行业背景

《网络安全法》

第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(二)定期对从业人员进行网络安全教育、技术培训和技能考核;

《关键信息基础设施安全保护条例(征求意见稿)》

第二十四条 除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:(二)定期对从业人员进行网络安全教育、技术培训和技能考核;

第二十七条 运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

2017年中共中央办公厅颁发的32号文:《党委(党组)网络安全工作责任制实施办法》

明确各级党委(党组)主要承担的网络安全责任。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。各级党委(党组)违反或者未能正确履行本办法所列职责,将按照有关规定追究其相关责任。


业务挑战

网络安全的实现是一个复杂的系统工程,但其基本的途径归根结底不外乎两个:技术途径和管理途径。

技术途径指通过部署安全系统(如防火墙、IDS、WAF、UTM、防病毒、SOC等)、强化应用系统的安全防御能力等技术性措施,我们可以把技术性的安全防御称之为“技防”。

管理途径则是侧重于网络空间中的“人”这个关键因素,强化人员的安全管理、培训,提高人员的安全防御能力和安全素养。我们可以把这种基于人员的安全防御称之为“人防”。


客户需求

通过教育实训,增强全员网络安全意识,减少其成为APT攻击受害者的可能性。

通过对单位全体员工教育示范,推动所在行业单位的全员网络安全意识教育落实。

培养应对网络安全威胁的积极响应习惯,及时发现对APT渗透活动和意图,尽早启动处置措施。


解决方案

网络安全意识在线培训

通过在线知识教育、考核测试、竞赛活动等方式增强学员的网络安全知识以及对政策法规的理解。

防网络钓鱼等社工攻击训练

利用黑客惯常使用的社工攻击方式(如邮件钓鱼、短信钓鱼、WIFI钓鱼、USB设备钓鱼、内网摆渡等),在集中场景内开展模拟攻击的实战化训练,让学员了解黑客常见的攻击方式及各种攻击场景,让学员提高认识、开阔眼界。基于威胁模拟的实战化训练可量化、可跟踪、可重复。

网络攻防体验:知识源于学习,经验源于实

类似学习物理化学要做实验一样,在网络安全意识体验中心里,学员可以参与体验6大类50余种社工威胁和窃密手段。

网络安全意识宣贯

定期通过电子邮件、短信或微信,为学员发送与网络安全相关的宣传材料、案例分析、知识图等,阻止网络安全意识衰减,让学员保持网络安全警觉。

网络安全意识量化测评

综合运用管理问卷调查、在线知识考试、社工威胁模拟实测等多种方式,结合网络安全意识模型,真实测评学员在接受培训前和培训后的网络安全意识状况,追踪培训效果。