提到信息安全,业界对量化成果一直存在争议,虽然不难证明在实施了诸如防病毒、入侵侦测与防御系统、网络监控与审计平台等安全管控措施后,通过日志和报表,能够获得了些数据,比如每天阻止了数百万次的攻击,但是,显然这些攻击绝大部分都是工具自动化的,“百万次”的攻击大都是无效的漏洞探测和密码破解,真正的网络攻击者可能也就那么一两个人,而且还可能是菜鸟级别的。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:经过二十多年的行业发展,网络安全技术管控措施已经非常成熟,除了在智能化、可视化和集成化几个方面还有点优化提升空间之外,已经没什么领域可以有大的突破了。而想要达到那种突破,需要付出的成本很高,可带来的商业价值却很低。
有人可能会说,新型威胁不断出现,特别是针对人脑漏洞(人性弱点)的网络钓鱼、电信诈骗和社会工程攻击,不也需要很多技术方面的创新吗?的确,如防诈APP之类的平台,公安联动如运营商和银行等诸多机构,无疑是非常重大的创新,但是解决基本的问题,还是需要修复人脑漏洞,也就是提升人们的安全防范意识,让人们在网络安全方面,变得精明起来。我们搞了很多安全意识宣传教育,取得了一定的社会效果,但是,总还是有不少的安全事件。究其原因,尽管有人会说:“道高一尺,魔高一丈。”诈骗手法不断翻新,防不胜防。实际情况呢?很多最近的骗局也并不是什么新鲜的案例,都是些老套的玩儿法,相同的案例多年前都通过泛媒体进行过科普宣传了。
问题的关键在哪儿?当然,科普宣传总难免有漏网之鱼,有些人可能没有时间,更多的情况是那些人没有兴趣!没有几个人认为自己会是不法分子的目标,或者承认自己在网络安全方面很笨!所以,他们不愿主动学习网络安全相关知识。如果有强制性的学习,那往往也是一家好单位才能提供的,且往往聚焦于工作方面的信息安全,员工可能觉得对涨工资或升职位的帮助不大,所以被动的参训,加之很多单位的信息安全培训就像是会议室宣读IT安全规章制度,极其乏味,那培训效果自然不佳。
那么,既然知晓了这些问题的根源,解决之道自然就有了。那就是通过交互式电子学习,激发员工们的学习动力和热情,通过游戏化的挑战,来提高员工们对网络安全主题的认识。有人可能会说,直接发试卷考一考不就完了?久经考场的各位,应该明白,很多考试的出发点虽好,但落实下去,都变成了考学员的短时记忆,因为很多人把测试题库给透露了,只是为了帮助同事们顺利通过考试。短时记忆对于网络安全的理解,帮助甚微。而防范网络安全,构建人力防火墙,提升人员对网络安全的正确认识,才是关键的目标。
游戏化的模式,其实就是借助电子游戏的设计,使用网络安全的知识内容,发起的电子测试。给出游戏的挑战目标、游戏的评分规则,接下来就可设定不同的环节,填入各种类型的网络安全测试题,以及相关的知识科普。说到底,就是把网络安全知识变成竞技游戏,通过奖励和激励措施,发动员工们主动吸收信息安全知识,思考网络安全问题,进而提升网络安全素养。如同技术管控措施一样,游戏化的数据衡量可能并不百分百精确,但是却非常感性,人们通过学习网络安全,变成网络安全达人,能够得到激励、认可和正向反馈,这是在效果方面优于传统网络安全培训的关键。
这个大赛那个大赛的有些电视节目搞的不错,在选手较量、专家点评的热闹气氛中,选手在知识方面下苦功研学,获益良多,但是普通观众多数只是看了热闹,参与时间较短,互动性和投入度比较差,受教程度可以说是参差不齐。电子游戏化的模式则不同,一个拷贝即可让所有人员都成为选手,只要您参与其中,那您就不得不强迫自己去主动学习和思考网络安全!各个环节的测试后,通过计分和反馈,替代电视节目的主持人和专家点评,可以让选手/玩家们增长知识,弥补甚至纠偏自己的网络安全认知。当然,美工、画面,声、光、电等特效,对于游戏的整体美感和可玩度也很重要,至少要与网络安全教育的宗旨相匹配。
当下,整个人类世界越来越来联网化,员工们越来越频繁地成为网络犯罪分子的目标。而在信息泛滥的年代,宣教工作不易取得好的成效,如何启发员工研学并深思网络安全,进而成为网络安全防御方面的“战士”,组成业务成功的“人员防火墙”,需要我们进行不断的探索和创新,通过游戏化让安全意识变得更趣味是一条可以尝试的路子。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,进而帮助客户修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。