【
编者按
】2024年10月18日至25日,中国证监会根据国际证监会组织(IOSCO)统一安排开展“2024年世界投资者周”活动。活动结合“科技和数字金融”和“可持续金融”两大主题,重点围绕深入贯彻党的二十届三中全会、中央金融工作会议精神和新“国九条”部署要求展开。协会在中国证监会的指导下组织“基金行业在行动”主题投资者教育活动,并邀请各会员单位积极参与。现对相关主题的优秀投教作品持续进行转载宣传。
摘 要
民生加银基金管理有限公司引入第三方安全意识教育托管服务,针对公司员工进行网络安全宣传普及,以自动化安全教育管理平台为主要工具,使网络安全意识教育与钓鱼邮件实战演练相结合,持续为企业数字资产和业务运营安全提供保障。
通过本次项目构建个性化、智能化的网络安全教育体系,赋能安全团队,快速、高效地开展覆盖全员的网络安全意识教育,实现人为风险因素管理,降低员工数字风险行为,并逐步打造企业网络安全文化。
关键词:网络安全意识教育,自动化安全教育管理平台,网络安全文化
一、背景意义
金融证券行业的网络和信息安全直接关联到国家金融安全和市场稳定。随着数字化转型,随着金融服务的线上化,公司业务越来越依赖于网络系统。而当今网络安全威胁日益严峻,特别是以“人”为突破口的非技术性攻击成为主流方式,可能直接威胁到客户资产安全和公司声誉。
从国家法律法规及监管趋势来看,《网络安全法》《数据安全法》《金融消费者权益保护实施办法》《个人金融信息保护技术规范》《金融数据安全 数据安全评估规范》等均对金融证券领域的网络安全、数据安全、个人信息保护等方面的安全合规与意识教育工作提出了明确要求。
通过定期的安全意识培训,提高员工对网络安全的认识,使员工能够识别并防范潜在的网络威胁,保障公司业务的稳定运行和客户信息的安全。但传统的网络安全教育往往采用线下培训、考试等形式,教育效果难以量化,且很难切实影响员工行为。公司若自行生产教育内容,生产周期长、成本高,容易缺乏时效性。公司开展安全意识全员教育工作,缺乏相应的教育内容及工具平台等资源。
公司引入第三方安全意识教育服务,以自动化安全教育管理平台为主要工具,使意识教育与实战演练相结合,配合线上线下活动运营,构建个性化、智能化的安全教育体系,降低员工数字风险行为,并逐步打造企业数字安全文化。赋能安全团队,快速、高效地开展覆盖全员的网络安全意识教育,实现人为风险因素管理,持续为企业数字资产和业务运营安全提供保障。
二、主要做法
(一)教育痛点
1.教育内容尚未体系化:
安全意识教育未形成系统化,员工缺乏全面的、结构化的安全知识框架,容易形成风险敞口。不同岗位员工培训不均衡、较零散或随需而做,“一刀切式”培训内容缺少个性化与针对性。课程时间较长占用工作时间,培训内容过于理论或枯燥,不易于理解、吸收和消化,使培训成了走马观花、被动应付。
2.效果评价未能可视化:
培训中习得的知识和技能缺乏实用性,缺少动手能力,难以迁移到工作中。培训评估与考核往往停留在考试通过率与培训参与度等学习层评估,缺少全面的、客观的度量评估机制,对行为层、结果层缺乏有效跟踪与评估。即便达到宣传目的,仍不能从“知规”转化为“守规”,难以实现安全培训与企业安全文化的良性循环。
(二)总体设计
网络安全意识教育是一项集网络安全、风险管理、成人教育、心理学与行为学、传播与营销学等跨多学科领域的工程。本次项目基于安全意识教育方法论“计划-评估-实施-度量-优化”,以员工为本,通过安全意识教育“四化”策略,将安全意识工作扎实落地。
1.体系化:教育内容建设
通过系统性、针对性、主题化的网络安全培训内容,持续为全体员工与技术人员赋能,全面提升全体员工的信息安全综合素养,确保员工理解各项安全管理制度与规范,防范因人为因素导致的违规事件与安全风险。同时,提升技术人员的安全专业能力,弥补意识与技能差距,并在全行范围内达成一致共识,为整体安全能力与保障水平提升打开良好的基础。
2.实战化:钓鱼邮件演练
以练促防,通过常态化开展贴近真实攻击的钓鱼模拟演练,进一步提升和检验员工精准识别和响应各种难度级别钓鱼邮件的能力,针对薄弱环节开展有针对性的强化培训,补齐短板,从而更好地发挥每一位员工作为反钓鱼“人防”防线的重要作用。
3.游戏化:安全活动运营
通过积分机制激发员工的参与积极性和热情,员工喜闻乐见地接受企业文化和教育,有助于在企业内部形成良好的工作生态,同时竞争排行的机制,更有助于员工激发内生动力,变知识的被动接受者为主动学习者。通过物质或非物质奖励认可员工所发挥的积极作用,让员工真切体会网络安全学习的自我效能感,让安全意识与安全文化在员工中产生情感共鸣。
4.可度量化:测评题库与分析报告
没有量化就没有进步,没有度量就没有效果。通过与宣传资料及主题培训相配套的题库,较客观地反映出全体员工在安全知识与安全技能方面的差距。通过钓鱼演练分析报告,真实地反映员工识别、防范和响应钓鱼攻击的意识与能力差距。通过设定定量与定性指标,如学习完成率、考试通过率、知识覆盖率、员工触达率、演练中招率、演练上报率、培训满意度等持续性衡量安全意识工作的成效,为下一年项目持续改进提供可量化的决策依据。
(三)关键措施
1.平台工具:自动化安全教育管理平台
项目以自动化安全教育管理平台为主要工具,使网络安全意识教育与钓鱼邮件实战演练相结合,持续为企业数字资产和业务运营安全提供保障。
自动化安全教育管理平台的企业应用学习管理系统具备课程生产、发布、考核、统计等全过程培训管理功能,丰富的学习素材库支撑,同时支持企业自主配置标准/互动课程,可并支持配置各类游戏、竞赛活动类,基于员工角色,推送不同岗位相关的学习内容;通过平台联动获得员工的风险+学习等各种行为分析,形成积分排名;平台支持个人、部门、企业级仪表看板,支持可定制的统计分析报告。
自动化安全教育管理平台的钓鱼演练系统,通过定期实施模拟钓鱼邮件测试及配套针对性的主题课程推送学习,提升员工识别潜在的安全风险能力,持续开展钓鱼演练可大幅降低员工中招率,改变员工不良风险行为。内置大量基于行业及企业发生的真实钓鱼攻击案例模板,支持AI生成钓鱼模版。演练方式包含邮件钓鱼、短信钓鱼、WiFi、U盘钓鱼。
2.评价方法:人为因素风险与合规度量
网络安全“人、技术、制度”三要素中,技术是核心要素,管理流程是根本,人员教育是关键。但安全意识培训本身并不能降低现实世界网络攻击的风险,员工有了安全意识、知识和技能,并不代表安全团队所期待员工展现的安全行为会自然发生。
“人为因素”安全风险管理是识别、评估和减轻员工因人为因素引发的风险行为的一系列过程,它更关注的行为层面的影响力指标,即行为改变与实际效果。认识到网络安全中“人为因素”安全风险管理的重要性是第一步。项目设定合理的行为度量指标框架,以数据为向导,更准确和直观地衡量员工风险行为的变化。
根据员工的个人风险水平来触发相应的培训和控制措施,充分考虑员工的个体差异,及时识别高风险群体和薄弱环节,基于数据分析为员工量身定制不同的学习路径,提供员工所需的针对性培训,且仅在合适的时间给合适的培训对象提供合适的培训内容,这样可以大大降低传统安全意识培训造成的“培训疲劳”,降低整体培训交付时间和管理成本,也减少了面向低风险群体不必要的培训时间和安全摩擦。
3.持续运营:年度规划、角色化学习
预先设定年度学习、钓鱼演练、知识测评等计划,按照不同的岗位要求设定学习目标。对通用岗位和敏感数据处理活动相关岗位设计不同的安全学习路径,增强员工的学习目标感及学习获得感。通过定期邮件、短信、移动OA消息等机制推送学习通知,对持续学习过程与结果进行统计分析。
(四)系统架构
本项目使用自动化安全教育管理平台的系统功能架构如下图所示:
用户层内部有企业应用学习管理系统(Learning Management System,以下简称“LMS”)和钓鱼演练两个系统,用户层通过消息组件发送邮件、短信,与第三方即时消息平台对接。
管理层在用户层之下,对内收集用户的学习记录,对用户态度、知识和行为等进行分析;对外收集黑客攻击、漏洞等威胁情报,对部门组织安全状态进行评估,得到针对该员工的个人、岗位、职责、部门、组织等安全意识方面的评估报告。管理层基于上述报告,通过API及其他服务自动生成和推送安全意识方面的个性化服务内容,实现员工安全意识与安全行为的良性循环。
运维层在管理层之下,负责为上层提供负载、网关、缓存、数据存储等基础服务。
(五)管理流程
开展基于钓鱼演练的安全意识培训按以下流程过程进行实施:
1.安全培训流程:培训管理员通过LMS内置的培训主题课程、考试题库,对不同岗位、不同层级的员工进行分组分批次培训,定期推送学习课程,平台对员工学习行为、测试成绩、完成情况形成完整记录。
2.钓鱼演练流程:企业管理员先确认演练的发送目标,制定演练计划,在平台上实施钓鱼邮件测试服务,设计钓鱼演练模版场景,制定演练发送策略,执行钓鱼演练。在演练测试过程中,可以通过系统实时监测员工的交互行为,对本场演练数据进行分析。测试完成后,通过系统展示和导出测试数据和测试报告,后续根据演练结果针对培训与改进。
(六)技术手段
1.结合行为记录与数据分析技术
针对每位学习者都能提供“私人定制”的学习路线、“千人千面”的学习内容。借助人机交互手段使教学情景更生动鲜活;形式上结合大数据对学习者开展个性化指导,提供精准学习路径,重点补足薄弱环节发展自身优势。
改变目前传统学习状态,针对不同层次的学习者适配教学内容,推送针对性的学习任务及设置合理目标,将教学重点放在问题处置和学习引导方面,促进学习者不断提高学习效率,树立正确的学习态度和认知。
2.支持xAPI行为数据接口标准
xAPI提供了一个以学习者为中心的采集学习行为数据模型,特别是对多数据来源系统的学习记录数据的支持,摆脱了完全依靠单一LMS平台的学习记录采集的传统模式,可以跟踪跨平台和跨设备的学习行为,如断开或偶尔连上网络的环境、在任何设备、来自任何服务器、外部网络浏览器等,特别适合对移动学习和互联网学习的支持。xAPI作为一种用来记录和访问学习行为的技术标准,实现了多平台的学习行为数据兼容。
3.支持LRS学习行为记录
LRS(Local Restore System,以下简称“LRS”)是存储学习行为记录大数据的数据库,LRS可作为学习平台的一部分,学习平台可直接利用LRS中的学习行为大数据进行业务查询、统计、分析。LRS也可是独立的、公共的学习行为大数据库,来源广泛的网络学习行为都可进行存储,这样就能实现学习行为的共享。
LRS间能共享数据,因此学习者和数据能从一个组织传向另一个组织。学习行为记录也能被发送到多个LRS,用户的学习记录能存储在公司的LRS,也能记录在自己私人的LRS。应用系统只要获取LRS的授权,便可以从中获取学习行为数据,对学习行为数据进行查询、统计、分析及可视化展现等处理,使数据与接口更易标准化、数据服务更加灵活、更易扩展。
4.应用WebApp 设计互动课件
