如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之十四：安全意识和技能培训

作者：Sender Su 来源：原创内容发布日期：2022-04-15 最后修改日期：2022-04-15

　　CIS关键安全控制措施集（CIS Critical Security Controls，CIS Controls）系列介绍文章，本期介绍控制措施14：安全意识和技能培训

笔者：国际认证信息系统审计师、软考系统分析师

　　控制措施14：安全意识和技能培训

　　包含有9个细项，IG1前8项，IG2全9项，IG3全9项。

　　这9项分别是：

　　14.1 建立并维护一套安全意识计划。安全意识程序的目的是教育企业的员工如何以安全的方式与企业资产和数据进行交互。招聘员工时需要进行培训，并且至少每年一次，或者在发生可能影响此安全措施的重大企业变革时，进行审查和更新内容。

　　14.2 培训员工识别社交工程攻击，如网络钓鱼、预发短信和尾随攻击。

　　14.3 对员工进行身份认证最佳实践方式的培训。培训主题包括多因素验证（MFA）、密码组合和凭据管理。

　　14.4 培训员工进行数据处理的最佳实践方式。培训员工如何识别和正确地存储、传输、归档和销毁敏感数据。包括培训员工的清理屏幕和桌面的最佳实践方式，例如当他们离开企业资产时锁定屏幕，在会议结束时删除物理或虚拟白板，以及安全地存储数据和资产。

　　14.5 培训员工了解会导致意外数据暴露的因素，培训主题包括敏感数据的错误传递、丢失便携式终端用户设备或向非预期的用户发布数据。

　　14.6 培训员工如何识别和报告安全事件，尤其是识别出潜在的事件，并能够报告此类事件。

　　14.7 培训员工如何识别和报告他们的企业资产是否错过了安全更新。员工应能了解如何验证和报告过时的软件补丁，或自动化流程和工具中的任何故障。该培训的一部分应包括对自动化流程和工具中的任何故障通知IT支持人员。

　　14.8 培训员工了解通过不安全的网络连接和传输企业数据的危险。如果企业有远程工作人员，培训必须包括书面指引，以确保所有用户都能按指引安全地配置其家庭网络基础设施。

　　14.9 进行特定角色的安全意识和技能培训。包括为IT专业人员开设的安全系统管理课程，为web应用程序开发人员提供的OWASP®Top10漏洞意识和预防培训，以及针对高级企业角色的高级社交工程攻击防范意识的培训。

　　控制措施14的目的是使企业能建立并维护一套安全意识计划，通过该计划影响员工的行为，使员工具有安全意识和适当的技能，以减少对企业的网络安全风险。

　　有效的安全意识培训计划不应该仅仅是一个固定的，一年一次的培训视频，再加上定期的网络钓鱼测试。虽然需要进行年度培训，但也应该有更频繁的、关于安全的专题信息和通知。这可以包括以下情况：在媒体报道密码泄漏事件时提醒更改使用强密码，在年度纳税期间网络钓鱼攻击情况会增加，或提高节日期间警惕通过邮件传递恶意附件的意识。

　　培训还应考虑企业不同的监管和威胁态势。比如金融公司可能在数据处理和使用方面有更多的合规相关培训，对于医疗保健企业是处理医疗保健数据，对于商家则是和处理信用卡数据相关。

　　社交工程培训，如网络钓鱼测试，也应该包括对针对不同角色的战术的意识。例如，金融团队收到欺诈商务邮件（BEC），试图冒充高管，要求电汇；或收到来自被控制的合作伙伴或供应商的电子邮件，包含有要求进行付款的银行账户信息等情况。

　　为了更全面地处理这一主题，以下资源有助于建立有效的安全意识程序：

NIST® SP 800-50 Infosec Awareness Training