如何能提高企业员工自身的信息安全观念
若有人问你:如何在繁忙的街道上走,钱包、手机不被偷呢?除了要加强道路的治安管理之外,最重要的是员工自己要有安全意思,把钱包、手机放在不被人偷的地方。其实,不仅是逛街时要提高字我防盗意思,在我们企业网络安全管理中,提高员工的自我安全观念也是非常必须的。
所以,对于企业网络的安全管理,我们不但要从技术层面入手,通过层层限制保护企业网络安全;同时,我们也要通过对员工进行各层次的宣传、培训,提高员工自身的网络行为安全观念。 可是,说说容易,做做难。为什么这么说呢?因为很难有有效的手段可以加强员工在网络方面的安全认识。我以前也有这方面的麻烦。不够现在还好,我在实际工作中总结出了一些比较行之有效的方法,可以提高员工对于网络安全行为的认识。现在我就把我的经验分享出来,供大家分享。 一、 利用内部联络书,加强员工对于网络行为安全的认识 让员工在相关的文件上签上自己的大名,他们的大名可以证明,他们了解了某项网络安全行为规则并且愿意执行它。为什么要这么做呢?因为从心理学角度来讲,大多数人在签自己的大名的时候,都会下意思的去了解文件的内容。所以我们如果让员工在我们即将执行的网络安全政策上签字的话,他们就会去仔细的观看文件的内容。而若我们只是把文件发给他们看的话,那他们很可能看都不看,就把文件扔进垃圾袋了。 如我在新员工就位的时候,会对他们进行信息化安全方面的培训。在培训过程中,会有一些文件,我们公司叫做内部联络书,让他们签字。这些文件包括如何保护自己邮箱的安全、在使用文件服务器时如何保障自己文件的安全、在打开带附件的邮件时如何避免病毒的威胁等。在以前,我进行这些新进员工信息化安全培训的时候,只是培训,没有让他们签署相关的内部联络书。可是,效果明显不好。很多员工都是一只耳朵进一只耳朵出。真当出了问题时,他们都推脱说不知道、不清楚、没跟他讲过。但是,现在,我让他们签署相关的文件,效果就好多了。在签下他们的大名之前,他们都会认真阅读相关的文件内容,对于文件中的一些疑惑的地方,他们也会认真询问。直到了解了,他们才会签上大名。不然的话,以后他们若触犯这些条款的话,会受到公司相应的处罚。在这个利害关系面前,他们能不仔细阅读相关内容吗? 我不单对新进员工如此做,在遇到重大安全事件时,我也会采取联络书的形式,高知各位员工,该如何处理。如上次出了一个要命的熊猫烧香病毒,我就写了一份内部联络通知书给各个员工,告诉他们如何防治,如不能随意打开别人发过来的带有附件的邮件等等;还跟他们说了,若发现电脑中有熊猫烧香图样的文件时,不应该非常好奇的打开,而应该即使告知我们网络管理人员或者自己在我们的文件服务器上下载专杀工具进行查杀。这些内部联络书当然要各个员工看过后签字。 我们在内部联络书上让员工签字,而不是直接发给他们,不是说我们不相信员工(确实大部分员工不会把我们IT部分发的通知当作一回事),而是我们想通过这种手段,去“逼迫”员工去了解相关政策的内容,要让他们知道,哪些网络行为是非常危险的。特别是再一些病毒爆发的时候,我们必须让他们明白什么样的操作行为是危险的,以及真的不幸中毒的时候,该采取什么样的措施才能够不把损失扩大。 通过内部联络书,再加上员工签字的形式,可以提高员工对于网络安全规则的认识,至少比简单的发通知的效果要好的多。 二、 使网络安全资料容易获得 虽然通过内部联络书加上员工签字的形式,让员工熟悉我们企业的网络安全规则。但是,从是有那么一部分人比较健忘,今天记得明天就忘了。所以,我们要提供一个平台,能够时时提醒用户这些规则的存在;同时,员工有时候需要查看这些信息时,也能够轻易的取得。 1、定期、不定期的发送网络行为安全的相关资料。如我在平时的工作中,会定时、不定时的通过邮件形式发送一些网络安全的行为及应对措施。如上次腾迅网上有个新闻,说一家企业离职后,把企业机密信息带走自己创办企业,最后被原东家起诉的新闻。我通过这些活生生的案例,来提醒企业的员工要保护好自己文件的安全。然后,在每个新闻后面,我都会进行点评,讲述一些防止类似事故的建议。如给自己的文件设置比较复杂的访问密码、自己电脑不轻易给去其他员工使用、尽量把文件保存在文件服务器上因为文件服务器上有比较严格的文件保护方案等等。通过这些案例展示,并附上对应的解决方法,要比那些空泛的培训,效果要好的多。同时,当某些病毒爆发时,我也会把病毒可能的传播途径、中毒的症状及如何自我防治等信息通过邮件群发给所有员工,提醒他们要注意网络安全。这个根据不同的时期发送对应的内容,也比传统的一篮子培训效果要明显。因为人一般在需要的时候才知道资料的可贵;而我们在恰当的时间给予他们想要的资料,那他们当然会把这资料当成包了。 2、利用企业的文件服务器,把一些常见的网络安全行为规则放在网上公布,以方便企业员工在需要的时候查询。在文件服务器上放置这些企业网络安全规则的时候,要注意几个问题。一是要给这些文件提一些比较能够吸引人眼球同时又能够反映实际问题的名字。如“文件服务器用户名与密码忘了,该怎么处理?”、“我的重要文件,如何只有我自己或者特定的人进行访问?”。这些以问题形式的文件题目会比较令人感兴趣,而且,用户在遇到问题查找时也比较容易找到。第二在书写这些文件时,要注意最好也菜用一问一答的形式,而不要采用长篇大论的学术文体。第三在正文的内容里,不要用很专业的术语,如IP安全策略、密码生成机制等只有专业人员才看得懂的术语。这些语言我们可能一看就知道,但是,对于其他员工来说,可能就是天书。特别是在书写的时候,不要用我们行业的英文简称,如MAC地址等等。第四在告诉用户该如何操作或者问题的症状的时候,最好能够通过图文的形式向员工显示相关的 内容。因为光看文字员工可能还不知道该怎么操作,所以不要把员工想得太聪明,毕竟他们不是网络方面的专家。 3、遇到重大危险事件时,要及时的把这个可能影响网络安全的事件告诉员工,并且让他们采取必要的措施。如有些病毒发作是有一定的时期的,在这个时期快要到的时候,就发一份这个病毒的资料,图文并茂的向员工展示这个病毒发作的症状、危害及一些简单的预防措施。不要把一些专业的预防措施放在上面,他们不了解,而且,若他们对照着做的话,还可能越弄越糟。所以,在这上面只需要附上简单的预防措施即可。如遇到有新出现的木马或者病毒等有可能危害企业网络安全的新闻报道出来时,我们可以未雨绸缪,先把这些信息告诉员工。如此,他们下次在遇到这种现象时,可能也不会不顾网络的安全进行盲目的操作。 三、 “有困难找警察” 有困难找警察,是人民警察的一句宣传语,我们且不论其可行性有多高,但是,其在我们网络安全管理上,还是比较适用的。 当企业在平时工作中,若遇到一个莫名其妙的文件,如某个自己需要用到的文件图标变为熊猫烧香的时候,他们该怎么办? 首先,我们希望员工在遇到这种情况的时候,要想到“有困难找警察”,而不是盲目的去打开这个希奇古怪的文件。因为这些往往是病毒,他们一打开这些文件的话,或者把文件放到网上共享的话,可能会让这个病毒在网络上盛行。所以,我们就是企业中的警察,当员工遇到一些莫名其妙的情况时,要记得找我们,而不是随意的自行处理。我们宁可累一点,多跑一些冤枉路,也不愿意因为员工盲目的操作导致网络瘫痪时,我们再来收拾残局。 其次,用户要能够辨别常见的一些病毒或者其他影响网络安全的症状。如看到一个文件的图标莫名其妙的变成了熊猫烧香的病毒的话,那他们就要知道是电脑中毒了。然后告诉我们他们电脑中了熊猫烧香的病毒,然后,我们就可以告诉他们问题的解决方法。这就好象有火灾时,你不仅要告诉我们起火的地点,最好也能够告诉消防员起或的物质,因为只有如此,我们才能够准备对应的灭火材料,提高灭火的效率。所以,员工在跟我们说电脑中毒了的时候,最好能够说清楚问题的症状,那对于我们提高处理问题的效率,是很有帮助的。 所以,我们在培养员工自身安全观念的时候,还要培养他们“有问题找警察”的观念,而不是出了什么问题时,私自解决。这样的话,可能会把原来很小的一个问题变得很复杂。
所以,对于企业网络的安全管理,我们不但要从技术层面入手,通过层层限制保护企业网络安全;同时,我们也要通过对员工进行各层次的宣传、培训,提高员工自身的网络行为安全观念。
可是,说说容易,做做难。为什么这么说呢?因为很难有有效的手段可以加强员工在网络方面的安全认识。我以前也有这方面的麻烦。不够现在还好,我在实际工作中总结出了一些比较行之有效的方法,可以提高员工对于网络安全行为的认识。现在我就把我的经验分享出来,供大家分享。
一、 利用内部联络书,加强员工对于网络行为安全的认识
让员工在相关的文件上签上自己的大名,他们的大名可以证明,他们了解了某项网络安全行为规则并且愿意执行它。为什么要这么做呢?因为从心理学角度来讲,大多数人在签自己的大名的时候,都会下意思的去了解文件的内容。所以我们如果让员工在我们即将执行的网络安全政策上签字的话,他们就会去仔细的观看文件的内容。而若我们只是把文件发给他们看的话,那他们很可能看都不看,就把文件扔进垃圾袋了。
如我在新员工就位的时候,会对他们进行信息化安全方面的培训。在培训过程中,会有一些文件,我们公司叫做内部联络书,让他们签字。这些文件包括如何保护自己邮箱的安全、在使用文件服务器时如何保障自己文件的安全、在打开带附件的邮件时如何避免病毒的威胁等。在以前,我进行这些新进员工信息化安全培训的时候,只是培训,没有让他们签署相关的内部联络书。可是,效果明显不好。很多员工都是一只耳朵进一只耳朵出。真当出了问题时,他们都推脱说不知道、不清楚、没跟他讲过。但是,现在,我让他们签署相关的文件,效果就好多了。在签下他们的大名之前,他们都会认真阅读相关的文件内容,对于文件中的一些疑惑的地方,他们也会认真询问。直到了解了,他们才会签上大名。不然的话,以后他们若触犯这些条款的话,会受到公司相应的处罚。在这个利害关系面前,他们能不仔细阅读相关内容吗?
我不单对新进员工如此做,在遇到重大安全事件时,我也会采取联络书的形式,高知各位员工,该如何处理。如上次出了一个要命的熊猫烧香病毒,我就写了一份内部联络通知书给各个员工,告诉他们如何防治,如不能随意打开别人发过来的带有附件的邮件等等;还跟他们说了,若发现电脑中有熊猫烧香图样的文件时,不应该非常好奇的打开,而应该即使告知我们网络管理人员或者自己在我们的文件服务器上下载专杀工具进行查杀。这些内部联络书当然要各个员工看过后签字。
我们在内部联络书上让员工签字,而不是直接发给他们,不是说我们不相信员工(确实大部分员工不会把我们IT部分发的通知当作一回事),而是我们想通过这种手段,去“逼迫”员工去了解相关政策的内容,要让他们知道,哪些网络行为是非常危险的。特别是再一些病毒爆发的时候,我们必须让他们明白什么样的操作行为是危险的,以及真的不幸中毒的时候,该采取什么样的措施才能够不把损失扩大。
通过内部联络书,再加上员工签字的形式,可以提高员工对于网络安全规则的认识,至少比简单的发通知的效果要好的多。
二、 使网络安全资料容易获得
虽然通过内部联络书加上员工签字的形式,让员工熟悉我们企业的网络安全规则。但是,从是有那么一部分人比较健忘,今天记得明天就忘了。所以,我们要提供一个平台,能够时时提醒用户这些规则的存在;同时,员工有时候需要查看这些信息时,也能够轻易的取得。
1、定期、不定期的发送网络行为安全的相关资料。如我在平时的工作中,会定时、不定时的通过邮件形式发送一些网络安全的行为及应对措施。如上次腾迅网上有个新闻,说一家企业离职后,把企业机密信息带走自己创办企业,最后被原东家起诉的新闻。我通过这些活生生的案例,来提醒企业的员工要保护好自己文件的安全。然后,在每个新闻后面,我都会进行点评,讲述一些防止类似事故的建议。如给自己的文件设置比较复杂的访问密码、自己电脑不轻易给去其他员工使用、尽量把文件保存在文件服务器上因为文件服务器上有比较严格的文件保护方案等等。通过这些案例展示,并附上对应的解决方法,要比那些空泛的培训,效果要好的多。同时,当某些病毒爆发时,我也会把病毒可能的传播途径、中毒的症状及如何自我防治等信息通过邮件群发给所有员工,提醒他们要注意网络安全。这个根据不同的时期发送对应的内容,也比传统的一篮子培训效果要明显。因为人一般在需要的时候才知道资料的可贵;而我们在恰当的时间给予他们想要的资料,那他们当然会把这资料当成包了。
2、利用企业的文件服务器,把一些常见的网络安全行为规则放在网上公布,以方便企业员工在需要的时候查询。在文件服务器上放置这些企业网络安全规则的时候,要注意几个问题。一是要给这些文件提一些比较能够吸引人眼球同时又能够反映实际问题的名字。如“文件服务器用户名与密码忘了,该怎么处理?”、“我的重要文件,如何只有我自己或者特定的人进行访问?”。这些以问题形式的文件题目会比较令人感兴趣,而且,用户在遇到问题查找时也比较容易找到。第二在书写这些文件时,要注意最好也菜用一问一答的形式,而不要采用长篇大论的学术文体。第三在正文的内容里,不要用很专业的术语,如IP安全策略、密码生成机制等只有专业人员才看得懂的术语。这些语言我们可能一看就知道,但是,对于其他员工来说,可能就是天书。特别是在书写的时候,不要用我们行业的英文简称,如MAC地址等等。第四在告诉用户该如何操作或者问题的症状的时候,最好能够通过图文的形式向员工显示相关的 内容。因为光看文字员工可能还不知道该怎么操作,所以不要把员工想得太聪明,毕竟他们不是网络方面的专家。
3、遇到重大危险事件时,要及时的把这个可能影响网络安全的事件告诉员工,并且让他们采取必要的措施。如有些病毒发作是有一定的时期的,在这个时期快要到的时候,就发一份这个病毒的资料,图文并茂的向员工展示这个病毒发作的症状、危害及一些简单的预防措施。不要把一些专业的预防措施放在上面,他们不了解,而且,若他们对照着做的话,还可能越弄越糟。所以,在这上面只需要附上简单的预防措施即可。如遇到有新出现的木马或者病毒等有可能危害企业网络安全的新闻报道出来时,我们可以未雨绸缪,先把这些信息告诉员工。如此,他们下次在遇到这种现象时,可能也不会不顾网络的安全进行盲目的操作。
三、 “有困难找警察”
有困难找警察,是人民警察的一句宣传语,我们且不论其可行性有多高,但是,其在我们网络安全管理上,还是比较适用的。
当企业在平时工作中,若遇到一个莫名其妙的文件,如某个自己需要用到的文件图标变为熊猫烧香的时候,他们该怎么办?
首先,我们希望员工在遇到这种情况的时候,要想到“有困难找警察”,而不是盲目的去打开这个希奇古怪的文件。因为这些往往是病毒,他们一打开这些文件的话,或者把文件放到网上共享的话,可能会让这个病毒在网络上盛行。所以,我们就是企业中的警察,当员工遇到一些莫名其妙的情况时,要记得找我们,而不是随意的自行处理。我们宁可累一点,多跑一些冤枉路,也不愿意因为员工盲目的操作导致网络瘫痪时,我们再来收拾残局。
其次,用户要能够辨别常见的一些病毒或者其他影响网络安全的症状。如看到一个文件的图标莫名其妙的变成了熊猫烧香的病毒的话,那他们就要知道是电脑中毒了。然后告诉我们他们电脑中了熊猫烧香的病毒,然后,我们就可以告诉他们问题的解决方法。这就好象有火灾时,你不仅要告诉我们起火的地点,最好也能够告诉消防员起或的物质,因为只有如此,我们才能够准备对应的灭火材料,提高灭火的效率。所以,员工在跟我们说电脑中毒了的时候,最好能够说清楚问题的症状,那对于我们提高处理问题的效率,是很有帮助的。
所以,我们在培养员工自身安全观念的时候,还要培养他们“有问题找警察”的观念,而不是出了什么问题时,私自解决。这样的话,可能会把原来很小的一个问题变得很复杂。