对加强企业网络安全意识教育的思考

对加强企业网络平安意识教育的思考必须有组织有体系地持续完善该项工作，提高员工的平安防范意识和技能，防御网络钓鱼等攻击，这样才能有效构建起网络平安的人民防火墙。网络攻击的产业化、市场化、云犯罪、犯罪即服务、共享犯罪、内部共谋等趋势，让更多善于利用"人的漏洞”的攻击者"如虎添翼"。在近几年开展的网络攻防演练中，越来越多成功入侵企业内网的攻击采取了网络钓鱼、供应链预置等社会工程攻击。一些企业往往忽视全员网络平安意识教育的提升与演练，在网络平安意识培训方面投入少，使得人员成为企业网络平安防护体系中的巨大短板。同时，社工欺骗的方式不断翻新，人员的网络平安意识能力提升却很难量化评价，仅仅通过简单的基本知识培训，很难形成敏锐持久有效的平安风险意识。如何有效提高人员网络平安意识、防御社工及网络诈骗风险、建立企业网络空间平安全员防火墙，一直是网络平安行业的难题。从企业实践出发，建议做好以下工作。一、加快网络平安意识标准的制定开展网络平安意识教育提升工作必须标准先行，才能做到有"标"可依、规范执行。美国作为全球网络最为兴旺的国家，从20世纪开始就陆续建立了一系列网络平安意识培ij11评价标准和规范。国内近年出台的网络平安法律规范均对网络平安意识教育考核有明确要求，但在如何落实国家或行业对网络平安意识教育的内容、要求和测评方法等方面仍然探索缺乏，缺乏一套全面的国家或行业标准。2021年，由北京红山瑞达科技牵头承当的《网络平安技术网络平安意识评价指标体系》标准研究工程，在全国信息平安标准化技术委员会WG7会议通过验收。该标准研究工程制定了单位网络平安意识风险的量化评价指标体系和计算方法，从评价单位或组织人员群体网络平安意识风险出发，设计了两级网络平安意识指标体系，设计了每个指标的数值测量和标度方法。每个一级指标和二级指标都有其指标权重。根据行业、地域、评价目标、评价活动导向等不同，可直接调整一级或二级指标权重。后续，相关单位可以在此基础上加快推动网络平安意识全员教育相关的国家标准、行业标准的评价方法、知识体系、工作指南、最正确实践等标准的制定工作。二、加强网络平安意识教育基地建设2016年，"两会"正式通过了《关于在全国范围建设"国家网络平安青少年科普基地"的建议》议案。此后，全国先后建立了北京网络平安教育体验基地（国家科技馆）、福州网络平安科普基地、郑州网络平安科技馆等科普基地。这些科普基地面向广大青少年、学生群体及家长，运用现代化技术手段、通过丰富的视听内容，科普互联网的原理、开展及平安知识，极大地提高了广大青少年的网络平安意识。针对领导干部、涉密人员等特殊群体，局部省市先后建成了几十个保密教育实训平台，通过体验式、互动式演示教学，直观生动地展示网络窃密方式和危害，在保密教育转型升级的道路上迈出了重要一步，大大提升了特殊人员网络平安保密意识。这些基地和实训平台的建设，突出了网络平安意识教育的责任主体，可以有效支撑国家网络平安宣传、普法、科普等任务，推进网络平安进机关、进农村、进社区、进学校、进企业、进军营，有效增强全体人员的网络平安意识。三、健全基于行业岗位的网络平安教育知识体系由于各地区、各行业的信息化程度、管理体制和产业重点不同，因此，各个地区和行业的全员网络平安教育内容，其考核重点也不一样，需要根据实际情况健全不同地区、不同行业、不同岗位类别的网络平安教育知识体系。通常情况下，网络平安知识体系自下而上逐渐由通识教育转向精英教育。例如，普通员工仅需打好网络平安意识基础，了解并掌握一般性网络平安防范知识即可；工程开发人员需要掌握网络平安工程领域的平安知识；企业高管需要强化网络平安风险管理、网络平安战略和策略制定等方面的专门知识。这样才能表达出针对性更强、效果更好的培训效果。四、部署全员网络平安意识教育提升与社工演练上报系统人员漏洞是企业最危险的漏洞（很容易被攻击者利用）和最容易修复的漏洞（不需要昂贵的技术产品和顶尖技术人才），但也是最难修复的漏洞（不被重视、缺乏预算，每个员工都是一个社工攻击面）o因此，开发并部署低本钱、全员覆盖的网络平安意识教育与社工演练上报系统是合适并具有性价比的解决方案。红山瑞达与国家互联网应急中心、北京理工大学等开展产学研合作，联合研制出了国内第一套全员网络平安意识教育提升与社工演练上报系统，其关键技术和应用填补了国内空白。该系统具有网络平安文化宣传、教育考试、钓鱼演练、量化评估、事件上报等功能，能够支撑网络平安宣传周、保密教育、大型网络攻防演练等网络平安活动。同时，系统还能够对接企业邮箱账号、企业微信、钉钉等，连接全员认证和身份管理系统，支持SaaS部署或私有化部署。该系统的功能和应用场景包括但不限于防网络钓鱼模拟演练、网络平安保密宣传教育、网络平安意识量化评价、网络平安保密在线文化宣传等场景。五、完善企业网络平安事件上报机制在企业内部网络平安事件上报机制建设及运营上，我国企事业单位和网络平安企业远远落后于国外。例如，国外从事网络平安意识教育与钓鱼邮件模拟上市公司KnowBe4,是全球最大的平安意识培训和模拟网络钓鱼平台的提供商，累计被全球44,000多家组织使用。该公司的钓鱼模拟与上报数据说明，威胁模拟训练是最为有效的社工威胁防御方式，上报是最有效的钓鱼邮件防御手段之一。国内专业从事网络钓鱼模拟与上报处置的系统与服务的提供商较少，企业内部的钓鱼模拟上报运营机制刚刚开始，这方面与国外差距较大。六、加强国家网络平安宣传周等网络平安意识的宣传教育加强员工网络平安法规和网络平安知识技能普及宣传教育，结合热点事件和法律法规，围绕重点案例、个人信息保护、网络平安风险及应对，制作宣传教育材料；定期提供网络防诈骗、网络平安普及、网络平安普法等宣传材料，定时定量做好公众号、抖音、微博等社交平台内容维护，建成全员网络平安意识教育平台；将网络平安宣传教育活动列入重要议事日程，认真制定活动方案，加大投入力度，调动各个单位积极性，在国家网络安全宣传周期间集中组织开展各类网络平安宣传教育活动，突出宣传实效。充分利用各类媒体平台，加强活动宣传报道，制作播出专题节目，开展知识竞赛、主题晚会等，普及网络平安防护技能，提升网络平安意识。总之，企业网络平安意识提升工作难度较大，涉及文化宣传、教育培训I、攻防对抗等不同工作，也涉及办公室、保密、人力、IT、风控等众多部门，面临工作量大、工作琐碎