博客

安全动态
投稿至邮箱: 在线投稿

唯品会信息安全培训体系

作者:魔风 公布时间:2017-06-06 阅读次数:23172

有些信息安全意识培训,还没开始就已注定失败

信息安全培训,相信大家都不会陌生了吧?不少企业都会举办信息安全培训,希望提高员工的信息安全意识,减少因员工失误所造成的安全风险。

有研究表明,大部分的高级持续攻击(APT),都是由于人员安全意识缺失所造成的,也有大量案例表明,“人”在安全事件中的占比是十分高的。很多业内人士都戏称“人”是TCP/IP的“第8层”,必须受到良好的意识教育,才能降低系统的攻击面。

看到这里,很多人可能觉得每年开一场安全意识培训,结束后进行简单的考试,大家都通过的话,能满足合规要求,也能向领导交待工作啦。我只能说,图样图森破!有些信息安全意识培训,一开始就已经失败了!

意识到底是个什么鬼?

工欲善其事必先利其器,要知道安全意识培训教育怎么做,还得读懂“意识”这个词。意识是人脑对大脑内外表象的觉察,用于辨识真伪的功能,必须有一定的刺激强度和一定的持续刺激时间才能产生知觉。简单来说,就是要使意识长期存在,并且影响其个体的行为,是需要长时间和具备一定强度的刺激。

信息安全意识也是同样的道理,如果寄望于通过每年组织一场培训,就可以提高员工的安全意识,未免也有点天方夜谭了。

企业面临信息安全风险,一方面是信息安全意识不足,另一方面是信息安全技术能力不足和合规意识不足。从过往发生的安全事件来看,即使员工知道要这么做(need to do),但是不知道应该怎么做(how to do),这就是缺少实操训练的结果。

所以单纯的信息安全意识培训,不足以弥补人在信息系统中的缺陷。那么建立一个完整的信息安全培训体系就是大势所趋了。

信息安全培训体系的探索

唯品会早期的信息安全培训也是采用传统的形式,以现场面授培训为主。


主要特点如下:

  • 培训内容主要以知识点为主,缺少生动的案例分享,员工代入感差,上课容易走神;

  • 培训形式单一,只有面授培训课程;

  • 培训对象没有合理区分,缺少针对岗位的培训;

  • 培训内容只有安全意识,缺少安全技术培训和政策合规培训;

  • 培训仅限于新员工入职培训,意识刺激强度不足,难以改变员工的行为习惯;

  • 培训占用员工的日常工作时间,员工抗拒参加培训,或带有消极的情绪;

  • 培训考试的成绩与员工的个人绩效不挂钩,员工不重视;

  • 培训绩效无法度量,无法可视化,意识提升效果无法对比;

  • 缺少有效的渠道收集反馈意见和建议。


上面的种种,都是唯品会在信息安全培训中遇到过的问题。简单总结起来就是“用户体验差,未形成体系”。


用户体验差,具体表现在培训内容不够吸引、培训形式单一、培训对象未区分和占用过多工作时间。在用户体验上,我们开始运用互联网思维,站在用户的角度上思考问题。


未形成体系,具体表现在员工缺少驱动力、培训绩效无法度量和缺少有效反馈渠道。我们开始考虑培训体系化,具有持续改进和闭环的特点。


这就是“互联网+培训”,将传统的培训方式与互联网思维进行深度融合,采用崭新的载体、创新的形式、丰富的内容使其成为一个用户体验至上,具备质量提升循环的唯品会信息安全培训体系。

1.jpg
图1唯品会信息安全培训体系架构图 
 
唯品会信息安全培训体系介绍   

经过不断地探索实践和总结,唯品会已经形成相对成熟的信息安全培训体系(下面简称体系),如上图所示。体系分为五个层次,分别是体系管理层、培训载体层、培训形式层、培训内容层和培训对象层。体系结构层次分明,具备横向扩展性,有利于体系的发展。

1

体系管理层


该层是体系的基础,也是培训教育体系的核心要素。

  • (1)内容管理:是对“培训内容层”中的安全培训内容进行管理,主要是根据需求和安全事件,梳理和扩充安全培训的知识点;

  • (2)需求管理:是收集技术中心、业务部门、HR等安全培训需求,以及从“素材管理”中提取信息安全事件的知识点,形成安全培训需求;

  • (3)培训开发:是根据“内容管理”中的安全培训知识点,综合考虑“培训载体层”中的载体和“培训形式层”中的表现形式,对培训课件、动画、海报等进行开发的过程;

  • (4)素材管理:对构成最终培训课件的图片、文章、动画以及安全事件案例进行分类管理,可以根据安全培训需求进行快速迭代开发;

  • (5)讲师管理:对于信息安全培训面授课程的讲师,实行讲师认证制度和课程满意度管理,通过“沟通交流”中的渠道反馈信息,使讲师能不断提升自己的讲课技能;

  • (6)绩效评估:主要是两方面的绩效评估,第一是学员的考核管理,第二是信息安全部门的培训目标绩效管理。学员的考核管理主要关注学员的线下课程出勤率、线上课程完成率、考试通过率等指标。培训目标绩效管理主要关注年度的信息安全培训目标完成情况、员工主动上报安全事件数量、员工举报违规数量、安全培训满意度等指标。是培训体系测量和持续改进的重要环节;

  • (7)沟通交流:是学员反馈信息安全培训效果、上报安全事件/安全违规、提出改进建议的有效渠道。这些渠道包括V-Learning论坛讨论区、电子邮箱、V课堂满意度调查问卷、IM聊天工具等渠道。



2

培训载体层



培训载体是紧随时代发展的,时代潮流发展到什么程度,就自然有了相应的载体。在没有电脑的时代,使用线下的面授课程和海报宣传。后来有了电脑、手机、微信之后,并且成为了生活的必须品,自然也是安全培训的新式载体。所以在培训载体层,我们只需要做到紧跟潮流发展即可,并无过多创新的地方。或许以后就是用全息投影、VR游戏做安全培训了。


为了具备一定强度和长时间对意识进行刺激,目前唯品会的培训载体分为线上和线下两部分。线下主要是以面授课程和实体刊物为主,线上则包括PC端的V-Learning、电子邮件、OA,移动端的V课堂和微信等形式。



3

培训形式层



培训形式与培训载体是紧密结合的,培训形式多种多样,都是为了提高用户体验,是使用互联网思维解决内容不吸引、形式单一乏味、占用工作时间的三大问题的关键要素。


  • 内容不够吸引?我们通过有趣的动画视频以及紧贴时事的信息长图来宣贯安全内容。

2.jpg图2 、安全技术培训动画视频

3.1.jpg3.2.jpg
图3、安全意识信息长图——电信诈骗   

  • 形式单一乏味?我们通过VSRC微信公众号、PPT、安全员工手册、信息长图、动画、安全小贴士、海报/易拉宝、信息安全活动多种形式对安全培训进行宣贯。确保形式多样,多看不腻。

5.jpg图4、信息安全小贴士-1
6.jpg图5、信息安全小贴士-27.jpg图6、VSRC微信公众号文章分享
9.jpg图7、信息安全面授培训PPT-案例分享110.jpg图8 、信息安全面授培训PPT---案例分享-211.jpg图9 、信息安全活动周-热烈的现场12.jpg图10 、信息安全活动周---踊跃的小伙伴13.jpg图11、唯品会OA专栏14.jpg图12、第十二期信息安全双月刊---封面15.jpg图13、第十三期信息安全双月刊---封面16.jpg图14、信息安全双月刊---安全漏洞预警

占用了员工宝贵的工作时间?我们充分利用员工的碎片时间!包括员工在上下班坐地铁、公交的时间,等待电梯的时间,经过走廊的时间,电脑锁屏后的时间。这些时间都是可以利用的碎片时间,我们在碎片时间中推送安全意识长图、播放安全意识动画视频、播放电脑屏幕保护图片,达到潜移默化提升安全意识的目的。
17.jpg图15、屏幕保护图片---杜绝账号共享18.jpg图16、屏幕保护图片---杜绝弱口令

4

培训内容层


在安全培训的内容上,主要分为三大块,分别是安全意识、安全技术和政策合规,覆盖了常见的安全内容。


安全内容的设计与开发,有三点来源。

  • (1)常规的安全知识点,是培训对象必须了解的内容。

  • (2)安全事件触发式的安全警示,例如公司出现了“钓鱼邮件”,则立即开发关于该安全事件培训内容,以安全小贴士邮件的形式发送给全公司,作为安全事件的预警,避免扩大影响范围。

  • (3)根据“体系管理层”中的“需求管理”,通过收集不同的部门的培训需求,有计划地制作培训内容。


安全意识培训的内容是最为广泛的,也是全公司员工都需要了解的安全知识点,其知识点都浅显易懂,并且以覆盖日常工作为主,辅以生活安全知识点。

19.jpg图17、信息安全意识教育视频课程目录20.jpg

图18、信息安全意识教育动画---数据安全

21.jpg图19、信息安全意识教育动画---共享账号

22.jpg图20、信息安全双月刊---生活相关的安全提醒
安全技术的培训内容,主要面向开发人员、运维人员以及安全人员,包括TOP10安全漏洞原理及规避方法、业务安全的最佳实践、安全编码标准、安全提测评审流程和一些技术规范。23.jpg图21、信息安全技术培训动画---课程目录24.jpg图22、信息安全技术培训动画---SQL注入漏洞25.jpg26.jpg图23、安全编码规范

政策合规,主要是公司需要满足的标准和法律法规要求,包括ISO 27001、PCI DSS、ADSS、SOX 404等标准。在唯品会实施ISO 27001时,实施了ISO 27001标准讲解以及建设的注意事项培训,使信息安全管理体系能够快速有效落地,并获得领导的大力支持。


5

培训对象层


培训对象层关注的是接受信息安全培训的人员,我们从两个维度分析培训对象,第一是培训课程的受众分类,第二是培训对象职业生涯发展的需求。


培训课程的受众分类,指除了全员“一刀切”的安全意识培训课程外,还应该针对各个岗位实施专门的岗位安全技能培训,例如安全开发、安全运维、安全应急响应等不同类别。


职业生涯发展需求,指员工进入公司后,随着技术提升和岗位晋升方面考虑,可能会产生不一样的安全培训需求。


例A,一位程序开发员,需要掌握的是安全编码知识,而程序开发员晋升成系统架构师后,可能需要了解安全模型、安全架构以及威胁建模等更深层次的技术。


例B,一位业务员,晋升到业务经理甚至业务总监。从以前可能只需要管好自己的安全意识就可以了,到现在需要管理好团队下面所有人的安全意识,这是一个不小的挑战,需要给他们一个身份转变后的安全意识培训。