企业安全的一个主要漏洞往往由信息安全团队无法完全控制的原因而引起 :用户本身的安全意识。信息安全人员可以给系统打补丁、升级杀毒软件,以及不遗余力的看护装有防火墙的关键设施,但是企业的安全最终还是要依赖于用户的安全意识。
只要用户能够收到外界的电子邮件、访问社交网站以及干其他类似的事情,企业就会持续不断地出现安全问题。
几年前,我所在企业的用户从不担心收到的任何电子邮件。如果邮件主题看起来很有意思,他们就会打开。如果这些邮件中包含一个链接地址或者附件,他们也会打开查看。你很难去责备他们,因为对于没有受过训练的人来说,一些恶意电子邮件看起来的确很吸引人。但是多年以来,这种不假思索就去点击给企业内的前台工作人员带来了很多痛苦。
我通过使我的用户变得具有“网络意识”,从而解决了企业中的这一难题。我每周都会写一个网络安全提示,然后把这些提示通过电子邮件分发给企业中的每个人,而且还在里面加入了一点幽默。我在提示中包含当前的一些安全趋势以及已经存在了很长时间的安全威胁,以此对我的用户进行培训,有时还包括相关网络文章的链接地址。我的用户或许在理解电脑是怎样工作的方面比不上其他人,但是他们能意识到电子邮件中的哪些东西是不应该去点击的——我的杀毒软件日志证明了这样做确实能起作用。
实际上,自从我开始这项计划以后,企业目前的病毒数量已经下降了超过75%。我相信,我拥有世界上最多的具有网络安全意识的用户。这不仅帮助我的前台减少了工作量(节省人工就等于节省金钱),而且我的那些提示还被转发给了用户的家人和朋友。这个做法节省了大量的财富,而且用户家里也有了更加安全的计算机环境。
下面是一个典型网络安全提示的范例:
早上好,欢迎夏天的来临!(唔~,虽然不是很精确,但是孩子们现在放假了,夏天就要来临了。)今天,我将根据朋友转发给我的信息对先前的安全提示内容进行扩充。这是关于在网上不要透漏个人信息的问题,就连在你的电子邮件中像‘离开办公室’这样的看起来无所谓的信息都不要透漏。
那么,让我们来研究一下:假设今年夏天你们大多数人都会外出旅行。在你离开家去旅行之前,你准备好更换你的语音邮件该说什么了吗?“Hi,我们现在不在家,直到6月6日才会回来。请打碎滑动玻璃门,拿走大屏幕电视或者你想要的任何珠宝。听到哔一声响后请留言,谢谢。”
听起来可能有点傻,但是既然你不想把这种信息放在你的电话留言机里,那么为什么你想把这些信息详细的写在你的主页上,或者透漏“离开办公室”这样的信息呢?而你孩子的主页上又应该注意什么呢?可以想到的是:你孩子的有些朋友可能会有问题。任何看了你孩子主页的朋友可能会因为你们全家几个星期都不在家窃喜,他们很可能会去你家,确认你的房子是否没人。
像往常一样,这仅仅是一个幽默小片段,但是也同时会让你深思。就像Robert Wieder所说的,“一旦你逗他们发笑,他们的心脏和想法也会跟随你的意见。”
……请点击下面的链接查看更多的信息:
http://news.yahoo.com/s/ap_travel/20090608/ap_tr_ge/travel_cybertrips_vacation_messages
感谢收听。
如果你掌握了窍门,那么写这种安全提示就是一件简单的事情。你可以在网络上搜索最新的安全威胁话题,然后设置一点幽默,使得读者对这个话题感兴趣。提示的电子邮件可以不单单讨论病毒,偶尔从这个压抑的话题里跳出来,包含一些关于节日假期方面的提示。举个例子,在圣诞节假日期间,我总是发送一个关于网上安全购物的提示。然后通过email给企业的用户发送这些提示,或者在你公司的内部网络中进行转发。在这之后的几年里,我发现我的用户已经开始通过发送他们收到的恶意电子邮件的疑问或例子来给我提供建议了。
这样做的目的是帮助用户识别恶意消息,并且让他们为自己能够识别这些恶意消息而感到骄傲。一旦用户达到了这个水准,前台工作人员会很感谢你。所以,行动吧,尽快确保你的基础设施安全。在客户端设备和服务器上打补丁,或者升级杀毒软件,保持查看那些防火墙与IDS的日志。但是,如果想让你的工作更轻松,那么请通过提高用户的安全意识来确保你的用户安全吧。