【论文摘编】智能网联汽车企业信息安全意识教育_大会新闻_大会新闻

【论文摘编】智能网联汽车企业信息安全意识教育

发布日期：2021-07-26　作者：大会上传

为了帮助大家更好地理解企业安全意识教育，我们特意摘录了BCS2020大会论文集《网络安全的40个智慧洞见（2020）》中由智能网联汽车企业信息安全负责人撰写的相关文章的精彩片段。虽然将于2021年8月10日至12日召开的BCS2021没有安全意识教育论坛，但本次大会将召开更加“酷炫”的车联网安全论坛，相信能给大家带来耳目一新的体验，让大家对车联网安全有一个更加深入的认识。

一

一孔之见，抛砖引玉

网络信息安全工作在新旧车企的战略发展规划中也得到了越来越高的重视。本文从新能源汽车企业智能网联信息安全建设的角度，希望能够以此一孔之见，起到抛砖引玉的效果。

二

始于传统，优于传统

传统汽车企业的安全意识教育工作主要分为3个部分：企业安全，主要侧重于办公环境安全、终端设备安全、运营数据安全、用户数据安全、邮件安全、上网安全等内容；生产安全，主要侧重于厂房车间的机电操作安全、特种作业安全、消防安全、质量安全等内容；安全合规，主要侧重于法律法规、监管要求、规范制度等内容。

传统汽车企业的安全意识教育工作中缺乏智能网联安全和出行生态安全，造车新势力的信息安全意识教育工作要始于传统，优于传统。

三

立足当下，展望未来

这是最好的时代。网络安全日渐深入人心的今天，大部分造车新势力在起步阶段就能在借鉴传统车企安全建设经验。

这是最坏的时代。造车新势力不仅面临着传统车企入场竞争的压力，也将面临着更多的外部网络攻击风险。

整个造车新势力的网络信息安全能力建设大概可以分为3个阶段，如表1所示。

表1网络信息安全能力建设的3个阶段

四

信息安全，意识先行

信息安全意识教育工作要先行，信息安全意识教育的目的是提高全体员工的安全意识水平。

五

巧握人心，难关自破

做好信息安全意识教育工作，巧妙地利用好以下几个人性心理，往往能够达到事半功倍的效果。

1、从众心理：个人心理动向往往会受到外界人群行为的影响。

2、责任分散效应：责任分散效应也是从众心理和侥幸心理的一种体现。抱着法不责众心态的侥幸行为，需要通过强有力的反面惩罚案例来治理。

3、利益驱动：利益主体为了追求自身利益会表现出一定的行为倾向和趋势，这是人的一种最基本的动力源。

4、损失厌恶心理：人们在面对同等数量的收益和损失时，往往会认为损失更加令他们难以忍受。

六

循序渐进，周而复始

信息安全意识教育可以逐步通过TAE（测试、分析、教育）和COPPE（内容、对象、策略、方案、成效）两个循环。

（一）TAE（测试、分析、教育）

在信息安全意识教育的过程中，“钓鱼执法”的落实要形成测试、分析、教育这3个步骤的有效循环（见图1），才能够在每一次检验的基础上逐步提升员工的信息安全意识水平。

图1信息安全意识评价：钓鱼执法实践思路

测试：制定“钓鱼方案”，并不定时地采用不同的“钓鱼方案”测试攻击目标的信息安全意识水平。

分析：完成一次“钓鱼测试”后，详细地分析测试结果，并将结果反馈给测试对象，同时优化测试方案。

教育：由点及面，借助每一次测试，拓展教育所有面临同样风险的员工。

（二）COPPE（内容、对象、策略、方案、成效）

整个企业信息安全意识教育的工作可以按照“五步走”的策略稳步推进（见图2）。

图2企业信息安全亚文化建设思路

关于《网络安全的40个智慧洞见》

《网络安全的40个智慧洞见》（简称《智慧洞见》）是北京网络安全大会优秀嘉宾论演讲文集，由人民邮电出版社出版。该书每年遴选BCS大会上40位优秀嘉宾的精彩演讲内容，整理成文，编辑成书。《智慧洞见》2020版，分别从网络安全的行业建设、安全运营、安全意识及人才培养、工业互联网安全、数据安全、供应链安全、云上安全、零信任、数字化转型、研究前哨等角度为读者解析全球网络安全的发展状态和趋势。