我的公司正在考慮開展安全消防演習(xí)或者甚至網(wǎng)絡(luò)戰(zhàn)游戲來測試我們的信息安全計(jì)劃，這似乎是一項(xiàng)浩大的工程，那么，網(wǎng)絡(luò)戰(zhàn)游戲是否對企業(yè)有利？

Mike O. Villegas：測試信息安全計(jì)劃應(yīng)該是持續(xù)進(jìn)行的工作。例如，在強(qiáng)化設(shè)備后，設(shè)備應(yīng)該由SIEM或聯(lián)合身份管理工具來監(jiān)控，當(dāng)發(fā)生任何可能影響企業(yè)信息安全狀態(tài)的改變時(shí)發(fā)出警報(bào)。此外，企業(yè)應(yīng)聘請滲透測試人員來驗(yàn)證控制結(jié)構(gòu)是否有效運(yùn)行。再有就是事件響應(yīng)計(jì)劃，即在數(shù)據(jù)泄露或者影響安全的事件發(fā)生時(shí)，企業(yè)需要確保已經(jīng)做好準(zhǔn)備，并知道應(yīng)該采取哪些步驟以恢復(fù)到正常。

而測試事件響應(yīng)計(jì)劃的方法之一是進(jìn)行桌面事件情景演習(xí)，讓所有受影響各方參加。企業(yè)還可以考慮偶爾進(jìn)行社會(huì)工程測試，例如發(fā)送郵件給員工測試其檢測網(wǎng)絡(luò)釣魚電子郵件的能力。

有些企業(yè)還會(huì)利用網(wǎng)絡(luò)戰(zhàn)游戲；然而，這畢竟是游戲，通過游戲來測試信息安全計(jì)劃并沒有太多價(jià)值。網(wǎng)絡(luò)安全并不是游戲。企業(yè)可通過網(wǎng)絡(luò)戰(zhàn)游戲形式提高員工安全意識(shí)例如在企業(yè)新聞或內(nèi)部網(wǎng)絡(luò)發(fā)布基于網(wǎng)絡(luò)安全的謎題，在午飯時(shí)段向員工提供免費(fèi)網(wǎng)絡(luò)安全視頻，還有很多其他富有創(chuàng)新且有趣的活動(dòng)可幫助提高員工安全意識(shí)。但通過網(wǎng)絡(luò)戰(zhàn)游戲可能會(huì)邊緣化網(wǎng)絡(luò)安全的嚴(yán)重性，并可能影響員工的工作效率。

如果網(wǎng)絡(luò)戰(zhàn)游戲的目的是測試信息安全計(jì)劃，我們還有更實(shí)際更高效的方法，這包括：漏洞掃描、滲透測試、監(jiān)控、緩解措施、安全代碼審查、DLP掃描和阻止、FIM警報(bào)及跟進(jìn)、SIEM警報(bào)及更新、系統(tǒng)配置認(rèn)證等。網(wǎng)絡(luò)戰(zhàn)游戲應(yīng)當(dāng)被視為安全提示工具，而不是用來測試信息安全計(jì)劃。