网络安全:如何用几个简单的步骤保护公司的资产

通过安迪标志2017年10月14日(2021年11月24日更新)

随着每周甚至每天都有数据泄露和黑客攻击的新闻,重要的是要记住,网络安全是每个人的责任。事实上,十月被定为全国网络安全意识月正是因为这个原因。重要的是要保持警惕,不仅要保护我们日常使用的设备和网络,还要保护我们日常生活中使用物联网(IoT)设备所带来的许多未被承认的连接。

“关于网络安全,人们没有提到的是,仅仅采取一些简单的步骤就能带来多大的改变,”他说David Herman, Raffetto Herman战略传播公司总裁。在本文中,我们将讨论当前的网络威胁形势,以及如何保护自己、团队和公司。专家分享了如何保护你的网络资产的技巧,无论大小,你也可以找到创建网络安全计划的资源。欧宝体育app官方888

什么是网络安全?

网络安全是保护计算机设备、网络、数据和信息免受攻击、盗窃、误导、滥用或破坏的过程和方法。网络安全的范围扩展到对威胁的性质和来源以及内部网络以外的基础设施的考虑。网络安全领域还包括与公共计算机政策相关的问题,包括网络政策、网络威胁意识和威胁信息共享。

网络安全是安全的许多方面的超集,包括网络安全。然而,网络安全侧重于保护小型或企业级组织的内部数据和基础设施,并管理访问控制、密码、防火墙、扫描和防病毒软件。网络安全还包括以下几个方面:

  • 应用安全:努力在应用程序中构建健壮的安全特性,特别是那些可以通过互联网获得的应用程序。
  • 资讯保安(InfoSec):保护数字和非数字数据和信息免受攻击和滥用的流程、策略和工具。
  • 操作安全(OPSEC):OPSEC的目标是识别和确定保护资产的方法。操作安全通常由五个步骤组成:识别资产、识别威胁、确定漏洞、评估风险和调用对策。
  • 灾难恢复和业务连续性:灾难恢复预测安全事件,并提供恢复资产和恢复业务的计划。
  • 终端用户教育:良好的网络安全实践使组织的每个成员都能识别和抵御安全威胁。

什么是电脑保安?

网络安全有几个同义词,计算机安全和IT安全,这对非技术人员来说可能听起来更平易近人。计算机安全的目标是保护硬件、软件及其存储和传输的数据免受潜在的损害、破坏或滥用。

网络安全为何如此重要?

从银行业务到维持友谊,一切都是数字化和在线的。对网络安全的担忧已经超越了保护传统台式电脑和服务器群及其包含的机密或个人身份信息(PII)。安全必须保护数百万个智能设备,这些设备执行每一项活动,从远程调节办公室的温度到改变交通信号,再到确保水以稳定的速率流过总水管。

数字和信息技术的融合在家庭、工作甚至公共基础设施中越来越多。正如政府网络安全网站所指出的那样,黑客(无论是业余的还是有组织的犯罪分子)想要否认、破坏、降级和破坏我们的网络。

大卫·赫尔曼

威胁在其复杂性和实施时可能造成的损害程度方面不断演变和升级。作为技术顾问和总裁Raffetto Herman战略传播公司大卫·赫尔曼警告说:“有坏人,他们会追求大事。”

斯蒂芬·盖茨

斯蒂芬·盖茨,首席研究情报分析师Zenedge他说,最近频繁的袭击应该引起我们的注意。“这对任何存储个人身份信息数据的人来说都是一个警钟。他们必须使用良好、可靠的网络应用技术来保护自己的网络应用。”适当的保护不仅仅是防火墙和杀毒软件。盖茨认为,这是为了保护我们实际的网络应用程序免受黑客攻击。

没有迹象表明威胁和犯罪会很快结束,因为这对黑客来说是一份利润丰厚的全职工作。盖茨说:“他们不会穿着连帽衫,坐在奶奶的地下室里黑客。“这些家伙开着奔驰,开着私人飞机,穿阿玛尼西装,基本上靠犯罪过着美好而丰厚的生活。你打算如何改变这一点?”

世界末日

如果大规模的信用卡盗窃和勒索软件的流行还不够可怕的话,盖茨还预见了另一个即将到来的威胁:僵尸网络的入侵。机器人是自动执行任务的小型应用程序(例如餐厅的订餐应用程序)。黑客可以把联网设备,如婴儿监视器、恒温器、摄像头或智能手机变成机器人网络。盖茨解释说:“现在,机器人会根据主人的指令进行攻击。”机器人的目标是打乱密码或传播勒索软件。使用大量的设备可以放大攻击的力量。

盖茨警告说:“这是一次攻击,同时有10万或100万台设备被黑客攻击。”它正在逼近。“这个机器人问题将在未来三到四年内失控。”


网络安全:不仅仅是威胁

尽管面临着严重的威胁,但世界上仍然存在着一种强烈的天真因素。正如赫尔曼所说,如果你从未经历过飓风,你就不会在意飓风警报。事实上,只有当你亲身受到网络安全漏洞的影响时,你才会更加敏锐地意识到它的潜力。赫尔曼解释说,这种心态在一些较小的组织中仍然存在——一种默默无闻的安全感。他阐述了这种观点:“我们是一家小公司,没有人真正了解我们。没有太大的威胁,所以我不担心。”

在公司中,首席执行官和其他c级管理人员通常会将安全视为一个IT问题。当组织中如此多的部门联网并控制敏感数据时,网络安全成为整个团队的责任。

除了破坏和拒绝服务攻击造成的混乱和破坏之外,组织可能要对网络安全负责——特别是如果它是一家存储数据或处理企业敏感信息的公司。如果公司没有制定强有力的网络安全系统,审计机构可能会制裁这些系统,从而使其难以保留或吸引新业务。如果您的组织处于监管严格的行业,例如银行或医疗保健行业,那么您可能会因数据泄露而受到严厉的制裁和处罚。在与美国以外的国家打交道时,可能会有特定的时间来报告违规行为。

哪些系统面临网络安全攻击的风险?

我们生活在一个由计算机操作的网络化世界,因此我们生活的几乎每个方面都有可能受到网络攻击的影响。以下是一些你应该警惕的常见安全漏洞:

  • 传统的犯罪:计算机和互联网支持所有传统形式的恶意和贪婪,包括银行和其他欺诈以及知识产权盗窃。
  • 远程混乱:有了物联网,有人可以监视你,打开你的门,窃取你的信息,或者错误计算你的药物剂量。
  • 金融盗窃:黑市存在于那些乐于窃取你的现在和未来的人中间。他们会记下你的信用卡号、社会保险号、你的地址和其他联系信息、你孩子的信息,甚至你的退休账户细节。
  • 你的水、电、电话:我们的大部分基础设施已经上线。公用事业、电信系统、水处理、天然气、第一反应通信和其他相关工具、报告用电量的智能电表和核设施。想象一下,如果在你的城镇的一个十字路口的所有路灯同时变成红色-这将如何影响交通?门禁卡上的RFID系统,甚至是护照上的芯片等文件中的RFID系统,都可以被克隆。
  • 名声毁了:利用网络漏洞进行犯罪可能会破坏公司、政府机构甚至个人的声誉和公众信任,尤其是在他们本可以更好地保护网络和数据的情况下。企业面临着客户和股东诉讼、合规审计甚至制裁的风险。
  • 飞行恐惧:航空导航、空中控制系统和无线电通信都有被恶意软件攻击的风险,或者如果电气系统受到攻击,就会出现故障。
  • 移动混乱:在你的智能汽车中,黑客可能会启动引擎,篡改刹车和安全带的张力,导致汽车加速并冲出道路,然后通过音频系统窃听。
  • 机器人军队:你所有的消费设备都是可以被黑客劫持的微型计算机。这包括你的遥控恒温器、GPS、智能手表、智能冰箱、可以选择电台的语音个人助理、可以播放视频的门铃和狗狗监视器。如果他们没有监视你,他们可能会在你不知情的情况下侵入数据库或传播恶意软件。

网络威胁

关注网络攻击的政府机构

在美国,《计算机欺诈和滥用法案》和《2015年网络安全法》是正式禁止滥用计算机和网络欺诈的法律。2017年5月,白宫发布了一项总统行政命令加强联邦网络和关键基础设施的网络安全。美国的许多政府机构都在处理网络安全问题,尽管正如大卫·赫尔曼所指出的,这些努力似乎是不同的。他说:“不只是一份简单明了的公开演讲清单,上面写着要做的事情。“如果你搜索一下,你会发现有关漏洞和可做之事的政府资源,但我认为,政府在以大多数人都能接欧宝体育app官方888受的方式整合这些资源方面做得并不好。”

斯蒂芬·盖茨赞同赫尔曼的观点,认为政府并没有齐心协力。盖茨说:“每个人都在谈论它,但并没有真正采取任何行动。”

以下是一些专注于设备、网络和网络犯罪的政府机构:

  • 国土安全部:国家网络安全部门
  • 联邦调查局,国家白领犯罪中心,互联网犯罪投诉中心,IC3(个人和公司报告身份盗窃和其他违规行为)
  • 美国司法部
  • 美国战略司令部的美国网络司令部
  • 美国联邦通信委员会
  • 美国食品和药物管理局
  • US-CERT,美国计算机应急准备小组(运营国家网络意识系统,主要向计算机专家发出警报)
  • 美国能源部,电力输送和能源可靠性办公室

计算机犯罪是无国界的、无国界的,它可能发生在这里、那里、任何地方,也可能发生在任何地方,源头和受影响的地点随时都在变化。指派当地警察处理这些事件可能很困难。许多其他国家都有网络应急响应小组(CERTs)来监视威胁,但几乎没有统一的国际法律或引渡条约。无论在哪里发现网络罪犯,当地法律往往都不够强大,无法将被告绳之以法,更不用说伸张正义了。

民间对抗网络威胁的努力
2017年初新成立的非营利性网络威胁联盟(CTA)旨在改善参与网络安全的公司的情报共享,保护互联网免受黑客攻击,并防止利用软件。创始团队包括思科、英特尔、赛门铁克、帕洛阿尔托网络、Fortinet和Check Point软件技术等主要软件和网络安全公司,前总统巴拉克•奥巴马(Barack Obama)的特别助理和网络安全顾问迈克尔•丹尼尔(Michael Daniel)担任总裁。

系统是如何被攻击的?

即使在几年前,计算机安全事件通常涉及未经授权访问设施或无意中留在出租车上的笔记本电脑。现在威胁来自外部:

  • 漏洞:软件设计、实现或设备安装中存在的弱点。这些弱点被攻击者利用,他们利用这些弱点来达到恶意目的。尽管一个或几个人可能会从网络攻击中受益,但探测漏洞本身通常是自动化的。
  • 后门:绕过授权程序进入系统或程序的一种方法。后门可能是为了维护而故意安装的。
  • 拒绝服务攻击:这种类型的攻击使得用户无法访问计算机或网络。攻击的形式包括反复篡改个人密码,使其被锁定在系统之外,或者使系统过载,使其无法响应。分布式拒绝服务攻击来自多个IP地址,这使得防火墙屏蔽恶意呼叫并允许合法用户进入变得更加复杂。
  • 直接访问攻击:攻击者可能会未经授权访问笔记本电脑来添加恶意软件,但攻击也可以通过其他设备传播。例如,摄像机和存储设备直接访问计算机内存进行高速传输,这使它们成为蠕虫、键盘记录器和其他恶意软件的载体。
  • 窃听:秘密的谈话监控,无论是通过窃听房间,窃听固定电话或手机,还是拦截电子邮件。
  • 欺骗:假装成你不是的人或物以获取敏感信息的行为。您可以欺骗人员或设备,例如欺骗电子邮件地址以分发垃圾邮件或在VoIP网络上欺骗来电显示。
  • 干预:修改设备的行为,例如在路由器上安装监视功能或安装rootkit,使用允许访问通常无法访问的计算机部分的软件。
  • 特权升级:具有某些特权的用户可以赋予自己更高的特权,包括对整个系统的潜在超级用户访问权。
  • 网络钓鱼:这是一种试图通过假装代表合法组织或个人(通常是权威人士)来获取敏感信息的行为。罪犯向一群受害者发送即时消息和电子邮件,希望有人会咬人。
  • Ransomware:一种锁定数据系统或单个设备的方法。勒索软件可能通过网络钓鱼骗局安装。
  • “点击劫持”:通过劫持网页链接或用户点击,点击劫持将用户重定向到一个假冒合法页面的页面,通常是为了收集敏感信息。
  • 社会工程:一种复杂的网络钓鱼,攻击者使用网页、电子邮件甚至电话冒充权威人物或友好的代理来获取敏感的个人或公司数据。社会工程通常涉及通过社交媒体对个人进行研究,这样他们就可以利用受害者的生活方式、工作和兴趣。例如,以首席财务官的名义发送电子邮件,要求提供人力资源记录,或者向“孙子”索要钱。其他例子还包括打着合法供应商的幌子,通过电子邮件发送发票,以确保付款进入窃贼的账户。
  • 僵尸网络:一种由私人计算机组成的网络,包括作为一个群体被秘密控制以传播垃圾邮件或破解密码的便携式设备。

如何避免恶意软件

什么是网络政策?

网络政策在我们社会的许多层面都是相关的。在国家层面上,网络政策决定着我们如何处理数据隐私、个人隐私、言论自由、安全、互联网接入和互联网商品化等问题。在本地或私有层面,组织的网络政策指导员工、承包商和访客如何使用其计算机和网络资产。该策略精确地描述了这些资产、适当的和可接受的用途、针对设备和网络的潜在威胁,以及组织将如何防御威胁、遏制和击退威胁,以及修复任何损害。

一些关注网络安全的政府机构提供了有用的政策工具。联邦通信委员会在线网络规划师帮助您为组织的网络计划的特定需求构建模板。美国联邦通信委员会还提供了一份背景指南FCC小企业网络规划指南,其中有45页关于计算机安全培训、设施安全的建议,以及出版物和相关政府机构的链接。另一个来自金融业监管局(FINRA)的资源是基于excel的小型公司网络安全清单

美国国家标准与技术研究院(NIST)提供了一个网络事故应变计划,其中包括一份详细的指南和一份一页的清单,用于准备应对重大安全事件。

网络安全框架

在高层次上,联邦机构和非政府组织(ngo)创建政策框架来描述网络管理和网络安全的最佳实践,并指导组织遵守法规。

  • NIST的框架:改进关键基础设施网络安全的NIST框架描述围绕五个核心功能(识别、检测、保护、响应和恢复)分组的活动,以促进网络安全。NIST框架借鉴了其他框架和标准,包括ISO 27000、信息技术安全和ISO 31000风险管理。NIST框架也可以作为Excel文档。
  • ISO / IEC 27000:ISO 27000管理信息安全的一系列标准。
  • COBIT:信息及相关技术控制目标它由信息系统审计和控制协会(ISACA)创建,为企业信息技术的管理和治理提供了一个框架。它的规范证明了与Sarbanes Oxley的数据和IT组件的遵从性。
  • ssae:关于鉴证业务标准的声明(SSAE)-16提供一个框架,使公司能够与注册会计师、审计师和其他人沟通其网络安全有效性。

虽然框架描述了组织应该包括在网络策略中的事物类型的理论模型,但增长和改进是通过网络安全成熟度模型来描述的。网络安全成熟度模型文档提供了组织网络安全方法的复杂程度的视图,并提供了增强的路线图。

即使是IT安全专业人士也会觉得框架读起来令人生畏(NIST的网络安全框架有66页)。如果您的公司受到遵从性审计的约束,安全顾问建议利用托管的安全服务。这样做可以在您试图确保和证明您的机构的安全性时,从您的肩膀上消除相当大的努力和担忧。

网络安全灾难和我们可以从中吸取的教训

可悲的是,数据泄露或严重入侵企图的披露似乎每周都在发生,如果不是每天的话。以下是针对各种目标的著名黑客攻击:

  • 罗伯特·莫里斯和第一个电脑蠕虫:1988年,康奈尔大学的研究生罗伯特·莫里斯孵化了世界上最早的计算机蠕虫之一。当时只有大约5万多台工作站和大型机存在,问题在11月2日的一天暴露出来。当蠕虫通过多个进程阻塞设备并将自身复制到其他设备时,计算机进程变慢。这次攻击的结果促使麻省理工学院创建了计算机应急准备小组(CERT)。
  • 罗马实验室:1994年,两名黑客(当时都不到25岁)使用嗅探程序进入美国空军研发设施部署特洛伊木马。为了掩盖自己的踪迹,黑客们伪装成罗马员工,对该设施进行了一百多次入侵,窃取了数据。在攻击过程中,特洛伊木马还进入了美国国防部(DoD)的其他网络设施和民用计算机。
  • 塔吉特和家得宝:在2013年至2014年期间,这两家商店的销售点设备存在漏洞,为黑客窃取客户信用卡数据提供了途径。据称,家得宝收到了可能发生攻击的警告,可以通过安装防病毒升级来阻止攻击。

一个网络安全风险投资2016报告据估计,黑客攻击给银行、企业和个人受害者造成的损失在几年内将高达6万亿美元。网络犯罪预防本身就是一项不断发展的业务IDC的报告预计到2020年,全球安全技术市场将超过1000亿美元。

人们为什么要黑客?
一开始,黑客常常侵入系统,窃取数据,以寻求刺激。通常,他们声称他们是在寻找阴谋的证据,并显示系统安全方面的弱点。黑客有时为地方、国家或国际利益服务。今天,黑客攻击主要是因为贪婪:窃取信用卡号码,社会安全号码,并持有网络赎金。

通过威胁建模研究人们为什么选择黑客,他们想要什么,以及他们将如何攻击。组织中的安全分析师研究组织用于评估威胁点的软件,还记录实际安全事件的细节以及如何缓解这些事件,以便组织可以改进网络安全防御。

为了打击网络犯罪,我们只需要更加强硬。正如盖茨所敦促的那样,“我们必须让它变得如此困难和耗时,他们(黑客)最终会看到,他们花了1000个小时才赚到10美元。”

这实际上可能比听起来容易。大多数成功的攻击不是利用未知的漏洞(称为零日事件),而是利用尚未修补的已知问题。事实上,作为国土安全部据报道,80%的攻击利用了已知的漏洞和配置管理设置弱点。

推广网络安全贴士

可以放心的是,大多数成功的攻击利用了已知的漏洞,您可以通过补丁、最新的基础设施(如防火墙和其他设备)以及良好的配置管理轻松消除这些漏洞。然而,除了良好的IT实践之外,组织还必须培养一种信息安全文化。员工很容易认为网络安全是管理层和IT部门的职权范围。事实上,管理层和IT部门需要带领他们的团队成员对网络卫生负责。

作为个体,我们必须保护自己。盖茨建议:“假设你的信息被盗了,现在你必须提高警惕。”其中一部分包括定期监控你的信用报告。

他还强调了对每个在线账户实施2FA(双因素识别)的重要性。使用双因素身份识别,您访问web应用程序甚至设备,不仅需要用户名和密码,还需要第三个单独的信息(通常是发送到电子邮件帐户或电话的代码),您输入该信息即可获得访问权限。这一额外的保护层有助于防止用户名被盗;小偷仍然无法进入你的账户。盖茨说:“2FA对每个消费者来说都很有意义。

你可以通过保护你处理电子邮件和处理恶意请求的方式来防止许多入侵、破坏和恶意软件的传播。下面是一些你可能遇到的情况以及如何处理它们的提示。

  • 一封简短的电子邮件会从你认识的人的地址出现,比如你的堂兄或老板,带有一个通用的链接,比如“看这个视频”。别看这个视频,把邮件删了。
  • 自称是招聘人员的人会通过电子邮件通知你,他们有一个非常适合你的职位。然后他们要求在b谷歌聚会上见面,他们的电子邮件地址是一个Hotmail帐户。他们通过电子邮件要求你提供敏感信息,比如你的社会安全号码,并告诉你200美元就可以开始招聘程序。逃跑!
  • 您所在银行的站点管理员会向您发送一条消息,要求您将密码发送给他们。不,你不需要!
  • 你的首席财务官刚刚询问了公司每个人的工资单信息。在公司内部共享敏感信息有更安全的方式。记住,如果事情看起来有问题,拿起电话来核实请求。首席财务官可能有其他方式访问这些数据。
  • 你会收到一封随机的电子邮件请求,来自你的银行、美国国税局、管理你退休计划的公司、社会保障局或任何其他机构,向你提供他们“网站”的链接,并要求你提供个人信息。在回复之前,请在浏览器中键入该机构的网址,以在点击链接之前验证来源是否合法。这些机构通常会为这些请求发送实际的邮件。
  • 如果你在应付帐款部门工作,收到一封来自知名供应商的电子邮件,指示你去在他们的新网站上付钱给他们,请三思而后行,并在转让前与供应商核实。

你现在就可以实施的实用网络安全技巧
尽管不安全设备和网络的风险令人生畏,但实施强大的安全措施并不一定要如此。

  • 安装补丁:推出软件更新并不仅仅是为了分享酷炫的新功能。补丁关闭漏洞。赫尔曼说:“多年来,我看到一家又一家的公司和一个又一个的人没有利用最新的信息。“这很重要。更新消除了许多漏洞。”更新手机上的系统软件也是如此。赫尔曼建议:“我们应该利用他们提供给我们的免费工具来自己关闭威胁。”
  • 练习密码纪律:密码的安全性不再取决于复杂度,而是取决于长度。如果您需要记住许多长密码,请使用储物柜工具。
  • 利用传统和新的杀毒软件:安排深度扫描,当有疑问时,使用快速扫描。
  • 教育团队:“与网络安全相关的风险中存在巨大的人为因素,”赫尔曼说。通过教育提高警惕性。利用专家帮助你的员工成为“网络防御战士”。
  • 考虑托管服务:与其维护自己的服务器(包括补丁和硬件),不如考虑基于云的工作平台、存储选项、文件共享和网络威胁防护。如果管理得当,基于云的保护系统可以为您的网络基础设施提供围绕云的监控,还可以定期调查新的威胁并实施解决方案。
  • 掌握网络安全资源:欧宝体育app官方888赫尔曼建议在快速拨号上设置一个资源,这样当你怀疑有人入侵时就可以联系他们。
  • 提倡宽恕的文化:企业必须营造一种鼓励诚实对待网络安全问题的环境。赫尔曼建议:“如果你点击了一个错误的链接,在它给整个团队造成损害之前,开诚布公地说出来。”而且,当你怀疑设备出了问题时,不要害怕关闭设备。

“网络安全实务
除了制定和分发网络安全策略,你还可以做很多事情来保护你的数字工作资产:

  • 保护物理访问
  • 建立资讯保安文化
  • 保护您的网络和设备免受注入和入侵
  • 遵循以下原则:设计安全性、单元测试、最小特权原则、深度防御、审计跟踪和完全公开
  • 一个完整的系统可以用它的机密性、完整性和可用性来描述。安全架构描述了如何设置防御和对策以确保系统的稳定性。这些在网络安全方面也发挥作用的努力包括:
    • 防火墙
    • 入侵检测(针对持续威胁的机器学习)
    • 系统访问控制(减少漏洞、2FA和备份)
    • 密码学
    • 检测反应
    • 脆弱性管理
      • 访问控制
      • 硬件保护:加密狗,驱动器锁,禁用USB接口,AES,指纹等生物识别,蓝牙近场检测
    • 访问控制列表与基于功能的安全性

改善医疗机构的网络安全

随着医疗保健公司开始利用更多的技术资源来存储他们的数据,网络攻击的威胁仍然是一个日益严重的问题。欧宝体育app官方888网络安全方法对于保护设备、网络、数据和信息变得越来越必要。

这对于医疗保健组织尤其重要,因为它们必须遵守HIPAA,并确保其系统内的所有个人健康信息(PHI)和其他机密信息都是安全的,并受到保护。此外,如果患者信息和医疗流程和程序受到威胁或黑客攻击,如果任何信息被更改或删除,可能会导致危及生命的情况,这意味着数据必须始终保持保护。

为了应对日益严重的网络攻击问题并提高计算机系统和关键数据的安全性,医疗保健公司需要一种强大、实时且安全的工具,以确保所有信息和流程的保护和安全。

Smartsheet是一个工作执行平台,使医疗保健公司能够提高数据安全性,管理安全流程并控制隐私。与授权用户安全地跟踪和共享机密信息,管理用户访问控制,并增加对谁可以访问哪些业务关键信息的可见性,同时满足或超过所有HIPAA的监管要求。请放心,您所有的宝贵资产都在严格的安全基础设施下进行加密和存储,消除了网络攻击和数据丢失的威胁。

有兴趣了解更多关于Smartsheet如何帮助您最大限度地提高工作效率的信息吗?发现医疗保健智能表

网络安全人才短缺与培训

据估计,网络安全领域有超过100万个职位空缺,到2019年,这一数字将增加两倍。当信息技术如此渗透到我们的现代世界时,职位怎么会空缺呢?

一些文章强调,网络安全招聘的方式必须改变。雇主和职业安置专家不应将计算机安全视为信息技术中的孤岛,而应将其视为互补的努力。组织应考虑利用现有员工的才能和技能,并支持他们在网络安全方面的持续培训。公司还可以加强与高中和大学的联系,鼓励学生将网络安全作为职业道路。

盖茨认为,大部分人才短缺可以通过机器学习来缓解,这是人工智能(AI)道路上的一步。在机器学习中,计算机分析数据以确定模式的速度比人类快。例如,一些城市已经使用机器学习来监控数百盏路灯、停车计时器和摄像头。在人类辅助的机器学习中,一个人然后纠正和指导计算机,直到计算机能够自己识别威胁和异常情况。“机器可以学会检测以前从未见过的东西,”盖茨说。

培训
网络安全培训主要通过付费在线网络安全学位(通常来自常春藤盟校)和大规模在线开放课程(MOOCs)进行。课程有英语、意大利语和韩语。

课程涵盖了一系列问题,除了硬件和编程主题外,还有关键基础设施的网络安全、航空、加密货币、物联网、信息安全、国土安全、国内外政治考虑。

  • 潜在的网络安全专业学生可以考虑获得CISSIP或认证信息系统安全专业证书。这个令人垂涎的认证在10个安全领域对候选人进行培训和测试:
  • 访问控制系统和方法
  • 电讯及网络安全
  • 业务连续性计划和灾难恢复计划
  • 安全管理实务
  • 安全体系结构和模型
  • 法律,调查和道德
  • 应用程序和系统开发安全
  • 密码学
  • 电脑操作及保安
  • 物理安全

角色
随着世界日益数字化和网络化,各种规模和类型的组织都需要计算机安全作为日常业务的重要组成部分。网络安全专业人员的薪水与他们承担的责任和接受的密集培训相匹配。例如,信息安全官的平均工资是9万美元。网络安全专业人员可以在各种角色中使用他们的技能:

  • 安全分析师
  • 安全工程师
  • 安全架构师
  • 法医调查员
  • 网络安全专家
  • 安全顾问/专家/情报

使用智能表改善IT和Ops的网络安全

通过设计一个灵活的平台来满足你的团队的需求,并随着需求的变化而适应,从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并通过汇总报告、仪表板和自动工作流实时了解工作情况,以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时,就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力使信息保持最新和正确,但我们对网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何形式的明示或暗示的陈述或保证。因此,您对此类信息的任何依赖均须严格由您自行承担风险。

这些模板仅作为示例提供。这些模板绝不是法律或合规建议。这些模板的用户必须确定哪些信息是必要的,哪些信息是实现其目标所必需的。

了解为什么超过90%的财富100强公司信任Smartsheet来完成工作。

免费试用Smartsheet 获得一个免费的Smartsheet演示