如何提高网络安全意识

作者： Nipon Nachin，CISA、CISM、CISSP、CSSLP、GICSP、GREM、ITIL v3 专家、QSA、PCIP、SSCP、Chatpong Tangmanee 博士和 Krerk Piromsopa 博士。

信息和通信技术正在快速发展。结果，互联网变得很容易访问。因此，互联网用户的数量急剧增加。然而，大多数用户并没有意识到保护他们在互联网上的数据隐私有多么重要，特别是在技术不断发展的情况下。此外，用户遇到了许多类型的与互联网相关的威胁，但他们可能没有意识到这些威胁。因此，评估与用户行为相关的风险至关重要。

不可否认，互联网对日常生活很重要。几乎所有公共和私营部门的工作都依赖于 IT 系统。因此，系统必须得到保护。尽管有一些技术和策略可以用来控制用户的行为，但它们并不总是成功。这是因为用户不了解许多风险因素以及如何保护自己免受或正确处理风险。网络钓鱼是一种社会工程技术，旨在窃取用户的机密信息，例如用户 ID、密码以及银行和信用卡详细信息。1通常，受害者会收到一封电子邮件，引诱他们访问虚假或恶意网站，要求他们提供身份信息。攻击形式每天都在变化，网络钓鱼被认为是当今最严重的威胁之一。2

政府拥有的大多数公共记录数据（例如姓名、出生日期、纳税识别号、护照号码和医疗保健详细信息）都是敏感的。与国家安全相关的敏感数据包括军事情报、民防、应急计划和关键基础设施保护。许多网络攻击以第三方为目标，以获取国家安全数据。每个国家都面临着战略网络攻击的风险，这是非常具有挑战性的。公共部门和私营部门都无法避免网络攻击的威胁，这意味着他们必须找到正确有效处理威胁的方法。

美国国家标准与技术研究院 (NIST) 在 NIST 特别出版物 (SP) 800-16 中提供了对安全意识的描述，其中解释了提高意识不仅仅是提供培训计划；还包括提高安全意识。其主要目的是提高人们正确理解和应对网络威胁的意识。3

政府机构和私营部门投入了大量资源来确保信息安全。然而，仅靠技术并不足以解决问题，因为人是网络攻击的关键目标，而大多数时候，这一点没有被考虑在内。因此，总的来说，有必要建立信息安全政策来保护信息和资产的安全，除了法律、法规和正确使用信息技术的最佳实践之外，还提供一个可操作的框架。即使制定了培训计划，网络事件仍然存在；也就是说，培训计划可能不足以有效地解决网络攻击问题。4

任何旨在保护信息的政策或计划的主要目标都应该是逐步改变人们的行为。安全保护策略应该能够识别可能推动行为改变的关键行为。一般来说，对于提高安全意识的培训计划，应该要求人们进行预测试和后测试，以衡量他们对网络安全威胁的了解水平，并证明他们知道如何保护自己免受网络攻击。尽管他们在测试时可能知道答案，但在现实生活中他们可能不会采取相应的行动。除了培训之外，还有视频、网站和安全出版物等其他资源可用于提高安全意识。然而，没有太多研究来评估哪种方法对于提高网络安全意识最有效。因此，本研究的目的是确定最有效的培训方法并开发可以有效提高网络安全意识的原型。

与提高网络安全意识相关的研究

提高网络安全意识的方法有多种，包括在组织内张贴安全意识海报、内联网网站上的安全意识内容、屏幕保护程序上的信息、课堂培训、视频、模拟和测试。一项研究表明，使用内联网提高认识是列出的方法中最有效的。5提高安全意识需要用户了解组织的安全策略。

此外，一种通过发送虚假恶意软件电子邮件来测试用户意识来建立安全意识的新方法最近受到了公众的关注。使用游戏来建立意识是另一种有效的方法；然而，它不如使用视频有效。6

有研究表明，影响安全意识的因素有主观规范态度、威胁评价和应对评价。主观规范态度是指一个人对他人的期望的看法以及这将如何影响他或她的行为。威胁评估描述了个人对威胁事件造成的危险程度的评估，应对评估是个人应对和避免威胁造成的潜在损失或损害的能力的评估。

此外，内在效益、资源安全、奖励、工作障碍、内在成本、资源脆弱性和制裁都会对操作行为和安全策略的遵守产生影响。7

本文讨论的研究分为三个部分。第一部分旨在确定提高认识的有效方法，包括课堂培训、视频剪辑、内联网、游戏和基于调查数据的模拟五种方法。在第二部分中，使用研究第一部分中获得的两种最有效的方法来测试泰国选定的组织，以确定哪种方法提供最高级别的安全意识。最后一部分的重点是开发一个有效的培训计划，利用前两部分的结果来提高安全意识。

该调查数据是在泰国第十七届信息安全和网络安全年会上从人们那里收集的。8单向方差分析 (ANOVA) 用于查找安全意识评分平均值的差异。安全意识得分为响应变量。

本研究考虑的因素是提高安全意识的方法。检查了五种方法：

• 常规发货方式

• 讲师指导的授课方式

• 网上发货方式

• 基于游戏的交付方式

• 基于模拟的交付方法

本研究考虑了六种类型的安全意识（每种类型都有自己的分数）。对相同因素但不同响应（或不同类型的安全意识）进行单向方差分析。本研究研究的六种安全意识是：

• 了解漏洞

• 受到攻击时意识到影响

• 认识到一个人随时可能受到攻击

• 在真实事件中保护自己的能力

• 网络弹性

• 认识到网络安全的重要性

之后，基于 Tukey 的诚实显着差异 (HSD) 测试（一种提供准确总体错误率的假设检验方法）9 进行同时多重比较，以找出这些方法之间安全评分的差异。图 1总结了研究第一部分的结果。图中的复选标记表示该方法在五种方法中得分最高（对于该类型的认知）。

根据图1，与其他四种方法相比，基于模拟的交付方法是最有效的，因为它在所有类型的安全意识中得分最高。此外，还可以看到，一些影响网络安全意识的因素有不止一个勾号；这表明这些方法的得分均值在统计上没有差异。

根据这些结果，最有效的两种方法分别是基于模拟的交付方法和讲师指导的交付方法。

在研究的第二部分中，使用第一部分中获得的两种方法对泰国的组织进行测试，以找到提高安全意识的最有效方法。研究对象是泰国《电子交易法 BE 2001》公告中列出的国家关键基础设施组织。10 20 个组织的样本是通过系统抽样随机抽取的。培训中使用的意识演示为读者提供了网络威胁和网络钓鱼攻击的知识。在云系统中模拟网络钓鱼，并向这些组织中的用户发送一封虚假电子邮件。

第一次攻击发生在安全意识培训之前。这是一个模拟情况，欺骗用户相信他们的Messenger帐户受到攻击，并要求用户在收到电子邮件后立即更改密码。第二次攻击是在训练计划之后发送的，该计划使用了研究第一部分中获得的方法。

每个选定组织的用户被分为两组，每组 100 人。每个小组接受一种类型的培训。两组人员在培训前都收到了一封钓鱼电子邮件。第一组采用讲师指导的授课方法。在三个小时的培训中，材料涵盖了网络威胁、与威胁相关的风险行为、威胁的影响和预防措施等主题。第二组使用基于模拟的交付方法。该团伙在训练前也遭受过网络钓鱼攻击；然而，培训期间讨论了攻击的结果，以及该组织的人员如何保护自己免受威胁。两种方法训练结束后，再次发送攻击来比较训练前后的网络安全意识水平。如果用户打开，点击或填写钓鱼邮件上的信息，他或她将分别获得2、3或4的风险评分。如果用户什么都不做，他或她的风险评分将为1。风险和认知度成反比关系。因此，风险评分越低，网络安全意识水平越高。

在这项研究中，样本共有来自 20 个组织的 4,523 名员工，包括监管机构、银行、互联网和网络提供商、航空公司和公共服务机构。使用配对 t 检验来比较训练前后风险评分的差异均值。

然后使用独立 t 检验来比较两种方法的结果。所有检验均以 0.05 的显着性水平进行，这意味着检验的结论是风险分数均值之间存在差异，但实际上它们并没有不同。根据结果可以得出结论，基于模拟的授课方法可以提高意识水平，并且在提高意识方面比讲师引导的授课方法更有效。然而，为了有效地建立安全意识，这两种方法都应该集成并应用于组织，因为它们可以增加成功建立安全意识的机会。此外，大型组织可能拥有超过 1,000 名员工，这使得应用讲师指导的交付方法变得困难。

研究的第三部分侧重于评估和增强网络安全意识的原型开发。首先，原型概念是基于技术威胁规避理论（TTAT）开发的，该理论概述了影响避免网络威胁的因素。11

这些因素是威胁评估、应对评估和应对。除了TTAT之外，服务创新理念的制定还考虑了法律法规的要求、成本可行性、风险缓释能力、标准合规性等。因此，开发的原型概念有四种替代方案。对于方案1，对用户进行培训，然后在培训后将模拟攻击发送给他们，并将结果发送给他们的主管。对于替代方案 2，模拟攻击将发送给用户，如果他们是受害者，他们将被发送到在线培训计划。培训结束后，他们需要参加考试。这个过程不断重复，如果任何用户通过其组织指定的资格，他们将获得网络安全意识证书。对于替代方案 3，模拟攻击将发送给用户，并将结果报告给他们的主管。最后，方案4与方案2类似，只是没有证书。为了选择最可接受的替代方案，进行了两次评估。第一次评估旨在获取与潜在原型概念相关的信息，基于 12 位网络安全、IT 和营销专家的意见和判断。另一种评估侧重于消费者选择服务的决定。使用评估的两个结果，获得最可接受的原型。进行了两次评估。第一次评估旨在获取与潜在原型概念相关的信息，基于 12 位网络安全、IT 和营销专家的意见和判断。另一种评估侧重于消费者选择服务的决定。使用评估的两个结果，获得最可接受的原型。进行了两次评估。第一次评估旨在获取与潜在原型概念相关的信息，基于 12 位网络安全、IT 和营销专家的意见和判断。另一种评估侧重于消费者选择服务的决定。使用评估的两个结果，获得最可接受的原型。

通过在线学习将威胁模拟与培训相结合获得了最佳评价。利用这一结果，创建了用于评估和增强网络安全意识的原型。此外，还在样机上进行了验收测试。随机抽取 50 名用户，在使用原型机后发表他们对原型机的态度和意见。验收测试的结果用于改进原型，原型的最终版本如图2所示。

根据图2，模拟的网络威胁被生成并发送到攻击员工，而无需提前通知他们，因为这会让他们意识到情况。下一步是员工决定是否打开模拟电子邮件，可以根据 TTAT 来衡量回避动机和行为。如果员工决定打开电子邮件并填写信息，则会出现一条警告消息，通知他们是攻击的受害者，需要参加在线学习课程。在线学习课程提供有关各种类型的网络威胁、其影响以及如何防范网络威胁和攻击的知识。完成在线学习课程后，员工需要参加在线考试，以评估他们的感知敏感性、感知严重性、感知有效性、感知成本和自我效能。如果员工通过了模拟和考试，则意味着他们具有可接受的网络安全意识水平，这可能会导致他们找到保护自己免受网络威胁的方法。

结论

许多组织提供培训计划来提高他们的网络安全意识。然而，培训可能不足以让组织应对网络威胁和攻击。由于大多数网络安全意识计划侧重于理论，因此无法建立网络安全意识和事件响应流程。也就是说，除了培训计划之外，让员工和管理层体验逼真的网络事件也很重要，这种事件类似于消防演习，被称为网络演习。网络演习是一个培训过程，模拟对员工或与网络事件响应相关的人员的网络攻击。这些演习使他们更加熟悉威胁。此外，网络演习可以确定员工是否有成为网络威胁受害者的高风险。对事件的快速响应可以使组织进入一种网络弹性状态，这种状态对于攻击的影响非常强大。这种响应可以帮助组织维持与客户的服务级别协议 (SLA)。因此，网络演习可以帮助组织中的员工了解网络威胁，并为其提供更有效的响应。

尾注

1阿拉奇拉奇，北卡罗来纳州；S.爱；“避免网络钓鱼攻击的游戏设计框架”，人类行为中的计算机，卷。29、艾斯。3，2013 年 5 月，第 14 页。706-714， https://www.sciencedirect.com/science/article/pii/S0747563212003585
2阿拉奇拉奇，N.；S.爱；“计算机用户的安全意识：网络钓鱼威胁规避视角”，人类行为中的计算机，卷。38，2014 年 9 月，第 38 页。304-312， https://www.sciencedirect.com/science/article/pii/S0747563214003331
3美国国家标准与技术研究院 (NIST)，“信息技术安全培训要求”特别出版物 (SP) 800-16，美国， http://csrc.nist.gov/publications/nistpubs/800-137/SP800-137-Final.pdf
4巴达，M.；A.萨斯；J. 护士；“网络安全意识活动：为什么他们无法改变行为？” 可持续社会网络安全国际会议，2015 年， https://www.researchgate.net/publication/274663655_Cyber _Security_Awareness_Campaigns_Why_do_they_fail_to_change_behaviour
5 Alarifi, A.；H.图特尔；P.海兰；“沙特阿拉伯信息安全意识和实践研究”， 2012 年国际通信和信息技术会议 (ICCIT)，2012 年 8 月 27 日， https: //ieeexplore.ieee.org/document/6285845
6 Cone, B.；M.汤普森；C.欧文；T.阮；“通过游戏进行网络安全培训和意识”，2006 年，https://apps.dtic.mil/dtic/tr/fulltext/u2/a484730.pdf
7布尔古尔库，B.；H.恰武什奥卢；I. 本巴萨特；“信息安全政策合规性：基于理性的信念和信息安全意识的实证研究”，MIS 季刊，卷。34、艾斯。3，2010 年 9 月，第 14 页。523-548，https://www.researchgate.net/publication/220260207_Information_Security_Policy_Compliance_An_Empirical_Study_of_Rationality-Based_Beliefs_and_Information_Security_Awareness
8网络防御倡议会议 (CDIC) 2017，http://www.cdicconference.com
9统计方法，什么是 Tu关键测试/诚实的显着差异？，
https://www.statisticshowto.datasciencecentral.com/tukey-test-honest-significant-difference/
10 ICT 法律中心，“泰国 2001 年电子交易法关键基础设施清单”，https: //ictlawcenter.etda.or.th/files/law/file/78/e37c4fe15bbaeee06907537bdd4a7795.pdf
11 薛Y. “避免信息技术威胁：理论视角”， MIS 季刊，卷。1、艾斯。33，2009 年 3 月，第 33 页。71-90， https://www.researchgate.net/publication/220260390_Avoidance_of_Information_Technology_Threats_A_Theoretical_Perspective

Nipon Nachin、CISA、CISM、CISSP、CSSLP、GICSP、GREM、ITIL v3 专家、QSA、PCIP、SSCP
是一位拥有 16 年经验的安全专家。他曾在 ACIS 专业中心担任首席执行官。他目前就读于朱拉隆功大学（泰国曼谷）研究生院的科技创业和创新管理项目，并正在攻读博士学位。您可以通过[email protected]联系他。

查蓬·唐马尼博士
朱拉隆功大学商业和会计学院统计和信息系统教授。您可以通过[email protected]联系他。

克雷克·皮罗姆索帕博士
是朱拉隆功大学（泰国曼谷）计算机工程系信息安全教授。您可以通过[email protected]联系他。

原文始发于微信公众号（河南等级保护测评）：如何提高网络安全意识