XXXX有限公司文件编号GSV-022版本/版次A/0标题:计算机安全培训页码共2页,第1页制订日期2018-8-1核准审查制订1.0网络的威胁来自企业内部1.1企业常常投注大量的时间、金钱与精力在安全防护产品上,希望这些产品能保护其网络安全,但他们却忘了最重要的一点,那就是“网络最大的威胁通常来自企业内部”,所以企业除了建立基本的安全防护措施(如防火墙、防毒、防止恶意程序以及内容过滤)之外,也应当注重员工的训练,以降低人为威胁所造成的损害。1.2根据电脑安全学会/FBI电脑犯罪与安全机构于1999年进行的调查显示,回收问卷中有38%受访企业曾有一到五次出自本身内部的安全漏洞,更有16%表示内部安全漏洞的发生次数高达六到十次。仔细追究之下,许多安全漏洞之所以会发生,几乎清一色都是因为员工的训练不足,员工根本没有警觉到他们使用电脑的方式,包括收发电子邮件与上互联网,对公司的安全会造成多大的影响。2.0电子邮件带来的隐患2.1员工的电子邮件可能会为企业网络带来好几种安全漏洞,例如收到不请自来的邮件却毫无警惕便直接打开其附件,或是未对附加文件扫描是否有病毒藏匿其中便直接开启文件等等。此外,企业若不主动将新的病毒库派送到员工的电脑上,强制施行公司制定的政策,而是安全信任员工随意更新自己电脑上的病毒库,那幺就算员工每次都很谨慎先扫描文件上,确定没有病毒后才打开文件,仍然有被病毒感染的风险。更有甚者,若是放任不当的电子邮件、色情或其它具有攻击性的内容在办公室内到处流窜,企业更有可能会面临法律上的种种问题。3.0密码的窃取与社交泄密3.1密码是大部分企业的主要弱点,因为人们为了节省时间,常常会共享或选择简单的密码。密码若不够复杂,便很容易被别人猜到并用来取得机密资料。其实网络安全的弱点还在于不是只有使用者有密码而已,若态度不够谨慎,只要稍微运用一下手腕便可让他们吐露出来,例如通过电话或电子邮件假装一下,通常就能把员工的密码骗到手。3.2员工若完全不知道如何防范各式各样的安全漏洞。例如通过社交手段套取等等,便会使得企业门户大开,容易受到各种攻击。未受到正确训练或不满意工作的员工,更可能把企业独家机密或敏感资料泄露给竞争对手等不应该接触到的这些资料的人。4.0培训·持续培训·培训方式4.1由于企业对网际网络的依赖程度日渐加深,因而受威胁程度也有增无减,因此防护机制的建设可说刻不容缓,尤其是在末端使用者这个层级更是重要,尽管防毒软件、防火墙与内容过滤技术可协助企业监视外来威胁,却无法百分百保证使用者的行为不会危及网络安全,企业网络的安全防护若要做到固若金汤,员工教育训练绝对是不可或缺的一个环节。4.2避免人为因素最有效也最易被忽略的方法,就是设立规定,要求每隔一段固定时间便对员工进行教育训练,并特别着重于公司的安全目标,第一次应先针对公司政策的需求,以及每个部门需要的训练程度,例如IT部门负责安全的员工必须深入了解公司使用的安全产品与系XXXX有限公司文件编号GSV-022版本/版次A/0标题:计算机安全培训页码共2页,第2页制订日期2018-8-1核准审查制订统,而非技术人员与管理阶层则只要对安全有一般程序的了解就够了。4.3教育员工的方式有很多种,例如实际操作训练、电脑辅助教育、上课或举办研讨会等等,注意员工需要学习什幺,然后选择最有效的训练方法。根据专家意见,为了强调公司方针及维护机密的重要性,以让员工亲身参与的研讨会或类似上课性质的训练最有效。如果要教员工如何使用新的安全软件,那幺上机训练可能会有较好的效果。您也可以寻求训练专家的协助制定最有效的方法。5.0强制执行政策规定5.1企业应决定由谁负责主导政策的制定与执行,人资部门则应在员工的新进训练时以书面告知公司的政策,待员工同意后要求其签名确认已了解并愿意遵守公司相关规定,之后必须严格执行规定,绝对不能有例外。公司公布的政策内,应明确订定违反规定的处罚细则。一般而言,安全系统与网络管理人员应该建构安全防护机制,成立紧急应变小组以应付可能发生的漏洞,并与人资部门密切合作,随时报告可疑的状况。6.0网络的维护6.1设立网际网络使用规范,让员工了解公司对员工个人使用电子邮件与计算机的规定。此外,明确的网络的使用规范更可提高IT人员设定与监视网络安全方案的效率。6.2采用能够扫描邮件是否含有不适当内容的技术,并记录违反公司管制规定的网络行为。6.3法律专家认为,监视员工的电子邮件与网络行为在公司面对法律诉讼时,有利于保护公司本身,因此企业应当设立使用规范,并采用内容监视机制,保护员工不受任何骚扰。6.4训练员工了解如何应该及时下载最新的防毒更新资料、如何辨认电脑是否有可能中毒、并教导员工如何开启档案之前扫描档案是否有病毒。6.5修补软件的漏洞,降低病毒透过网页或电子邮件渗入企业网络的机会。6.6制定密码使用规范,要求员工经常更换密码,并教育员工防范社交欺骗手段,要求他们无论如何都不可以交出密码。6.7审查每个员工是否需要接触机密资料,并严格限制机密资料只开放于工作上绝对需要的员工使用。6.8警告员工下载免费软件等各种程序可能引起的危险。