■ 云南 張銳

編者按：企業(yè)內(nèi)部威脅已成為企業(yè)面臨的最重要隱患之一，因此加強員工安全意識培訓已變得迫在眉睫。本文探討加強這一方面的5 種方法。

InfoScales的報告顯示，成功實施的網(wǎng)絡攻擊中有95%的是人為失誤造成的，其中最明顯的是公司員工遭遇網(wǎng)絡釣魚詐騙。很多企業(yè)的網(wǎng)絡安全工作主要側(cè)重于對安全技術和產(chǎn)品的投入，來防止技術性的數(shù)據(jù)泄漏、黑客滲透和系統(tǒng)入侵。

但他們往往忽視了人為因素，這也是攻擊者所利用的重要因素。

因此，對企業(yè)員工的安全意識培訓勢在必行，以下5種方式可以幫助企業(yè)來實現(xiàn)這一目標。

1.重點防范網(wǎng)絡釣魚攻擊

無論企業(yè)的防火墻和電子郵件網(wǎng)關等安全防御體系有多么強大，如果遇到毫無戒心的員工點擊到了電子郵件中的惡意鏈接并毫不知情地輸入了憑據(jù)，以上措施都將形同虛設。因此，加強對員工這方面的培訓，使其有能力區(qū)分合法或可疑的電子郵件，例如來自“領導”的電話，員工的“工資單”等，可以更好地使員工具備處理突發(fā)事件的能力。

第三方提供的技術解決方案，可以使員工將可疑的電子郵件直接報告給公司專門應對釣魚郵件的安全系統(tǒng)，以供內(nèi)部安全人員進行審查。這樣即便員工中招，企業(yè)的安全運營部門也可以立即將其隔離并查殺。

通過全面的安全培訓，員工“檢舉”可疑電子郵件就可以大大降低因偶然性帶來的風險。

2.在信息處理方面保持合規(guī)

如果員工更好地掌握了處理敏感信息的方法，企業(yè)自然會更符合相關法律法規(guī)的要求，以避免因違規(guī)而帶來的法律風險。例如網(wǎng)絡安全法、相關行業(yè)網(wǎng)絡安全規(guī)章制度等?？鐕髽I(yè)還會涉及當?shù)赜嘘P數(shù)據(jù)保護方面的法規(guī)，或是企業(yè)軟件開發(fā)人員和信息安全人員沒有意識到阻止惡意流量而導致DDoS 攻擊。

要讓員工的安全意識形成一種企業(yè)文化，例如，員工不能通過即時通訊軟件或其他不安全的渠道非正式地共享企業(yè)敏感信息，IT 專業(yè)人員要在法律框架之下設計和管理IT 系統(tǒng)等。

3.加強物理邊界安全

安全涉及的方面非常繁多，并且遵循“木桶理論”。不管安全體系多么強大，如果存在某一個很明顯的短板被攻擊者利用，那么一切安全措施都是徒勞的。

例如，盡管存在人臉識別或指紋識別的電子門禁，但社會工程攻擊仍然是企業(yè)安全管理上面臨的重要威脅。如果只是擺上設備而疏于管理，陌生人尾隨獲得授權(quán)的人員進入辦公室，就很輕易地突破了限制。

這只是一個很常見且很低級的安全管理漏洞，像其他類似的安全問題還有很多。如果陌生人違規(guī)進入敏感場所，然后對計算機系統(tǒng)進行物理訪問來竊取數(shù)據(jù)，又或者是惡意競爭者偷偷溜進敏感場所進行偷拍該怎么辦？

為避免發(fā)生這些情況，必須制定嚴格的企業(yè)政策以及安全培訓，以確保安全意識培訓囊括整個公司范圍內(nèi)所有員工，而不僅僅是重要崗位員工。

4.減少違規(guī)和負面因素帶來的風險

受過良好教育并且具有較強安全意識的員工可以很好地防范社會工程攻擊，從而避免企業(yè)數(shù)據(jù)泄露事件的發(fā)生。僅此一項就可以保護企業(yè)寶貴的資產(chǎn)，盡可能地減少知識產(chǎn)權(quán)的泄漏，并從整體上保護企業(yè)品牌聲譽。而這些積極措施也能夠更好地吸引投資者并贏得客戶的信任。相反，遭遇數(shù)據(jù)泄露問題的企業(yè)在吸引新客戶方面也將遇到很多麻煩。

5.保護員工的個人信息

不僅僅是保護企業(yè)數(shù)據(jù)資產(chǎn)，員工個人信息也是企業(yè)應重點保護的對象。要知道，員工個人信息泄露同樣會給企業(yè)帶來嚴重損失。因此，增強員工安全意識也應包括對員工個人信息的保護，也證明了保護員工自身利益同樣能讓企業(yè)受益。

總而言之，針對員工的網(wǎng)絡安全意識培訓應當落到實處，而不是停留在理論層面，這樣的投入和付出必將使企業(yè)獲得更大的收益。