专栏首页玄魂工作室【转】信息安全培训该如何做?

【转】信息安全培训该如何做?

原创: 不二 安全初心 前天 今天早晨开始日常上网,忽然被"A站被黑客攻击,近千万条用户数据外泄"的文章刷屏,原来A站在凌晨遭受了黑客的攻击,用户的个人信息泄露。此次事件势必又会引起大众对信息安全的重视,因为信息安全的价值本来就不好界定,只有在出现类似事件的时候,大多数人才会感慨原来信息安全离着大众不算太远。相信在未来的信息安全行业里面针对安全运维、安全开发以及安全意识的培训会更加普及。下面就由老衲为大家普及一下普通员工的信息安全培训从哪些方面做起?

缘起

在国内的信息安全服务里面,关于员工安全意识,基本就是由几个做服务的人员进行两次培训,PPT用的基本上都是掉了渣的老古董,什么钓鱼,鱼叉之类的各种穿插,赚足眼球,但是企业员工的消化能力非常有限!国外有的乙方公司在社会工程学以及反欺诈方面做的就很好,他们专注于这一方面,国内这块市场应该还没有完全孵化好!

在日常的工作中,广大企事业员工总认为,信息安全工作是信息中心或网络中心的事情,事不关己高高挂起,企业的邮件系统、OA反正有运维人员维护着,自己关注自己的业务就是了,根本认识不到信息安全工作是关系到自己的信息泄露乃至进一步的欺诈风险。

  1)这就要求员工在入职时、分配到部门时,都要进行信息安全教育,让员工认识到信息安全不仅是企业的事,也是自己的事。员工在安全反复强调面,做得好的要奖励,做得不够的,要处罚,从而在工作中到到自己注意安全。

  2)让员工明白”安全是天”,不仅是对你自己负责,也要对你的企业负责。要让员工树立“自己安全自己负责,同事安全自己有责”的安全意识。

培训员工的哪些方面?

1、首要的我觉得是个人信息保护意识:现在大部分做社会工程学信息收集的都是通过搜索引擎及各种社交平台,微信、微博、人人网、QQ空间收集尽可能多的个人资料,有时候还会对家人朋友的信息进行收集,完成收集信息阶段,坏人需要定制各种各样的话术,我如果说坏人的剧本都是有专业的研究心理学方面的编剧定制的,你信吗?

比如说:你是一名大学生,如果坏人提前收集了你跟你父亲的资料,坏人可能就会给你的父亲发消息说,“爸,我今天去KTV找了个姑娘,不小心被抓了,可能要被开除,毕不了业,你马上给李警官的账户转点钱,里面看的紧,等我出来之后再给你细说,然后卡号: 62XXXXXXXXXXXXXX 姓名”,

2、密码安全:强烈建议个人建立多个强密码,工作中的业务系统的密码更应做到细粒度划分,很多时候面对大型的国企、银行,攻击人员首先通过社工库,查询到内部的某个邮箱,有的从社工库查询到的密码可以直接登录,如果密码过期了话,他们会选择爆破的方式,这些大型企事业的内部邮件系统好多没有验证码,Exchange的OWA直接可以爆破,如果进入到对方的邮件系统,坏人又可以通过好的剧本来给你们群发邮件了。

3、邮箱安全:大部分反垃圾邮件系统现在都已经支持SPF过滤,但是不排除邮件头伪造的情况,很多坏人伪造公司部门高管、信息中心、运维部门的职员来发送邮件,出于信任很多小白员工打开对方的木马文件,这样他的机器就成了待宰的羔羊!一定要跟员工普及一点,邮件里面但凡收到关于密码修改、下载软件等疑似高危操作的地方,一定要找技术人员咨询!

4、无线安全:伴随着WiFi和蓝牙等无线技术的不断发展,越来越多黑客也参与其中,各种假的接入点、假的基站层出不穷, 一旦连接到黑客设定的WiFi热点,一些没有加密的通信就可以直接被查看。坏人模仿XX公司(xxtech),搭建一个名为xxtech01的WiFi热点,如果公司职员无线接入的时候选择了该SSID,那么上网的所有数据包,都会被黑客截留。坏人如果拿到了企事业里面的第一个密码,可能就会是噩梦的开始!

5、边界访问安全:很多朋友私下里给我说,公司里面比较头痛的就是边界访问这块了,经常有的同事下载xx加速器、xx下载器,导致机器中招,甚至有的被感染蠕虫,这块确实最难防,因为培养员工的信息安全意识,总不能不让人家去访问外界的网站吧?还是考虑给员工统一装个HIPS吧

6、内网安全:同事之间发送关于密码这类的文件时,必须加密!

企事业还需要成立专门的信息安全领导小组,制定各部门的响应程序,周密部署各项信息安全工作,明确工作职责和责任人。 

攻防中的心理及意识对抗

普及部分心理学知识,该部分来源互联网,对于应对非技术类的攻击足够了:

 一是抓住人“贪心”的心理弱点,如获奖信息,补助金、救助金、助学金,购物退税、退款,快递签收,提供考题,低息贷款,积分兑换、降价奖励,虚构色情服务等诈骗方式,一步步地抓住人的贪念,诱导人上钩;

  二是利用人的“安全顾虑”心理,如诈骗分子冒充公检法人员、冒充领导、包裹藏毒、虚构车祸、意外急救、虚构绑架、欠费、破财消灾等诈骗方式,均以突来的“问题”,让受害者产生恐慌,短时间失去理智;

  三是消费公众的“爱心”,如点赞、转发、爱心捐助等,通过虚构悲情故事、求助信息等,骗取公众的爱心;

  四是利用公众的“好奇心”,包括“猜猜我是谁”,以及通过新型网络软件,引导公众通过点击不明来源网址,植入病毒程序,盗取网银密码、日常生活信息等,“此类诈骗方式隐蔽性强,传播范围广,十分值得警惕。”上述专家指出。

公众号文章详情:安全初心

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-06-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 赣州银行增强科技创新,实现一键灾备切换

    ​8月23日,周五,到了下班时间,赣州银行数据中心还是一片忙碌。今天晚上,他们将在这里开始一年一度的灾备切换演练,11个部室和8个分支行验证机构参与,演练范围包...

    嘉为科技
  • 如今,风口浪尖上的“超融合“发展得怎么样了?

    一方面,超融合实现了云计算与数据中心的智能化,真正解决了云计算带来的运营维护和管理成本增加的问题。

    华章科技
  • 优秀的技术选型(摘选)

    老梁
  • 从CMDB到数据中台

    2018年年底到2019年年初,一场组织变革的飓风席卷了国内各大互联网公司。阿里、腾讯、百度、京东、美团等先后拿出了几年来最大规模的组织调整计划。在这些变化中,...

    CloudBest
  • CDN搭建

    2.托管机房------买了机房,服务器,每月收多少费用--深圳机房--机房多少钱一天

    用户6252193
  • 让网络更简单:SD-Access 之概览

    作者简介:张磊,思科原厂8年多technical consulting engineer,精通思科数据中心/园区网产品及技术;精通SAN网络架构及产品;熟悉广域...

    SDNLAB
  • RocketMQ生产环境主题扩分片后遇到的坑

    消息组接到某项目组反馈,topic 在扩容后出现部分队列无法被消费者,导致消息积压,影响线上业务?

    丁威
  • dubbo-springboot入门级demo

    老梁
  • 测试思想-流程规范 关于预发布环境的一些看法

    就在前不久,感觉有点突然的让运维搞了一套预发布环境,也不知道谁的指令,我猜测十之八九是头下的吧。因为增加了一套环境,测试猿的事情也就相应的增加了,谁让我们是底...

    授客
  • 混合云在全球得到广泛应用,国内尚处起步阶段

    如今,混合云、多云环境,已经成为主流趋势。那么,从应用落地角度看,混合云到底发展到何种程度了呢?中国信息通信研究院云大所云计算部副主任马飞认为,混合云的确是大势...

    CloudBest

扫码关注云+社区

领取腾讯云代金券