构建信息安全感知程序(一)(3)https://developer.aliyun.com/article/1507709
远程侦察
利用各种互联网资源可以获取大量关于组织的信息。在此阶段尽可能多地收集有关目标位置、周围环境、平面图、日常运作和安全控制的信息将增加评估团队成功的机会。下面讨论了远程侦察的主要领域。
地图
远程侦察的第一步是了解情况。多亏了 Google 和 Bing 地图,这比以往任何时候都更容易(图 8.2)。这两个地图程序提供了美国地点的航拍图和大多数情况下的街景图。
图 8.2 谷歌地图的航拍图像。
理解目标设施和周边区域是离场侦察阶段的主要焦点。在线地图和街道级别图像用于
■ 确定周边安全机制,包括围栏、大门和检查站
■ 查找建筑停车场或车库
■ 确定潜在的入口点,包括门、装卸区和地下停车场
■ 确定垃圾箱的位置
■ 查看周围区域
古老的房地产谚语“位置,位置,位置”也适用于物理评估领域。目标周围的区域在评估动态中起着重要作用。离场侦察阶段最重要的目标之一是找到潜在的现场侦察区域。如果目标位于被办公大楼、咖啡店和餐馆环绕的人口稠密地区,评估团队将有许多现场侦察区域。然而,如果目标位于农村地区,则现场侦察选择可能极为有限。在一些人口稠密地区,您可以利用互联网交通和天气摄像头几乎实时地查看目标区域(图 8.3)。谷歌地图为特定地点提供网络摄像头选项。
图 8.3 通过谷歌地图查看摄像头位置。
除了谷歌地图之外,搜索城市赞助的交通和天气摄像头也可能提供有价值的结果。
公司网站
尽管公司网站上列出的信息可能被视为平凡,但它可以为物理评估团队提供大量信息。公司网站上的关键信息包括以下内容:
■ 营业时间——通常与客户服务和公共关系电话号码一起列出,营业时间可以提供目标建筑可能空无一人或雇员数量极少的时间段。如果公司网站指示提供 24/7 客户服务,则呼叫中心员工可能整晚都在现场。
■ 地址具体信息——在此阶段,物理评估团队可能无法获得楼层平面图。然而,通过检查邮寄地址或员工目录细节,团队可能能够创建楼层地图的路线估计。例如,如果客户服务的地址列为东主街 145 号,2 楼,则评估团队可以开始创建粗略的建筑楼层平面图。
■ 来自照片的信息- 照片可以成为评估团队的宝贵信息来源。公司经常包含他们建筑大堂区域、健身中心、杂货店和建筑其他公共区域的照片。这些照片可以组合起来为评估团队提供建筑物前门后面的基本布局。此外,可以通过定位公司照片背景中的安全摄像头、报警面板、ID 卡读卡器和员工 ID 卡来收集组织的安全态势信息。
附加来源
公司网站和地图程序并不是攻击者唯一有用的信息来源。通常,可以从房地产公司、建筑许可证和社交媒体获取信息:
■ 税务记录- 分析目标建筑物的税务记录,以确定该物业是由公司还是由房地产公司拥有。除了所有权外,还可以从税务记录中获取有关总平方英尺和物业线的详细信息。
■ 房地产公司- 如果目标建筑物由房地产公司拥有,他们的网站可能提供有关建筑物特点的详细信息,包括健身中心、地下停车场、现场安全监控和租车服务。房地产公司通常有多张建筑物内部和外部的照片,以吸引潜在客户。这些照片被分析以获取类似公司网站照片的信息。此外,可能可以确定目标组织是租赁整栋建筑还是部分建筑。通过电话迅速与房地产经纪人联系,可以确认建筑物的可用性。评估团队成员经常作为一个虚构的公司接触房地产公司,该公司有意在目标建筑物租用空间,并安排在现场侦察阶段参观可用办公空间。
■ 社交媒体- 社交媒体用于为评估团队提供员工名单。搜索流行的社交网站,如 LinkedIn,可以为团队成员提供目标公司员工的姓名、职位和照片。此外,其他社交媒体网站用于收集和分析员工上传的照片,这些照片可能提供 ID 卡照片或其他有用的信息。
完成了现场外侦察阶段后,评估团队对以下内容有了了解
■ 评估范围内的建筑物
■ 建筑物周围环境
■ 可能的现场侦察地点
■ 基本周边安全知识
■ 建筑物的所有权或租赁情况
■ 营业时间
■ 大厅区域的基本视图
■ 使用中的 ID 卡读卡器
■ 可以提供进入建筑物的公共活动
■ 入口的街头视图
■ 可能的吸烟区域
现场侦察
尽管大部分研究工作是在场外侦察期间进行的,但现场侦察侧重于观察建筑运营情况和员工意识。现场侦察阶段的目标是收集足够的信息来计划攻击。
监视
到达目标位置后,团队成员将驾驶或步行经过建筑物,观察活动水平和观察时间。目标是确定白天和夜晚不同时间建筑物的活动水平。首次夜间监视更为理想,因为建筑物不太可能被高度占用。夜间监视的目标包括以下内容:
■ 确认警卫人员是否在场。
■ 记录建筑物特定区域是否有灯光亮着。
■ 确定清洁人员是否在工作时间之后出现。
■ 找到垃圾箱并评估其周围的安全控制措施。
■ 记录员工是否进出建筑物。
如果垃圾箱看起来没有受到监护,评估团队可以进行垃圾潜水以检索丢弃的敏感信息。
白天监视可以在一天中的多个地点进行。团队成员将分散开来,以观察建筑物的各个方面。并不是所有的监视都是在车里用望远镜进行的。在人口稠密的地区,最好的监视地点通常是在咖啡店、餐厅、人行道上的长凳上或者徒步绕行该区域。评估团队成员经常改变自己的外貌,包括服装、帽子和配饰,以避免引起对一个人在建筑物附近长时间处于近距离的怀疑。白天监视的目标包括以下内容:
■ 确定吸烟区域,因为它们是收集信息或进入建筑物的理想地点。
■ 记录每个入口的进出观察情况。员工是否互相为对方开门?
■ 记录大多数员工早上报到和晚上离开工作的时间。
■ 确定停车区是否通过无线射频识别(RFID)标签进行控制。
■ 如果建筑物通过 Zipcar 或 Hertz 等公司提供每小时租车服务,请预订车辆并记录是否存在 RFID 标签。
■ 获取员工身份证的照片。大多数员工会在公共区域佩戴,比如咖啡店。
■ 记录警卫人员是否在设施内,并确定其位置。
■ 记录员工着装情况。如果团队成员计划冒充员工,他们需要相应地着装。
正如你所看到的,简单观察和记录建筑物周围的活动可以为攻击者提供大量关于其安全状况的信息。
房地产会议
如果评估团队能够在到达之前安排与建筑房地产经纪人的会议,只有一两名团队成员会参加会议,以防引起怀疑。 对建筑进行导览是团队成员观察建筑运营并询问与建筑和办公空间相关问题的理想机会。 如果可能的话,团队将选择与目标公司同一楼层的可用办公空间以及另一楼层的额外空间。 评估团队将提出的一些问题包括以下内容:
■ 建筑物是否需要门禁卡进入?
■ 个人办公空间需要相同的门禁卡还是单独的门禁卡?
■ 是否提供全天候访问?
■ 建筑物是否有现场保安人员?
■ 办公室清洁是否包含在月租中?
■ 清洁人员何时进入办公空间?
■ 办公空间是否有报警系统?
除了列出的问题外,团队成员还应该询问办公空间的其他细节(与安全无关),以避免引起怀疑。
RFID 凭证窃取
许多组织利用 RFID 门禁系统防止未经授权进入其设施。 这些门禁系统依赖于 ID 卡和读卡器来验证人员的访问级别。 大多数 ID 卡是基于近距离的。 当 ID 卡被放在读卡器上时,它会从读卡器那里接收电源以验证其内容。 门控制器和服务器随后确定所呈现的凭证是否被允许进入受保护区域。 读取和复制 ID 卡的内容可能会危及某些 RFID 门禁卡系统。 用于 RFID 凭证捕获的两种流行设备是 Proxmark3 和 Bishop Fox 长距离 RFID 窃取者。 这些设备可以读取和存储在读取范围内的 RFID 卡的内容。 这些设备的两个主要挑战是在不引起怀疑的情况下靠近目标人员以及运输必要的电源和天线硬件。 一些设计包括使用 Velcro 将硬件固定在文件夹内部。 乍一看,文件夹看起来未经修改。 但是,隔间隐藏了 Proxmark3、电源和天线(图 8.4–8.6)。
图 8.4 用于隐藏 Proxmark3 硬件的文件夹。
图 8.5 Proxmark3 和电源在文件夹内部。
图 8.6 文件夹内的天线。
Proxmark3 的另一种移动设计包括使用弹性带将组件固定在组织者上(图 8.7)。 这些组织者在市面上有多种尺寸可供选择。
图 8.7 带有组织者的 Proxmark3。
组织者在移动时将所需的组件和电缆固定在一个位置。评估团队成员然后将组织者插入基本的笔记本袋中携带,以免引起怀疑。
尽管 Proxmark3 容易携带,但其能读取 ID 卡内容的范围约为 6 英寸。在高度人口密集的区域中,将伪装的 Proxmark3 放置在距离一个人的 ID 卡不到 6 英寸的地方相当困难。为解决这个问题,Bishop Fox 的员工创建了一个长程 RFID 偷窃器[4]。该设计采用了长程 RFID 卡读取器,如 图 8.8 所示。
图 8.8 商用长程 RFID 读卡器。
设计师修改了设备,加入了独立供电、数据存储和显示功能(见 图 8.9)。
图 8.9 Bishop Fox 长程 RFID 偷窃器。
修改后的读卡器首先读取卡的内容,将数据显示在液晶屏上,然后将卡的内容写入微型 SD 卡以供在计算机上进行分析。评估团队在现场侦察期间利用 RFID 凭证窃取技术收集 ID 卡信息。一旦卡信息被收集并分析,团队将适当的电子内容写入 ID 卡。最后,团队成员将创建一个虚构的 ID 卡打印品,包括团队成员的照片;将其附加到程序化的 ID 卡上;并将成品覆膜。这个过程产生的 ID 卡很可能通过基本的视觉检查和访问控制系统。
攻击规划
在规划阶段,评估团队分析收集到的数据,确定执行攻击的最佳方案。规划攻击的关键决策点包括以下内容:
■ 何时是最佳攻击时间?
■ 在工作时间内
■ 在清洁人员在场时,工作时间结束后
■ 在工作时间结束后,建筑物空无一人时
■ 主要方法是什么?
■ 假扮成一名员工
■ 在非工作时间进入,无需伪装身份
■ 自称来自电信提供商或供应商
■ 假扮成清洁工作人员
■ 如果主要方法失败,那么次要方法是什么?
■ 团队成员在完成任务时需要哪些配件?
■ 适当的服装(清洁人员制服或公司 polo 衫)
■ 与任务相关的工具
■ ID 卡
■ 名片
■ 在封锁情况下,目标公司的授权信
攻击执行
攻击执行阶段是物理攻击过程中最短的阶段。在攻击过程中,评估小组成员之间的联系至关重要。如果主要攻击失败,小组可以立即执行次要攻击。蓝牙耳机和手持无线电是评估小组最流行的通信机制。一旦攻击成功并且小组进入内部,典型步骤包括以下内容:
■ 拍摄照片以证明小组的成功。
■ 如果小组还在执行网络渗透测试,则将自定义恶意后门上传到具有提升权限的员工的台式机上。这些员工是在物理攻击之前使用社交网络发现的。
■ 获取对服务器房或数据中心的访问权限。
■ 收集在桌面上、键盘下和文件柜中公开显示的敏感数据。
■ 获取对高级管理人员办公室的访问权限。
评估小组通常会根据安全监控日程在现场停留大约 20 分钟。通常情况下,评估小组尽量减少在现场停留的时间,以避免被发现。
最小化物理攻击的风险
如上所述,物理攻击需要密集和耗时的研究。然而,用于规划攻击的大部分信息都是公开可用的。评估您组织的物理攻击风险最流行的方法是执行物理安全评估或物理渗透测试。通常由专业顾问执行,物理渗透测试可以突出显示潜在的弱点。
准备进行物理评估
如果您过去没有进行过物理安全评估,则需要采取特定的计划步骤以确保取得满意的结果。
设定目标
清晰的目标是物理安全评估中最关键的规划项目之一。你物理安全方案中最担心的是哪些方面?常见的目标包括以下内容:
■ 获取对受控区域的访问权限,例如数据中心
■ 绕过周边安全控制
■ 评估电子安全控制
一些组织选择执行零知识物理安全评估。这种类型的评估不提供评估小组任何背景信息,并允许小组破坏任何安全控制以获得尽可能多的设施访问权限。
宣布禁止进入的区域
列出评估小组未被授权进入的特定区域。一些组织使用可能会危害评估小组的危险材料。通常情况下,公司总裁办公室被宣布为物理安全评估的禁区。
日程安排
选择一系列可接受的日期和时间,以便评估团队执行攻击。确保关键人员,如物理安全主管和首席信息官,随时可用于确认评估团队的目标并在评估团队被发现时进行身份确认。
授权信
授权信通常被称为“免责通行证”,列出团队成员的姓名以及他们的评估目标摘要。应列出员工姓名,例如物理安全主管,并应提供保安部队联系并核实授权活动的电话号码。
即使是最复杂的组织,物理安全评估也可能是一次令人大开眼界的经历。最重要的是,这是一次实际的学习经验,将为改进您组织的物理安全姿态提供宝贵的见解。
无法支付物理安全评估费用?
尽管物理安全评估为当前部署的防御机制提供了价值和洞见,但其代价不菲。如果你的组织无法支付外部供应商进行物理安全评估的费用,可以采取一些预防步骤而无需外部协助:
■ 进行自己的侦察——您组织的网络或物理安全团队可以执行侦察阶段列出的步骤。这种非侵入式评估可以揭示物理安全计划中的几个漏洞。
■ 完成安全巡视——安全巡视是另一种非侵入式评估,涉及审查放在桌子或公共场所的信息。找到被处理不当的多个敏感信息可能表明员工意识不足。
■ 注意门的情况——简单地观察员工如何进入和离开建筑物可以提供有关物理安全意识状况的宝贵信息。如果员工为身后的人开门,执行严格的身份证扫描政策可能会消除搭便车行为。
物理安全远不止于围墙和保安人员。将物理安全威胁纳入您的意识计划将提高您组织的整体安全性。
注释
[1] 物理安全 www.police.psu.edu/physical-security/what-is-physical-security.cfm [上次访问时间:2014 年 5 月 25 日]。
[2] 如何保护你的建筑和财产 bizsecurity.about.com/od/physicalsecurity/a/What_is_physical_security.htm [上次访问时间:2014 年 5 月 25 日]。
[3] 保护您的系统:物理安全 nces.ed.gov/pubs98/safetech/chapter5.asp [上次访问时间:2014 年 4 月 29 日]。
[4] RFID 攻击工具 www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/ [最后访问于 2014 年 5 月 26 日]。
第九章:培训类型
瓦莱丽·托马斯(美国弗吉尼亚州洛顿 Securicon)
摘要
有许多交付方法可用于您选择的培训材料。本章概述了基本的正式和非正式培训类型以及每种方法的优缺点。列出的类型并非详尽无遗,但包含迄今为止最流行的方法。
关键词
讲座
视频
基于计算机的培训(CBT)
基于网络的培训(WBT)
意识海报
培训类型
有多种选项可用于呈现您的培训材料。在本章中,我们将讨论各种培训技术及其优缺点。本章提供了培训技术的高层概述。在接下来的章节中,我们将讨论如何打包或混合这些技术以适应您的环境。
正式培训
我们将从正式培训类型开始。正式培训是一种受控和结构化的方法,通常涉及基于书面法规或标准、政策或一组要求的材料[1]。内容开发过程通常是劳动密集型的,因为大多数项目需要开发课件。评估,如测验,通常在内容传递后完成,以评估员工对所呈现材料的理解和保留情况。
面对面培训
面对面培训,或由讲师主导的培训,在培训技术中被认为是一种传统方法。通常,这包括为目标受众定制的幻灯片。但是,它不一定局限于仅幻灯片。其他交付方法可以用于传达材料,包括以下内容:
■ 视频:包括短视频片段可以打破讲座的单调性,为观众提供一个视觉焦点。这种方法最适合演示威胁,如尾随入侵。
■ 讲故事:讲故事是在讲座中加入个人风格的好方法。它使讲师能够提供员工遵循程序或向安全部门寻求指导的情况示例。讲故事还使讲师能够提供先前课程中涵盖的材料示例,以重申信息[2]。
虽然会话的主要交付方法是讲师的讲座,但其他方法可以用于融入观众互动。讨论方法通常以包括基本信息的简短讲座开始,然后进行开放式讨论或问题(来自讲师或观众)以对材料进行澄清。要求观众识别钓鱼邮件的指标是讨论方法的一个例子[3]。
优势
■ 由讲师主导的培训对于向大群人员呈现大量材料非常有效。
■ 会话可以录制并在以后重新播放,例如,新员工入职培训。这些录音也可以用于远程办公室。
■ 幻灯片可以存档在安全部门的网站上供随时观看。
■ 讲师可以立即回答观众的问题。
■ 可以与讲师和观众的其他成员进行跟进讨论。
■ 如果由安全部门的成员领导,会提供一个让员工与安全部门关联的人员。如果呈现得当,这可以描绘一条双向交流路径,鼓励员工与安全部门互动,而不是仅仅是规定规则。
缺点
■ 会议的成功程度高度依赖于讲师的技能水平。
■ 如果分配的时间窗口太短,或者会议正在播放录音,观众可能没有机会提问。
■ 为大型团体安排教室会议通常在可用空间和员工时间表方面很困难。
■ 对于以英语为第二语言的员工来说,在讲师的速度下保留材料可能会很困难。
■ 雇佣一位讲师可能会很昂贵,特别是如果他们要访问多个地点。
■ 员工可能会因试图在短时间内保留大量呈现的数据而感到不知所措。
■ 对员工来说,要在整个培训过程中找到一个特定的主题可能会很困难[4]。
计算机辅助培训
多年来,计算机辅助培训(CBT)的使用已经迅速增长,在某些情况下完全取代了面对面培训。CBT 是通过计算机传递的,可以利用诸如文本、音频、视频、交互式测验等多种交付选项。然而,CBT 材料通常存储在硬盘上或通过 CD-ROM 分发。材料往往是为了组织在某个特定时间点的要求而专门创建的[3]。
优点
■ 随时观看。员工可以在适合他们的时间复习材料。
■ 材料可以完全按照组织的要求进行定制。
■ 它可以在内部生产,但通常是外包的。
■ 通过 CD-ROM 分发对于带宽有限的偏远地区(例如军事基地)非常理想。
■ 课程是自主学习的,所以员工可以以最适合他们的速度学习。
缺点
■ 这些分发选项可能很难修改或更新以反映当前的安全威胁或政策变化。
■ 如果外部公司制作了材料,内容修改可能会很昂贵。
■ 如果材料是由一名不再在组织中的员工自行开发的,则内容修改可能会很复杂。
■ 重新分配可能在物流上有困难,特别是对于偏远地区。
■ 如果材料设计不佳,员工可能会很快失去兴趣,而且不会保留任何呈现的材料。
基于网络的培训
基于网络的培训(WBT)类似于 CBT,但是通过公司网络服务器或外部培训提供商进行在线存储。由于内容存储在少量位置,因此很容易更新。课程可以整合到培训门户中,使组织能够提供多个课程并电子跟踪每个员工的进度。这种交付方式使得为不同受众(如帮助台或营销部门)创建定向培训变得容易。WBT 是传递小型、集中的材料的绝佳方法,例如网络钓鱼意识。许多优点与 CBT 相似,还有其他优点。
关于测验的一点说明
测验非常适合衡量员工在基于网络的培训中的学习进度。然而,如果员工回答问题不正确,提供后续页面解释为什么答案不正确至关重要。
WBT 具有灵活性,可以在幻灯片材料之外展示来自行业专业人士的视频片段。传递方式的组合将材料分成片段,使其更容易理解。如果员工无法跟上讲话者的节奏,他们还可以重播视频片段。
互动片段和测验可以评估从提供的材料中所保留的知识,并根据员工的答案选择后续培训选项。一些商业产品供应商包括赛门铁克、KnowBe4 和 SANS。
优点
■ 以较低的成本获得高度专业化的培训师和课程开发人员的接触,而不是雇佣一次性面对面会议的成本较高[5]。
■ 按需查看。员工可以在方便的时间复习材料。
■ 适用于专业培训,如法规要求。
■ 材料可以完全定制为组织。
■ 内容可以整合到培训门户中,这样每个员工的进度都可以进行跟踪。
■ 它可以在内部生产,但通常是外包的。
■ 内容可以轻松更新。
■ 幻灯片、视频和互动内容的结合可以有效传达材料。
缺点
■ 员工可能有一些常见问题没有在常见问题解答中得到解答。
■ 如果培训时间过长或者内容不足以引起兴趣,员工可能会在不保留材料的情况下点击内容。
■ 浏览器和/或带宽限制可能会限制使用视频或互动会话的能力[6]。
■ 如果外包,初始开发成本可能较高[7]。
视频培训
视频培训是独立于其他形式的培训的,不需要员工的互动。这些片段在短时间内涵盖了一到两个主题,例如可移动媒体的使用。视频培训在融入视频活动中时最有效。视频活动包括一组视频和其他支持材料,如海报、预览视频、通知电子邮件以及每个视频的参考资料。
优点
■ 给安全内容带来新的视角,引起员工的兴趣。
■ 让员工专注于学习,而不是为了课程内容而紧张。
■ 商业生产的材料可立即使用。
缺点
■ 可用的商业产品涵盖了一般的安全主题。定制内容将另外收费。
■ 一些员工可能觉得视频不够有趣,因此不会观看完整的片段。
非正式培训
非正式培训设计有整体目标,但没有正式培训的标准和程序。虽然正式学习通常是员工的要求,但非正式学习是自愿的。实质上,非正式学习为教育提供了手段,但员工必须决定追求材料。虽然非正式学习环境对一些员工来说是理想的,但并不意味着它们可以取代正式培训项目。非正式学习是对正式培训项目的额外支持层。
午餐学习会
通常,持续时间短(约 30 分钟或更短)且自愿参加的午餐学习会议或讨论可以涵盖各种主题。成功举办自愿会议的关键在于选择能吸引员工的主题和标题。一些示例包括
■ 保护孩子在网上的安全
■ 移动安全技巧与诀窍
■ 刷卡支付信用卡:你需要了解的信息
■ 在旅行时的在线安全
任何人都可以主持午餐学习会。理想情况下,安全团队的成员应轮流主持会议,以便员工熟悉所有团队成员。这有助于将安全团队的面孔与之联系起来,并加强双向对话。如果预算允许,邀请客座演讲者是增加出席率的好方法。
并非所有非正式会议都需要面向广大观众。考虑与部门负责人合作,创建对技术员工有吸引力的午餐学习会议。一些示例主题包括
■ 你正在犯的前 5 个编码错误(以及如何修正它们)
■ 开发者为社会工程师最喜欢的目标
■ 你的 LinkedIn 资料是否透露了太多信息
■ 高级路由技术
虽然以上标题都没有直接涉及安全问题,但可以将其纳入整体信息中。我们将在未来的章节中讨论如何有效地打包安全培训。
自制视频活动
诸如 YouTube.com 这样的在线视频网站已经极大地改变了世界观看视频内容的方式。在今天的社会中,短小的家庭视频已成为新的常态。从跳舞的猫和咯咯笑的婴儿到软件安装过程和烹饪说明都可以通过几次点击鼠标就能让任何人观看。像大多数话题一样,安全意识培训也可以利用这种视频狂潮。
为组织的内部网站制作简短的非正式视频可以强化之前在正式培训中涵盖的内容。这种几乎没有成本的技术还可以通过展示首席信息安全官(CISO)在打印机上忘记敏感文件来将工作人员融入到教育过程中。其他员工可以被描述为按照程序行事,例如质疑试图跟随进入大楼的人。
制作您自己的视频活动时需要考虑的事项:
■ 保持视频的简短和有趣。少于两分钟是最好的,以保持观看者的注意力。
■ 确保在最后强调预期的信息。如果视频中有员工向安全团队报告可疑电子邮件的情况,请包含用于报告这些电子邮件的电子邮件地址。
■ 包括下一个视频的简短预览。
■ 为员工创建一个提交未来视频想法的电子邮件账户。
海报
安全意识海报是在正式会议之间加强良好安全实践原则的低成本方法。成功的海报活动的两个最重要因素是内容和位置。内容应该言简意赅,传达一个清晰的信息。安全意识海报的典型例子来自二战期间的“多嘴容易露馅”运动。由战时广告委员会设计,该活动提醒所有美国人要慎重分享信息,以防止向敌人意外泄露数据 [9]。
在正确的地方放置海报是成功的第二步。理想情况下,海报应放置在员工有空闲时间的地方。以下是一些例子:
■ 在电梯内。如果建筑物有多个电梯,请在每个电梯车厢内放置一个独特的海报。
■ 在复印机旁边。这是提醒保护敏感数据的理想位置。
■ 休息室或自助餐厅,尤其是在微波炉旁边。
■ 靠近出口门。这可以是员工最后提醒他们将身份证放好并且不易被看到的地方。
一些网站提供免费的意识海报供您的组织使用。在互联网上快速搜索可以提供足够的免费材料,以支持您的活动长达数月。
注释
[1] 正式和非正式学习的 8 个好处。 www.langevin.com/blog/2012/05/10/8-benefits-of-formal-and-informal-learning/ [访问日期:2013 年 12 月 02 日]。
[2] 最有效的培训技术 trainingtoday.blr.com/employee-training-resources/How-to-Choose-the-Most-Effective-Training-Techniques [访问日期:2014 年 01 月 08 日]。
[3] 培训交付方法 www.referenceforbusiness.com/management/Tr-Z/Training-Delivery-Methods.html [访问日期:2014 年 12 月 01 日]。
[4] 面对面培训与在线培训优势及成本比较表。 www.elearncampus.com/online_training/comparisontable.aspx [访问日期:2014 年 01 月 12 日]。
[5] 组织使用在线培训的 7 个理由 www.knowbe4.com/resources/7-reasons-why-organizations-use-online-training/ [访问日期:2014 年 01 月 27 日]。
[6] 网络培训的优缺点 www.webbasedtraining.com/primer_advdis.aspx [访问日期:2014 年 01 月 27 日]。
[7] 网络培训概述 www.etc.edu.cn/eet/articles/webbtraining/start.htm [访问日期:2014 年 01 月 30 日]。
[8] 正式培训 vs. 非正式培训:哪种更有意义? www.mindflash.com/blog/2012/03/formal-training-vs-informal-learning-which-makes-more-sense/ [访问日期:2014 年 01 月 31 日]。
[9] 战争信息安全 - 唇亡齿寒 (1942–1945) www.aef.com/exhibits/social_responsibility/ad_council/2175 [访问日期:2014 年 02 月 03 日]。
