现在位置: 首页 / 网络安全 / 正文

人力防火墙管理系列–让防火墙永驻人心

  信息安全教育是实施信息安全的基础,在美国的安全保障国家策略中,安全意识的培训和教育列在第一位,从联邦政府到国防部门,很多都设有安全培训服务。为了提高信息安全和信息保障能力,美国政府拨款1.5亿美元,拟在7所院校建立“信息保障教育优秀学术中心”。


  我国政府及企业也开始意识到信息安全教育的重要性,开始加大投入,制定各种不同范围、不同层次的安全教育与认证计划。


  完备的安全教育计划可以提高员工的安全意识与技能,改变他们对待安全事件的态度,使他们具有一定的安全保护技能,以更好地保护组织的信息资产。好的安全教育计划,应该让员工知道组织的信息安全面临的威胁,及信息安全事件带来的后果,并通过各种方式使这种不良后果能明确地展现在员工面前,使员工切身感觉到安全事件与自己息息相关。


  安全教育模型


  安全教育计划要阶段性地进行,要在员工中形成一个坚持不懈的氛围,教育的形式既要生动有趣,又要紧凑有效。组织可以考虑采用美国国家标准与技术研究院提出的信息安全学习模型来设计安全教育计划,这是一个基于角色与职责的、框架式的安全教育模型,这个模型适应于分布式计算环境下的安全教育,并能适应未来技术的不断发展与风险管理决策的要求。模型如下:


 


  从这个模型,可以看出安全教育的信息流动是从底向上流动。在最底层,所有员工,包括管理人员、普通职员以及有业务关系的合作伙伴,都要求接受安全意识的教育,因为他们的安全教育,使他们具有较深的专业知识与较宽的技术视野,能处理复杂安全问题的能力,并能跟上信息安全技术的发展步伐。


  这里有几个概念要搞清楚:


  意识(Awareness):是一个能改变个人与组织对信息安全的态度的学习过程,通过这个过程能使个人与组织认识到信息安全的重要性以及信息安全事件所带来的危害。


  意识并不是培训,它更像是一种陈述与简介。它要通过有吸引力的推销与完美的包装来使受众接受安全观念,从这个意义上讲,意识追求的就是一种广告效应,它要先于培训,不像培训那样正规,但它要求有广告式的视觉与听觉冲击力,能提醒员工时时关注重要的信息安全实践,理解安全对实现组织目标的重要性,消除员工对安全规则的厌烦感觉。


  传统的商业意识如 “顾客就是上帝”、“时间就是金钱”已根植于员工的头脑中,信息安全意识也要达到这样的效果,通过长期保持一种“信息安全、人人有责”的企业安全文化氛围,使员工潜移默化地成为组织信息安全政策的忠实执行者,成为组织最可靠的人力防火墙。


  对不同的听众,要采用不同的形式的意识计划,对管理人员要强调管理人员在建立组织安全文化上的关键作用,对于其他人员如普通业务员、IT技术人员、业务伙伴等,则要强调信息安全与本职工作结合的重要性。切记在当前信息互联的环境下,组织内外的任何人都有可能访问组织的重要信息资源,从而形成对组织信息资产的威胁。


  培训(Training): 构造知识与技能以提高员工工作能力,使得员工更有效地完成特定的工作。培训应包括 “做什么”与“如何做”两方面的内容。培训可以有很多层次,从最基本的安全实践到更高级的、专门的技能。培训可以是计算机辅助式教学或课堂式教学,可以包括实际操作或案例研究。


  教育(Education):是更高一级的培训方式,通过增强在某一研究领域的经验,进一步提高与开发其知识、技术与能力。教育面向的是组织中的信息安全专业人员与那些在某一领域需要专门安全技术的员工。


  三种教育方式的区别:


 


  模型定义了三种不同的安全教育级别:初级、中级与高级。初级提供基础培训,是面向某一安全角色的初始入门者;中级是对熟练员工的培训,旨在提高安全知识的深度与广度,培养安全通才与专才;高级是指通过培训使信息技术专业人员获得进一步的安全知识与技能,从而具有解决关键信息安全问题与进行技术评估的能力。


  确定目标听众


 


  信息技术安全学习模型,使我们为不同的人设计不同的学习内容提供了灵活性,下表指出了技术与非技术目标听众的工作分类。信息安全教育的主要目标,就是要填补存在于信息安全专业人员与业务人员之间的鸿沟,这两类人员在传统上是并列存在的,并且互相之间并不了解。面对信息安全的特点,两者需要互相了解,互相融合,当他们的知识趋向融合时,我们就可以说特定安全教育达到了目的。


  由于内部人员掌握组织的信息系统的核心机密,他们有最大的系统访问权限,他们是信息系统的最大潜在威胁,安全教育是应对威胁,减轻相关风险的有效方式。


  确定核心知识体


  信息技术的发展日新月异,信息安全教育虽然面临着一个庞大的并不断增长的知识体,但可以把基本的信息安全概念与框架作为培训与教育的基础,核心知识体一般由以下方面组成:


 


  这些主题是设计一个成功的、综合性的信息安全教育计划的基石,其具体内容要随着技术的发展不断完善。


  设计与开发安全教育计划


  设计与开发安全教育计划要根据组织特定的安全教育需要,提出相应的教育方法。提高用户安全意识是实现组织信息安全的基础,特别是对非技术人员这一点尤为重要。信息安全的最主要的研究对象是“人”,提高安全意识计划能解决通常的“人”的问题。在不断变化的信息安全环境下,要善于应用即时而又生动形象的方式让员工知道什么是该做的,什么是不该做的,使得员工自觉遵守组织制订的信息安全政策、程序与相关实践。不同类型的安全教育计划如右表。


 


  根据这张目标听众与所需的信息安全知识和技能的对照表,就可以设计与开发出既能满足组织内员工初级、中级、高级三种层次需求,又能满足基于角色和绩效需求的信息安全教育计划。通过制定目标明确,灵活实用的信息安全教育手册来细化各种知识与技能的培训,并优先考虑那些最关键的、组织又相对缺乏的培训内容。


  组织中员工的信息安全意识,是组织信息安全的基础。组织中的管理者必须未雨绸缪,大力提高员工的信息安全意识。通过各种形式的宣传、培训、教育,使员工知道:信息安全已成为任何人、任何时候、任何地方都不可或缺的需求,持续的而又完备的信息安全教育计划是建立人力防火墙的技术手段,它是组织数字化安全生存的必要保证。


  案例


  美国的信息安全教育


  美国对信息安全的教育非常重视,投入了大量的人力、物力来研究和推广实施多层次的信息安全教育项目。这里简要介绍面向政府的“联邦政府信息安全教育”项目和民间的“计算机公民”项目。


  一、联邦政府信息安全教育项目


  美国政府在其《信息系统保护国家计划》制定了针对联邦政府的信息安全工作4个信息安全教育培训项目:


  ·联邦计算机服务(FCS)项目


  1997年美国审计总署(GAO)在一篇报告中阐述了联邦政府内的信息系统人员的短缺情况,报告中总结道,联邦政府“缺少具有管理控制技术知识的人员”。政府为此发出了呼唤:“我们要通过综合性的工作来训练和教育我们的IT雇员,并向所有的联邦提供基本的安全意识培训,这是亟待完成的。”而FCS 项目的制定就是为了达到这个目的。


  ·服务奖学金(SFS)项目


  SFS项目是为了解决后备人才的问题,面向的是研究生和本科生。在该项目中,政府将资助研究生或本科生的学习,使他们达到信息保障标准的要求,作为偿还,这些学生要事先同意学成后服务于联邦政府。


  ·中小学拓广项目


  这一项目更显示出了联邦政府的深谋远虑—因为该项目的对象是中小学生,旨在提高初中学生和老师的对IT安全和联邦计算机服务的认识。美国政府这样认识该项目:“IT领域内一个明显的趋势是,年轻一代有了参与世界并在这个世界中竞争的能力。这促使我们着手开发一个中小学拓广项目。”


  ·联邦范围内的意识培养项目


  为了提高联邦雇员的IT安全意识,联邦政府作了大量工作。政府的“意识培养”项目的目标就是,保证所有的联邦雇员都知晓计算机入侵给联邦系统带来的威胁,使他们能够识别这类事件,并且知道应该采取哪些步骤来响应事件。


  二、“计算机公民”项目


  这是由美国信息技术协会(ITAA)和司法部开展的一个的全民教育运动,并提供必要的资源。“计算机公民”活动有几下内容:


  对儿童、年轻人以及更广泛的用户团体进行关键信息保护方面的基础教育,并使大家知道合法在线活动的范围和限制。活动的第一步将集中于对儿童用户进行教育,向他们解释计算机应用道德的重要性;


  出版计算机和网络安全字典,使公共和私营部门在保护其信息资产时能够迅速找到所需的计算机安全资源;


  在工业界和联邦政府之间建立正式的人才交流项目,推动教育和意识培养活动的发展,促进产品开发,并创造进一步的合作机会。