美国国家网络安全意识月（NCSAM）在持续开展中，很多人都着眼于组织如何使用基本控制来确保信息技术的安全。然而，有效的数字安全并不意味着“Protect IT”。同样重要的是，企业应保护其IT资产免受诸如软件漏洞、不安全的Wi-Fi连接和未经授权的数据泄露的影响。

那么组织是如何开始的呢？

“Protect IT”就是遵守良好的网络安全环境习惯。虽然由安全专业人员实施，这些准则在许多情况下需要全体员工的合作。员工不会随声附和，他们需要知道为什么这些安全行为很重要。因此，需要一个稳健的企业明智的信息安全文化。

构建稳固的信息安全文化

建立一个强大的信息安全文化的基础是一个安全意识程序，它已经接受了组织的长期投资。话虽如此，赫芬顿邮报已经设计出一些组织可以用来创建信息安全文化的技巧。这些建议有助于招募劳动力，以促进网络安全环境最佳实践。

1. 确保行政人员的支持：如果安全意识计划没有得到执行人员的支持，则其有效性将受到限制。话虽这么说，高管人员不能仅通过批准培训计划的形成来为安全文化奠定基础。他们需要成为声音的拥护者，并且应该与员工一起参加培训活动。无论围绕数字安全的重要性如何，这种参与都将有助于营造一种团结感。

2. 建立安全政策：如果组织已制定书面的安全策略供员工参考，则安全性最有效。这些政策应清楚地确定什么行为是适当的，以避免混淆。为了营造一种凝聚力的文化，这些政策应向员工，主管和承包商提出相同的行为，不得因职级或位置而有所例外。

3. 使安全意识计划更具吸引力：无聊的安全意识培训计划不会产生安全文化。幸运的是，安全人员可以通过定期进行使用游戏化和小组活动来教授特定活动的培训课程来帮助提高其计划的参与度。毋庸置疑，这些培训应该针对组织特定的安全性问题，以最大程度地提高员工的参与度。

4. 将安全性视为促成因素：员工，主管和承包商都是人。他们会犯错误，也不想为此受到惩罚。因此，安全团队将安全意识培训计划作为对业务的积极贡献者至关重要。同样，他们应该使任何人都可以轻松地报告潜在的安全问题，并且应该始终努力将安全错误作为学习的机会，而不是在发生错误时给予惩罚。

5. 帮助远程办公员工：随着移动和云的兴起，如果组织将远程办公员工排除在安全培训计划之外，那么它们将对自己造成极大的伤害。通过这些举措，安全人员应确保该远程工作人员拥有安全工作所需的一切。这包括设置VPN，远程员工可以通过该VPN访问工作资产。

为员工和安全团队提供适当的网络安全环境

一旦组织有一个有效的安全意识培训计划，他们可以使用它来提高认识和支持某些关键的网络安全环境实践，目的是建立一个强大的信息安全文化。这些指导方针应包括以下内容：

设置强密码策略

恶意行为者进行帐户接管（ATO）欺诈的最常见方法之一是通过密码暴力破解攻击。这些类型的广告系列旨在通过连续尝试来猜测用户的密码常用组合以及使用著名词典词的单词。一旦进入，恶意行为者就可以利用受感染的企业帐户窃取敏感信息和/或进行二次攻击。

安全专业人员可以通过制定强有力的口令政策来对抗ATO欺诈的威胁，这要求所有员工为他们的账户创建一个强有力的、唯一的密码。每个信息安全人员都应该特别要求设置包含至少16个字符的密码，并且需要由大写与小写字母、数字和符号组成。信息安全人员还应该帮助员工安全地存储这些密码，例如通过使用密码管理器。

实现多因素认证

当然，密码不能为商业账户提供绝对的保护。数字攻击者可以使用恶意网站和网络钓鱼账户诱骗用户交出他们的密码，并通过扩展，他们的关键是他们的帐户。这就是为什么安全专业人员需要采取额外的措施来保护员工的账户。

这些专家可以采取的最重要的措施之一就是实施多因素认证（MFA）。该安全控件要求员工在输入密码后提供生物识别符（例如指纹）、OTP动态口令（例如MobilePass）、物理设备（例如eToken 5110），从而增加了登录过程的步骤。通过这种手段，即使员工的密码被盗，信息安全专业人员也可以帮助员工实现账户的安全。

采用设备加密

正如组织的安全防护在不断发展，数字攻击者的战术、技术和程序（TTP）也在不断发展。恶意软件中已经设计Andr/FakeKRB-G、误操作和其他威胁，以便他们能够拦截用户的SMS代码，这是一种用于两步验证（2SV）代码的常见交付方式。这些类型的威胁是黑客规避某些MFA部署的一种方法。

考虑到这一技术，安全专业人员应该使用更为专业的加密安全产品，以使可能已进入系统的黑客无法访问系统中的敏感数据。实现这一目标的核心是不能让黑客窃取加密密钥。因此，信息安全专家应该使用硬件安全模块（HSMs）（例如：SafeNet Luna HSM）确保加密密钥是安全的。

解决方案信息

联系揽阁信息，您可以获取依托SafeNet Luna HSM、SafeNet ProtectServer HSM等产品以及国际权威PKI机构（如GlobalSign）构建的安全PKI体系解决方案。并且您还可以得到揽阁信息所提供的优质服务。揽阁信息是您密钥安全的首选专家！

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales发布适用macOS Sonoma的SAC 10.8 R2补丁

• 正式发布：SafeNet eToken 5110+ CC（940C）

• eIDAS 2.0 – 有什么新变化？

• 顶级软件供应链攻击：代码签名面临风险

• 通过代码签名加强软件安全