发表在2014/02/20

网络安全:意识培训和90/10规则

网络安全:意识培训和90/10规则
定期的网络安全意识培训是一个机构抵御网络攻击的重要手段。
信息安全不仅仅是物理和逻辑上的措施,如锁、防火墙或杀毒软件。这些技术措施可以保护大学免受许多网络攻击,但不能防止社会工程等软攻击。10%的安全对策是技术性的,而90%的安全措施依赖于用户和其他涉众。如果不对用户进行安全威胁、政策和技术方面的培训,以保护大学资产,一个强大的信息技术(IT)安全计划是无法成功执行的。在用户不知情的情况下,黑客可以利用社交工程技术或钓鱼攻击来绕过安全措施。

教师、学生和员工是高等院校的主要利益相关者。教职员工可以接触到敏感的研究数据。学生将敏感信息输入电脑系统,教职人员处理学生的个人和财务数据以及重要的机构数据。不幸的是,学生们没有受过如何安全地处理和存储敏感数据的培训。许多机构在如何接受、处理和存储敏感数据方面只对教员和员工进行了很少的培训。因此,许多大学正面临越来越多的网络攻击。事实上,几个月前,加州一所著名大学的金融系统被黑客入侵,泄露了数千份学生记录。几周前,佛罗里达州一所大学的医学院也遭到黑客攻击,数千名患者的医疗和个人信息被泄露。

安全意识培训对所有利益相关者至关重要

大学必须明白,学生、教师和工作人员是抵御网络威胁的最佳和最重要的防线。高校的首要任务是制定一套正式的安全意识培训政策。然后,大学可以根据该政策开发正式的安全意识培训课程。课程的目的是为利益相关方提供知识,以保护信息系统和敏感数据免受内部和外部的威胁。该课程应至少每年提供一次。它必须简短,容易理解,也许不超过一个小时;简单到基本的东西都变成了第二天性。

培训项目可包括:

  • 社会工程技术和如何避免它们;
  • 身份盗窃;
  • 网络性骚扰;
  • 使用点对点(P2P)共享程序而没有适当授权内容的后果;
  • 如何避免在网上发布敏感信息的步骤。

认识培训也可用于指导利益相关者如何道德地使用大学的电脑,避免滥用电脑。在互联网上浏览或下载色情内容或玩游戏往往是被恶意软件感染的途径,在用户不知情的情况下下载病毒和木马。利益相关者不应该在学校的电脑上使用未经批准的软件或P2P文件共享程序,因为这可能会给学校带来法律麻烦。学校可能会因侵犯版权而在法庭上被追究责任;如果被处以民事或刑事处罚,可能会招致高达25万美元的罚款。此外,使用P2P或未经授权的软件会危及网络,传播病毒和间谍软件,对机构资产造成广泛的损害。

身份盗窃是常见和危险的

学生身份被盗可能会让他们的未来处于危险之中,并使他们容易受到立即的经济损失。这是一种不会立即显现出来的罪行;许多学生直到申请经济援助或贷款时才意识到自己的身份被窃取了。美国联邦贸易委员会估计,每年有超过1000万人的身份被盗。网络犯罪分子利用社会工程或网络钓鱼攻击来窃取社会安全号码,这些号码可以用来获取信用卡,甚至买房子。学校应该鼓励学生定期进行信用检查,以确保他们的身份不受影响。

结论

最终,所有的学院和大学必须将网络意识培训作为正规大学战略计划的一部分,并且必须要求利益相关者参与年度培训,就像大公司所做的那样。

学生需要接受如何应对社会工程和网络钓鱼攻击的培训。为了防止社会工程,利益相关者在发布信息甚至回复信息之前必须核实个人身份。如果利益相关者怀疑一封电子邮件,他们不应该点击提供的链接或打开附件;相反,他们应该联系学校安全人员或IT帮助台报告可疑活动。

许多学校往往忘记了确保其资产安全的非技术措施。仅靠技术措施还不足以确保学生记录的安全。非技术措施,如意识培训,是确保数据机密性、完整性和可用性的关键措施。

要查看网络安全系列的其他文章,请点击这里

打印友好,PDF和电子邮件

读者评论

《阿凡达》
詹姆斯Branden 2014年02月20日上午10:28

我同意穆萨的观点。许多机构在他们的共享计算机系统上有一个安全使用策略。但我认为潜在的问题是,许多将网络暴露于网络攻击的学生和工作人员是在无意中这样做的。换句话说,他们并不是想在共享的电脑上看色情片,而是可能在不知情的情况下通过打开电子邮件下载病毒。

我知道一些机构已经开始使用电子邮件爆炸来警告学生和工作人员网络犯罪(例如电子邮件诈骗),就像他们发送物理犯罪的安全警报一样。这是提高校园社区对更好的网络安全需求意识的一种方式。一些机构提供培训,但往往是选择性的,面向教职员工。与学生相比,教职员工占校园用户的少数。如果有人有把训练带到学生身上的经验,会很乐意看到你的想法。

《阿凡达》
Tawna Regehr 2014/02/20下午2:57

意识是预防的最好方式。在我所在的机构,我们试图阻止访问我们共享电脑上的一些网站。然而,有时我们无法访问合法的网站,因为它们根本没有被识别出来。我们发现,如你所建议的那样,给用户(在这种情况下,专门为员工)提供培训,这样他们就可以自己进行那种类型的网站过滤。

《阿凡达》
史蒂夫·康拉德 2014年04月03日11:44 am

高校是一个很有吸引力的目标,因此网络安全意识培训至关重要。必须教导教师、学生和工作人员如何正确保护他们的数据。几乎所有好的安全渗透测试都将人的因素确定为任何组织的最大风险之一。虽然你可以在系统和数据周围建立一道技术保护墙,但最终决定数据和记录安全程度的是人们的行为和行为。

留下一个回复

您的电子邮件地址将不会被公布。必填字段被标记