是安全攻防還是技術對抗，網(wǎng)絡安全領域的自然法則其實與“人”息息相關。

隨著BYOD靈活辦公的普及，在保護企業(yè)的數(shù)據(jù)、應用、知識產(chǎn)權等方面，員工常常成為最大的安全威脅。

員工對IT安全政策的疏忽，以及對網(wǎng)絡威脅的漠不關心是云安全最大的障礙之一。員工顯然對安全問題缺乏充分的了解。調查顯示，幾乎2/3的企業(yè)將“員工缺乏網(wǎng)絡安全知識”歸結為最大的內(nèi)部威脅，公司內(nèi)僅有1/10的員工完全了解網(wǎng)絡攻擊實施的全過程。

近期思杰和波耐蒙研究所（Ponemon Institute）針對IT安全基礎設施所展開的一項題為《全球調查：需要一種新的IT安全架構》的全球調查顯示，超過一半（66%）的被訪者表示，由于操作太過復雜，員工和第三方會選擇繞過安全策略和技術。事實上，這種復雜性更會加劇“影子IT設備或軟件”的增多，它們不受IT管理員監(jiān)管。

缺乏安全培訓和安全意識不足常常導致兩種截然不同的結果——知道自己遭遇了黑客入侵，以及完全不知道自己的網(wǎng)絡被入侵。如果企業(yè)員工沒有充分了解攻擊是如何發(fā)生的，既沒有采取措施保護數(shù)據(jù)安全，也不會對網(wǎng)絡風險進行監(jiān)控并向IT管理人員求助，那么遭受網(wǎng)絡攻擊的隱患就會一直存在。

企業(yè)怎樣才能既讓員工享有移動、高效、便捷的工作方式，又確保數(shù)據(jù)、應用和具備競爭優(yōu)勢的知識產(chǎn)權的存儲安全？企業(yè)該如何提倡靈活、積極的IT安全管理文化，又該如何通過增加培訓來提升員工的安全意識？

首先，要讓員工成為安全衛(wèi)士，而非安全隱患。

企業(yè)要確保把安全問題放在第一位，并使安全性要求牢牢植根于業(yè)務流程之中。安全要求需要嵌入到企業(yè)的日常運作中，讓“人體防火墻”發(fā)揮作用，讓員工成為安全解決方案，而不是安全隱患的組成部分。

嚴格說來，應該在公司制定從上到下的安全策略，讓盡可能多的部門員工、利益相關方提出意見和建議，網(wǎng)絡安全問題人人有責。集中開展安全講座，每年應該組織一次以上的常規(guī)培訓。

開展有趣的網(wǎng)絡安全教育活動，數(shù)據(jù)泄露事件與社會工程學事件和魚叉式網(wǎng)絡釣魚攻擊有關。網(wǎng)絡釣魚攻擊通常是電子郵件釣魚，騙取受害者點擊惡意鏈接。有些企業(yè)據(jù)此“定制”了假的釣魚郵件，將郵件發(fā)送給員工，使IT團隊能夠了解哪些員工更容易受到攻擊，從而為這些員工提供額外的培訓，幫助他們了解如何發(fā)現(xiàn)更復雜的欺詐和騙局。思杰 （Citrix） 公司大中華區(qū)總裁曹衡康表示：“我們提倡企業(yè)有責任為所有員工提供必要的工具、指導和培訓，以提升員工保護企業(yè)安全的主觀能動性。通過提供認證、全面的課程培訓，以及免費的學習機會，提高員工識別潛在攻擊并及時做出響應的能力?！?/p>

其次，要激勵員工守護企業(yè)網(wǎng)絡安全。

進一步說，企業(yè)還應該讓員工更加積極地參與到抵御安全攻擊、維護網(wǎng)絡安全的日常工作中去。明智的企業(yè)應該讓員工樹立安全觀——安全是發(fā)展的前提，也是發(fā)展的保障，員工必須幫助企業(yè)保護知識產(chǎn)權等數(shù)據(jù)安全，與企業(yè)共筑網(wǎng)絡安全防線。

與此同時，樹立持久的安全保護意識，提倡員工學習安全知識，讓員工感到網(wǎng)絡安全防護能力對個人成長至關重要。比如，此前提到的用“偽造”釣魚郵件“模擬”安全攻擊，就是幫助員工提升安全意識的一種方式，旨在培養(yǎng)員工識別潛在攻擊的能力。

這種模擬安全攻擊是行之有效的培訓工具，既可以測試企業(yè)員工遇到威脅、受到攻擊時的反應，也可以作為一種互動式的員工培訓活動。向員工介紹最佳實踐和安全做法，激勵員工創(chuàng)造一種自然抵制安全威脅的公司文化，減少大規(guī)模安全事件的發(fā)生幾率。

這種方法同時能夠賦予企業(yè)員工更大的預防攻擊的責任，每個人都可以養(yǎng)成相應的安全習慣和意識，共同推進和保護企業(yè)網(wǎng)絡安全。

最后，要自下而上保護數(shù)據(jù)安全。

員工的安全意識很重要，但采取協(xié)作和移動辦公的新員工們，不僅需要培養(yǎng)安全防護知識，更應該獲得具有保障的技術基礎設施，以確保應用、數(shù)據(jù)等安全。沒有這樣的IT安全基礎設施，任何“有安全意識的”企業(yè)文化本質上都是脆弱的。

為了應對網(wǎng)絡威脅格局的日新月異，安全的核心技術支柱應該包括：身份和訪問安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全，以及監(jiān)控和響應。企業(yè)歷經(jīng)數(shù)十年已經(jīng)學會了一些基本措施、應急響應機制，以及更為規(guī)范的安全流程、滿足企業(yè)安全需求的解決方案，可以為企業(yè)用戶全盤提供企業(yè)、網(wǎng)絡、應用、數(shù)據(jù)直至員工的相關安全培訓。最終，讓員工能夠在任何地方安全、高效工作的同時，還能兼顧滿足隱私、合規(guī)和安全風險管理的要求。

網(wǎng)絡攻擊的不斷演變推進了安全技術的發(fā)展。在媒體和公眾對網(wǎng)絡安全持續(xù)關注、移動辦公方式越來越流行的今天，企業(yè)只有積極主動開展培訓，并充分提升員工的安全意識，同時加固IT基礎設施，才能真正增強網(wǎng)絡安全信心。這對所有企業(yè)而言，都是切實可行并能夠實現(xiàn)的。

隨著數(shù)字化轉型的加速、“互聯(lián)網(wǎng)+”模式的流行、監(jiān)管環(huán)境的變化，網(wǎng)絡安全不僅對我們的工作、企業(yè)安全非常重要，而且對國家安全、國際事務的影響也不斷增大，這些因素都將促使企業(yè)更加積極主動地升級保護措施，從“人”和“技術”兩個方面增強安全性和可持續(xù)性。