知识普及:网络信息安全意识教育培养建议
信安客 2023-11-13
网络信息安全意识的薄弱正在成为企业面临的最大风险,忽视信息安全意识培训教育,可能遭受灾难性的打击。只有员工具备良好的信息安全意识,才会有好的信息安全行为,才能有效保障企业和组织的安全,因此定期开展网络信息安全意识培训对于企业至关重要。
2017年6月1日我国施行了《中华人民共和国网络安全法》,其中第十九条明确规定:各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:定期对从业人员进行网络安全教育、技术培训和技能考核。
通过各种形式的信息安全意识教育、培训及宣传,使得信息安全意识融入到生活工作中,变成一种常态化的工作。
什么是安全意识培训?
广义上讲,可以将安全意识培训即通过培训确保单位员工或个人理解日常的意识缺陷,并通过有效手段的防范以帮助确保组织的信息资产安全。网络信息安全意识培训旨在最大限度地减少网络钓鱼攻击和社会工程对用户造成的严重网络安全威胁,培训主题通常包括账户管理、隐私管理、电子邮件/网络钓鱼安全、网络/互联网安全以及物理安全、资产安全和办公安全。
既然信息安全如此重要,我们要怎么做才能保障安全呢?下面对常见的七大类展开讲解:
1、账户安全
几乎每个人入职初都会领用办公电脑、各种系统权限,拿到电脑的第一步就是开机设置密码,所以从账户安全开始。账户安全常见的风险包括共享账户、使用自动保存密码、设置弱密码或空口令。
账户安全建议:可为禁止账户共享、慎用自动保存及密码安全(8位:大小写字母+数字+特殊字符)三部分。
2、软件安全安全与使用
领取电脑后,开始安装软件,软件安全常见的风险包括下载未知软件、不安装杀毒软件、私自安装不明来路的商业软件。
安全建议:到官方下载,需安装杀毒软件(公司统一杀毒软件或其他推荐杀毒软件均可),预防病毒,禁止私自安装某些类型的商业软件,如确需安装需上报申请。
3、邮件安全
收发邮件是日常工作必不可少的部分,伴随的安全风险也不可忽视。如误发邮件、错发邮件导致的信息泄露、敏感资料不加密或加密的密码直接放在邮件中、收到钓鱼邮件或垃圾邮件等。
安全建议:仔细核对收件人、抄送人和邮件内容,规避误发、错发导致的信息泄露、敏感资料加密发送,收到包含链接、表格等不明来路的邮件需谨慎点击以防钓鱼邮件、垃圾邮件。
4、社交安全
现在的工作生活均离不开社交软件和工具,微信、抖音、微博、QQ等,经常会收到各种信息,尤其是以陌生链接、敏感或不实信息传播等。
社交安全建议:其一是收到的信息要仔细分辨(如骗子冒用同事信息骗取公司资料、离职员工索要公司资料),其二是发出去的信息要谨慎(不能在朋友圈发送工作信息,不能通过社交软件发送公司敏感信息,不发反党反政府言论、不发色情暴力等敏感信息)。
5、个人隐私
个人隐私部分跟每个人都息息相关,该部分的风险在于日常工作中的一些不良习惯,如证件复印件不添加签注、网络调研填写真实信息、快递单直接丢弃等。
安全建议:证件复印件一定要加签注(如下图所示),不添加签注被盗用的风险极高如办理网络贷款等,快递单撕毁或用马克笔涂掉个人信息后再丢弃,网络调研不填写个人真实信息,因为这些信息可能会被黑中介用来进行电信诈骗。
6、办公安全
办公安全是指日常工作中的规范要求,如离开工位要锁屏、打印文件及时取、会议信息要擦除、敏感文件使用碎纸机、公司信息禁止上传到互联网、外部网盘等。
7、电信诈骗
电信诈骗是一个较复杂、多维度的事件,日常需多方查验,谨防上当,当下AI甚是猖獗。
防诈建议:对于电信诈骗的防护,接到陌生电话如果涉及洗钱、转账、公检法相关的直接挂掉就好,不要纠缠也不要想着反套路,术业有专攻。多关注媒体、公安部门通报的案情,增长防骗知识,如接到诈骗电话最好反馈给行政,进行内部信息共享,规避其他同事上当。
2017年6月1日我国施行了《中华人民共和国网络安全法》,其中第十九条明确规定:各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:定期对从业人员进行网络安全教育、技术培训和技能考核。
通过各种形式的信息安全意识教育、培训及宣传,使得信息安全意识融入到生活工作中,变成一种常态化的工作。
什么是安全意识培训?
广义上讲,可以将安全意识培训即通过培训确保单位员工或个人理解日常的意识缺陷,并通过有效手段的防范以帮助确保组织的信息资产安全。网络信息安全意识培训旨在最大限度地减少网络钓鱼攻击和社会工程对用户造成的严重网络安全威胁,培训主题通常包括账户管理、隐私管理、电子邮件/网络钓鱼安全、网络/互联网安全以及物理安全、资产安全和办公安全。
既然信息安全如此重要,我们要怎么做才能保障安全呢?下面对常见的七大类展开讲解:
1、账户安全
几乎每个人入职初都会领用办公电脑、各种系统权限,拿到电脑的第一步就是开机设置密码,所以从账户安全开始。账户安全常见的风险包括共享账户、使用自动保存密码、设置弱密码或空口令。
账户安全建议:可为禁止账户共享、慎用自动保存及密码安全(8位:大小写字母+数字+特殊字符)三部分。
2、软件安全安全与使用
领取电脑后,开始安装软件,软件安全常见的风险包括下载未知软件、不安装杀毒软件、私自安装不明来路的商业软件。
安全建议:到官方下载,需安装杀毒软件(公司统一杀毒软件或其他推荐杀毒软件均可),预防病毒,禁止私自安装某些类型的商业软件,如确需安装需上报申请。
3、邮件安全
收发邮件是日常工作必不可少的部分,伴随的安全风险也不可忽视。如误发邮件、错发邮件导致的信息泄露、敏感资料不加密或加密的密码直接放在邮件中、收到钓鱼邮件或垃圾邮件等。
安全建议:仔细核对收件人、抄送人和邮件内容,规避误发、错发导致的信息泄露、敏感资料加密发送,收到包含链接、表格等不明来路的邮件需谨慎点击以防钓鱼邮件、垃圾邮件。
4、社交安全
现在的工作生活均离不开社交软件和工具,微信、抖音、微博、QQ等,经常会收到各种信息,尤其是以陌生链接、敏感或不实信息传播等。
社交安全建议:其一是收到的信息要仔细分辨(如骗子冒用同事信息骗取公司资料、离职员工索要公司资料),其二是发出去的信息要谨慎(不能在朋友圈发送工作信息,不能通过社交软件发送公司敏感信息,不发反党反政府言论、不发色情暴力等敏感信息)。
5、个人隐私
个人隐私部分跟每个人都息息相关,该部分的风险在于日常工作中的一些不良习惯,如证件复印件不添加签注、网络调研填写真实信息、快递单直接丢弃等。
安全建议:证件复印件一定要加签注(如下图所示),不添加签注被盗用的风险极高如办理网络贷款等,快递单撕毁或用马克笔涂掉个人信息后再丢弃,网络调研不填写个人真实信息,因为这些信息可能会被黑中介用来进行电信诈骗。
6、办公安全
办公安全是指日常工作中的规范要求,如离开工位要锁屏、打印文件及时取、会议信息要擦除、敏感文件使用碎纸机、公司信息禁止上传到互联网、外部网盘等。
7、电信诈骗
电信诈骗是一个较复杂、多维度的事件,日常需多方查验,谨防上当,当下AI甚是猖獗。
防诈建议:对于电信诈骗的防护,接到陌生电话如果涉及洗钱、转账、公检法相关的直接挂掉就好,不要纠缠也不要想着反套路,术业有专攻。多关注媒体、公安部门通报的案情,增长防骗知识,如接到诈骗电话最好反馈给行政,进行内部信息共享,规避其他同事上当。
