现在这个时代,说保密不说网络安全,基本等于白说。为什么呢,因为现在百分之九十以上的信息泄露,都跟网络或电子设备有关。传统意义上的"间谍战"已经不多了,取而代之的是网络钓鱼、黑客攻击、社工陷阱这些新型手段。保密培训如果还停留在纸质文件、物理门锁这些传统层面上,应对今天的风险就远远不够了。
那我来说说,在保密培训中,网络安全防护意识应该怎么培养。
有一次我给一家企业做培训,问现场的人一个问题。你们觉得自己的网络账号密码安全吗,几乎所有人都点头。但当我问"你们有多少人公司的密码和个人网站的密码是一样的"的时候,超过一半的人举手了。看到这个场景,培训讲师还没说话,大家自己就已经意识到问题了。
这个小小的互动说明了一个道理,网络安全意识的培养,要从纠正日常生活中的坏习惯开始。很多人在工作中犯的网络安全错误,跟技术无关,纯粹是习惯问题。
那么保密培训中的网络安全模块,到底应该覆盖哪些内容呢。
第一个是密码安全意识和管理。密码是网络安全的第一道防线,但也是被忽视的防线。培训中要讲清楚,为什么不能用简单密码、不能所有地方用一个密码、不能把密码写在便利贴上贴在显示器旁边。要教会员工使用密码管理工具,以及做好双因素认证。这些内容看起来基础,但恰恰是最容易被忽视的。
第二个是钓鱼邮件的识别和防范。钓鱼邮件是目前最常用的网络攻击手段之一,攻击者伪装成银行、快递公司、系统管理员甚至公司领导,诱导员工点击恶意链接或者下载病毒附件。培训中要教员工怎么识别钓鱼邮件的特征,比如邮件地址是不是真实的、有没有拼写错误、有没有紧急要求操作等。最好准备一些真实的钓鱼邮件样本给员工辨认,加深印象。
第三个是社会工程学攻击的防范。社会工程学攻击是指攻击者利用人性的弱点,通过套话、假冒、欺骗等方式获取信息。比如有人打电话假装是IT管理员,要求员工提供登录密码。或者假装是新来的同事,在群里问公司的网络配置信息。培训中要教员工识别这类骗局的套路,并明确告知,任何时候都不能把账号密码告诉任何人,即使是自称IT部门的人也不行。
第四个是移动设备和公共网络的安全使用。现在很多人用手机处理工作,用公共WiFi上网,用个人云盘同步文件。这些行为在带来便利的同时,也带来了很大的安全风险。培训中要讲清楚,公共WiFi有被监听的风险,不能在公共网络环境下登录公司系统处理涉密信息。移动设备要设置自动锁定功能和远程擦除功能,以防丢失后数据泄露。
第五个是社交媒体的信息发布安全。员工在社交媒体上发布的信息,可能在不经意间泄露公司的内部情况。比如发一张办公室的照片,背景里可能露出了一块白板上的工作安排。或者发一条"今天终于把项目上线了"的朋友圈,暴露了产品的上线时间。培训中要提醒员工,社交媒体不是私人空间,发布任何跟工作相关的内容都要三思。
第六个是防范勒索软件和病毒攻击。勒索软件是目前企业面临的主要网络安全威胁之一。培训中要教员工如果收到可疑的文件或邮件,不要轻易打开。日常要养成定期备份重要数据的习惯,并且知道发现病毒感染之后应该怎么处理,比如立即断网、上报IT部门。
在培训方式上,网络安全模块最忌讳的就是理论说教。因为网络安全是比较技术性的内容,员工听了容易犯困。建议尽量用可视化、互动化的方式来讲。比如模拟一次网络攻击的过程,给员工演示钓鱼邮件是怎么骗人的,或者做一个网络安全知识的小测试,让大家自己发现自己的知识盲区。
还有一个效果不错的做法,就是组织内部的网络安全攻防演练。IT团队模拟攻击者,向员工发送模拟钓鱼邮件,看看多少人会上当。演练结果出来后,针对上当中招的员工做针对性的辅导。这种实战演练的警醒效果,比任何说教都管用。
网络安全这件事,说到底是人和技术一起起作用。技术再先进,如果人的安全意识跟不上,也是形同虚设。把网络安全防护意识培养融入保密培训,才能帮助员工在数字化时代真正守住信息安全的底线。
如需了解更多培训信息,可咨询联系官方培训专线 010-87562232,或发送邮件至 px@baomiwang.com
