一、安全教育

安全取决于个人的行为。一个用户有意或无意的失误可以完全破坏许多安全控制,使一个组织面临不可接受的风险。安全培训计划有助于保护组织免受这些风险。安全教育计划通常包括两个重要组成部分:

  1. 安全培训(Security Trainning) 为用户提供他们需要的详细信息,以保护组织的安全。安全培训需要投入大量的时间和注意力;
  2. 安全意识(Security Awareness) 目的为了提醒员工他们已经学过的安全课程。与安全培训不同的是,它不需要投入时间坐下来学习新的材料;相反,它使用海报、视频、电子邮件信息和类似的技术,让那些已经学会核心课程的人牢记安全。

组织可以使用各种不同的方法来提供安全培训。这可能包括传统的课堂教学,提供专门的信息安全课程材料,或者将安全内容插入到现有的项目中,如由人力资源部门提供的新员工指导项目。学生也可以使用在线计算机培训机构来学习网络安全知识,或者参加供应商提供的课程。无论企业使用什么方法,目标都是传授安全知识,让员工能够在工作中付诸实践。

有很多可以帮助我们快速建立一个有效的安全培训和意识计划。关键是要使用多样化的培训技术来迎合不同的学习风格。这些可能包括网络钓鱼模拟(phishing simulation)、使学习变得有趣的游戏化(Gamification)技术,以及训练员工攻击技术的夺旗(Capture the flag)练习。虽然所有用户都应该接受某种程度的安全教育,但组织也应该定制培训(Customize training),以满足基于角色的特定要求。例如,人力资源团队成员应接受处理个人识别信息的培训。IT人员需要专业技能来实施安全控制。需要注意的是,培训应根据个人在组织中的角色进行定制。

关于安全教育计划的最后一点说明:负责提供安全培训的团队应定期审查材料,以确保内容保持相关性。安全环境和组织业务的变化可能需要更新材料,以保持其新鲜和相关。

二、员工习惯

安全教育计划应包括与员工习惯相关的各种主题。通过用强大的安全习惯来取代危险的习惯,企业可以减少用户账户被泄露的可能性。如下安全教育计划应该解决的一些习惯。

  1. 安全培训应包括对密码安全实践的覆盖。大多数组织已经有了一个密码安全政策,强制执行保证密码复杂性和加密等要求。安全培训计划应该提醒用户这些要求,并教育他们不能在技术上执行的要求的重要性。例如,用户应该知道,在网站和其他账户上重复使用他们的工作密码,在外部网站被破坏的情况下会危及安全。组织还应该在其安全培训计划中包括数据处理程序。员工必须知道存储、传输和销毁敏感信息的正确方法。这些计划也是一个很好的机会,提醒用户在入职过程中签署的保密协议(Nondisclosure agreements) 的条款,以及他们持续保护机密信息的义务。
  2. 安全意识工作还应该包括物理安全控制。如果组织使用门禁卡或其他技术来控制门禁,员工应该了解防止尾随(tailgating)的重要性,并要求每个用户单独刷他们的门禁卡来开锁。员工还应该在安全教育计划中了解组织的自带设备政策。如果组织允许使用个人设备,培训计划应包括可接受的使用和安全要求的内容。如果组织不允许使用带有组织数据的个人设备,培训计划应该明确这一点。
  3. 在我们的安全培训中,需要提醒员工自己的组织的可接受使用政策的内容。员工应该知道哪些IT资源的使用是被允许的,哪些是被禁止的。例如,员工应该知道是否被允许从公司的电脑和网络上访问个人电子邮件账户、社交网站或文件共享网站。培训还应该包括如果员工违反了可接受使用政策,组织可能采取的惩罚。
  4. 最后,安全教育计划还应该包括说明对社交媒体和P2P网络的使用。员工应该了解他们在面向公众的网络上树立正确形象的责任,以及与未知的个人交换链接和文件所带来的安全风险。他们还应该知道组织采取了哪些措施来对社交媒体的使用进行分析。

三、职责分离(Separation of duties)

组织实施职责分离和双人控制政策(Separation of duties and Two-person control policies),以减少单个人可以执行有害行动的风险。

  1. 职责分离原则说明,任何一个人都不应该拥有两个权限,而这两个权限结合在一起,允许他们独自执行一个敏感操作。相反,这些权限应该被分开,由两组不同的人持有。帐户审查和审计应检查权限,以确保职责分离得到正确执行。
  2. 双人控制政策,也被称为双重控制(Dual control)。这种策略不是将敏感的行动彼此分开,而是要求两个人的授权来执行一个行动。在IT界,信息安全专业人员有时会对特别敏感的行动实施双人控制。例如,我们授予系统管理员通常不拥有的特权去紧急访问程序,但可能要求两个不同的管理员进行认证以执行该行动。

职责分离和两人控制是为了限制欺诈和滥用的可能性,要求两个人同意执行敏感的行动和行动组合。

整理资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601

Security+ 学习笔记57 安全意识和培训相关推荐

  1. spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录

    目录 5.2 自定义 Provider 身份认证 5.2.1 编码思路和疑问 5.2.2 创建用户信息配置类 PhonePasswordAuthenticationToken 5.2.2 修改自定义的 ...

  2. 学习笔记(57):Python实战编程-Treeview

    立即学习:https://edu.csdn.net/course/play/19711/343120?utm_source=blogtoedu 1.树状结构Treeview:分为树状折叠式列表和列表显 ...

  3. Security+ 学习笔记44 网络攻击

    一.拒绝服务攻击(Denial of service attacks) CIA三要素描述了信息安全的三个目标,即保密性.完整性和可用性.攻击者使用的大多数攻击技术都集中在破坏数据的保密性或完整性上. ...

  4. SpringBoot + Spring Security 学习笔记(一)自定义基本使用及个性化登录配置

    官方文档参考,5.1.2 中文参考文档,4.1 中文参考文档,4.1 官方文档中文翻译与源码解读 SpringSecurity 核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) ...

  5. ES权威指南[官方文档学习笔记]-57 Analysis and analyzers

    2019独角兽企业重金招聘Python工程师标准>>> es:http://www.elasticsearch.org/guide/en/elasticsearch/guide/cu ...

  6. 大数据学习笔记57:Java代码操作HBase

    文章目录 一.提出任务 二.HBase完全分布式环境 三.实现步骤 (一)创建Maven项目 (二)添加依赖 (三)创建日志属性文件 (四)创建Java类 1.声明变量 2.创建静态方法连接hbase ...

  7. 【学习笔记57】轮播图代码的实现

    一.HTML代码 <div class="banner"><!-- 放置所有轮播图的盒子 --><ul class="img_box&quo ...

  8. Evasion Techniques and Breaching Defenses by Offensive Security学习笔记

    1.msf和cobalt strike都可以生成stageless或者stage的payload,在原则上来说使用stage的payload的被检测的可能性更小,但是由于各大杀软将stage的特征做的 ...

  9. 大数据学习笔记:Hadoop生态系统

    文章目录 一.Hadoop是什么 二.Hadoop生态系统图 三.Hadoop生态圈常用组件 (一)Hadoop (二)HDFS (三)MapReduce (四)Hive (五)Hbase (六)Zo ...

  10. 黑马程序员_java自学学习笔记(八)----网络编程

    黑马程序员_java自学学习笔记(八)----网络编程 android培训. java培训.期待与您交流! 网络编程对于很多的初学者来说,都是很向往的一种编程技能,但是很多的初学者却因为很长一段时间无 ...

最新文章

  1. 自己动手编写tomcat服务器(三)
  2. 《Cisco IPv6网络实现技术(修订版)》一2.6 配置练习:使用Cisco路由器配置一个IPv6网络...
  3. 百度地图示例左侧的代码编辑器Ace Editor
  4. 两台电脑cpu序列号一样_如何正确使用苹果电脑?
  5. SharpZipLib使用示例
  6. c语言期末考试复习题,C语言期末考试复习资料 计算机等级考试复习题目
  7. 【专栏精选】实战:使用LeanCloud实现玩家注册
  8. 十大经典排序算法2(Python版本)
  9. TypeScript 热度超 C 与 Python、Go 开发收入高、运维吃香,调查了 65000 名开发者有这些发现!...
  10. DXUT实战3:HLSL(withEffect)+D3D9+DXUT(june_2010) . .
  11. 工作 3 年就是高级,这就是差距啊
  12. could not get jdbc connection mysql_Could not get JDBC Connection异常问题
  13. HTML5七夕情人节表白网页制作【蓝色3D动态相册】HTML+CSS+JavaScript 程序员表白3D相册代码 html生日快乐祝福网页制作
  14. matlab:圆形的图像识别(一)
  15. ffmpeg 推流 m3u8 播放 EasyDarwin 存储录像和播放
  16. AspCms标签手册
  17. 关于app申请软件著作权登记时软件名称命名的问题
  18. 拉格朗日乘子法、对偶、KTT
  19. 和合共生,聚势谋远——云创大数据教育渠道大会隆重举行!
  20. 淘宝购物车页面测试用例

热门文章

  1. pytorch自然语言处理之Pooling层的句子分类
  2. Python动态数据展示
  3. NLP学习—24.Pre-trained Word Embedding—ELMO、GPT、Bert
  4. 数据结构与算法python—8.递归及leetcode总结
  5. 深度学习2.0-2.tensorflow的基础操作之创建Tensor及应用场景
  6. 《数源思维》提问工具之“语法套”
  7. 深入C++“准”标准库,Boost你的力量
  8. 十大算法 — 冒泡排序法【C语言代码诠释】
  9. amlogic_android7.1的s905x平台长按按键5s清除数据和缓存的实现思路
  10. Linux下查杀进程的方法说明