一、概述
安全方面最大的风险是没有意识到风险,对于一个企业而言,企业的员工才是网络安全管理的核心,无论多么强大的网络安全技术都架不住人违反管理制度带来的问题。当前大多数网络安全防御体系的构建还是基于传统的边界防御模式,核心理念是确保所有边界的安全,御敌于外。近年来,传统理念在迅速变异的网络犯罪形式和手段面前早已捉襟见肘。惠州供电局意识到网络安全宣传方面存在不足,结合宣传“五W模式”,经过长期的积累和总结,探索出了“Five”网络安全文化。
二、现状及分析
(一)网络安全宣传现状
在软件逐渐成为人类基础设施的趋势下,世界已进入一切可编程、万物皆互联的信息时代。长期以来企业网络安全文化的缺位,使得本与每个人的工作生活息息相关的网络安全不被重视,员工对常规出公告、发通知的网络安全提醒充耳不闻,企业内部开展网络安全宣传往往是说者有意而听者无心。通过对网络安全攻防演习结果统计,超过50%的成功入侵案例利用了弱口令,而整改弱口令恰恰是公司三令五申要求落实的措施,也是网络安全防御中最基本的工作。
(二)网络安全文化建设
安全方面最大的风险是没有意识到风险。人是网络安全最薄弱的环节,无论多么强大的网络安全技术都架不住人违反管理制度带来的问题,更严重的是大家都没意识到自己已经习惯的网络行为存在安全风险,违反管理制度。树立网络安全文化品牌,全面提升网络安全能力,加强网络安全保障,是坚定“两个维护”的实际行动,是维护政治安全的必然要求。网络安全必须以文化宣传为引领,以强化网络安全意识为抓手,从源头出发,多维度,立体化,广渠道开展宣传,树立新时代网络安全观,促使网络安全理念深入人心,潜移默化的在全局范围内形成“我要网络安全”行为习惯,构建健康的网络安全生态环境。
三、网络安全文化模型构建与解析
(一)“Five”网络安全文化模型
拉斯维尔提出了构成传播过程的五种基本要素,分别是英语中五个疑问代词的第一个字母,即:Who (谁),Says What (说了什么),In Which Channel(通过什么渠道),To Whom (向谁说),With What Effect (有什么效果)。“五W模式”表明传播过程是一个目的性行为过程,具有企图影响受众的目的。根据使用与满足理论,受众者的动机以及能满足了他们的什么需求直接影响宣传的效果,根据这一理论,我们从员工的动机和需求出发,开展策略宣传活动,经过长期的积累和总结,惠州供电局构建出“Five”网络安全文化模型,通过一本书、一堂课、一支舞、一首歌、一把尺五种宣传方式,使得可对不同的人员,采用不同的宣传方式,针对性的开展宣传。
(二)建设思路
网络信息空间是人类开拓出的第五维新型生存空间,网络安全文化是安全文化在互联网时代的发展,也应当是人们的思想和行为在网络空间形成正能量的新常态。安全文化是网络治理的理论基础。不同岗位、不同级别的人对于网络安全的理解不一样,对于网络安全知识的需求不一样,网络安全管理部门期望的宣传效果不一样。惠州供电局信息中心对全员进行了梳理,网络安全宣传的受众可以分为:一般人员、专业技术人员、一般管理人员、中层管理人员、决策管理者。
1、一般人员
一般人员具有分布广、层次差别大、人员数量最多的特点,作为网络安全宣传的受众群体,其需求是想了解自己工作生活哪些行为可能存在网络安全风险,如何规范网络行为才能有效规避风险。针对这看似实则复杂的需求,选择用一本小册子和一首歌来传播网络安全,并通过网络传播渠道,将传播范围扩大化,将“网络安全为大家,网络安全靠大家”理念植入人心,让普遍员工将应知应会的网络安全知识变成行为习惯。
一本书读懂网络安全。精心制作的网络安全小册子,通过通俗易懂的语言及平常可见的案例,详述工作生活中如万能钥匙、手机木马、二维码存在的风险,总结防钓鱼、防泄密、防中毒等安全的上网行为习惯要点,方便员工随身携带、随处查阅、随时读懂网络安全,时刻提醒员工网络安全就在身边。
一首歌诠释网络安全。为让网络安全意识深入人心,促使全员养成安全的网络行为习惯,繁荣网络安全文化,惠州局信息中心作词改版歌曲《网络安全之歌》,围绕宣传“网络安全为大家,网络安全靠大家”这一主题,将系统建设、数据安全、工作安全及生活安全等方面,融入字字句句歌词,深刻朴实地诠释了网络安全的重要性,创造性地用接地气的歌词结合耳熟能详的编曲,号召大家网络安全要时刻铭记于心,安全认识融入于脑,安全共识常践于行。
2、专业技术人员
专业技术人员具有一定的理论基础,同时对更专业、更全面技术具有强烈的渴望,他们希望能详尽了解网络安全攻防技术体系,自主思考网络安全防御方法。针对这一需求,组织系列课堂式的培训和行业内专业擂台竞赛,通过一堂课不断提高专业技术人员的技术水平,通过专业擂台检验学习成效。
一堂课弄通网络安全。不精通网络攻击技术的网络安全管理人员,肯定不能很好地完成网络安全防御工作。传统的信息运维人员、网络安全管理人员都未曾弄通网络攻击技术,处于盲目整改、无目的无方向地防御。惠州供电局组织开展全体信息管理及运维人员的网络安全攻防技术讲堂。对网络安全管理、信息运维人员开展攻防技术系列培训,从网页渗透、补丁利用、密码破解等方面,详细剖析网络安全攻击技术,分析网络安全风险,总结网络防御方法,实现网络安全知攻善守,网络安全整改有的放矢,网络安全防御面面俱到。
3、一般管理人员
一般管理人员作为各专业领域领路人和实践者,必须了解本专业、本岗位可能存在的网络安全风险。为减少各专业分析消化的时间,防止跨专业间对制度理解的分歧,信息中心梳理出各专业领域可能涉及的网络安全风险点,作为教程,其在各阶段指导各岗位履行网络安全责任;作为说明,其在任何时候解读网络安全风险;作为标准,其任何地方规范网络行为。
4、中层管理人员
中层管理人员作为各单位各部门的管理者和网络安全第一责任人,需要实时掌握本单位的网络安全管理水平,快速消除网络安全风险,防止发生网络安全事件。为满足中层管理人员对网络安全实时掌握、可量化、可考核、可管控需求,惠州局根据网络安全相关制度标准,结合实际,将网络安全风险管控信息细分为若干任务指标,实现网络安全看得见、算得准、管得住的效果。
一把尺量度网络安全。 网络安全是一种矛与盾的博弈结果。作为一种动态存在的事物,传统的网络安全具有不可见、不可测、难以控、难以管的特点。为让网络安全工作可量化,网络安全成本经济化,网络安全投入最优化,信息中心根据各岗位特点,梳理网络安全风险,结合网络安全制度标准,辅以网络安全专业技术评估,量化展示网络安全成本、成效的关系,制定网络安全最小开销,实现网络安全投入动态优化,网络安全风险实时掌握,网络安全策略即时调整的管控效果。建立网络安全措施评价模型和考核标准,犹如一把尺子,实时量度各单位网络安全工作长短,督促各专业各单位按时保质履行网络安全义务,形成网络安全管控全覆盖,任务全参与的主动工作机制。
5、决策管理者
作为企业决策者,决定着全局的工作思路,面对各单位、各专业的资源需求,如何让网络安全获得更多的关注与认可,争取把更多的资源投入到网络安全工作中,是网络安全管理单位重要的工作。为向决策管理者形象阐述网络安全的工作的重要性,让网络安全工作得到更多的关注和支持,信息中心把网络安全对于企业的重要性抽象化,再以舞蹈赋之灵魂,借助职代会契机声情并茂地演绎,效果甚于舌战群儒的游说。
一支舞演绎网络安全。为呼吁全员共同维护网络安全,向中高层管理人员及全局职工形象的宣传网络安全的重要性,繁荣网络安全文化,燃起大家对网络安全的新认知,惠州局自编自导自演舞剧《燃》,通过网络病变-抗争-人类战胜病毒-憧憬四个篇章,用丰富的舞蹈语言,创新性的诠释了网络安全的重要性,燃起大家对网络安全的新认知。
四、总结
“互联网+”背景下的网络安全文化建设实质是一项安全文化建设工程,其以全体成员为对象,通过丰富的传播表现形式运用于安全文化宣教中,以期提升全员网络安全文化素质,促进网络安全文化传播建设。惠州供电局针对员工网络安全意识淡薄、基本技能缺乏的问题,积极探索解决的方法途径,形成了方法多样,内容丰富,全员参与的“Five”网络安全文化。通过践行“五个一”模式网络安全宣传系列活动,运用5W传播模式,以“一只手”五指发力,助力构建惠州供电局体系化的网络安全文化建设,达到人人参与、固化动作、持续提升、文化沉淀的效果,进而繁荣网络安全文化,让“网络安全为大家,网络安全靠大家”理念深入人心。经过该体系宣传文化的开展,惠州供电局网络安全水平扎实稳固,员工队伍安全意识全面提升。惠州局通过文化这一抓手推进网络安全管理工作,旨在号召大家在网络这个人类生存发展的新空间里,要时刻安全意识牢记于心,安全认识融入于脑,安全共识常践于行。筑梦网空间,我们在路上!
参考文献
刘立平. 培育特色安全文化打造新型高素质职工队伍[J]. 吉林劳动保护, 2011(S1):102-105.
王秉, 吴超, WANGBing, et al. 安全文化建设原理研究[J]. 中国安全生产科学技术, 2015(12):26-32.
刘鹏飞, 张艳芳. 科技信息传播功能解析―以"5W"传播模式为例[J]. 情报科学, 2012(1).
【作者简介】李晓莉,女,山东济南,硕士,高级经济师,高级工程师,高级人力资源管理师。
