《中国信息安全》“双推”活动提名单位和个人事迹介绍(二十七)

北京红山瑞达科技有限公司

双推活动组织者的话:红山瑞达科技有限公司,是专注网络空间安全“人防”的技术公司,核心成员主要来自军队军工复转人员,主要致力于关键信息基础设施行业人员网络安全意识教育训练和全员防御,通过威胁模拟实战对抗手段和有吸引力的学习方式来提高全员安全意识。 推荐理由:其开发出的红山瑞达网络安全意识教育解决方案,包括“网络安全意识教育培训系统”、“防网络钓鱼训练系统”、“网络安全宣传百宝箱”、“网络安全窃密技术演示系统”、“网络安全意识测评系统”等产品和服务,分为“宣传”、“知识”、“行为”、“责任”四个层次,旨在加强人员网络安全意识的教育、实训、评估与防御。

企业基本情况

1、简要介绍

红山瑞达,是国家高新技术企业、中关村高新技术企业和双软企业,专注于网络空间安全“人防”的技术公司,专注于关键信息基础设施行业人员网络安全意识教育训练和全员防御,致力于通过威胁模拟实战对抗手段和有吸引力的学习方式来提高全员安全意识,服务于国家网络安全人才战略中的全民网络安全意识提升。团队的核心成员主要来自军队军工复转人员,长期服务于国防和军队信息安全领域,在网络安全攻防、社会工程学威胁技术研究应用、保密技术与教育、信息安全意识评测和实训领域拥有多年技术积累与经验。

2、团队主要成员

朱代祥,北京红山瑞达科技有限公司联合创始人,总经理,负责公司产品线规划、产品研发、技术研究和应用。毕业于总装指挥技术学院网络安全专业与保密专业,硕士,2016年自主择业。曾多年任职解放军原总装备部某研究所,擅长前沿情报、网络安全技术研究与应用,在网络安全产品及应用方面具有丰富的经验。昌小红,北京红山瑞达科技有限公司副总经理,负责公司市场和销售,毕业于中国矿业大学工商管理专业硕士,曾就职中航工业成飞集团、高德、超图等大型企业机构,在企业顶层设计、市场营销管理、销售管理、管理、运营管理、人力资源管理、财务管理等方面具有丰富的工作经验。深耕信息行业近二十年,具有丰富的经验和广泛的政府、军队、通信、金融等行业的客户资源。具有很强的沟通能力、组织协调能力、商务谈判能力,对新产品新市场具有敏锐的觉察力。曹彦志,北京红山瑞达科技有限公司董事长,负责公司战略规划、资本运作、运营管理与团队建设等。国防大学硕士,服役多年的自主择业干部。转业后创办多家企业,涉足投资、影视、游戏、VR、网络安全等,兼任中国拥军优属基金会就业创业工作委员会副主任等,具有十多年的高层管理经验。

3、企业大事记

  • 2016年12月 获得“中关村高新技术企业”认定。
  • 2018年4月 获得“双软”证书。
  • 2018年5月 荣获中国网络安全与信息产业“金智奖”2017年度创新产品奖。
  • 2018年6月 获得ISO9001认证。
  • 2018年7月 荣获“国家高新技术企业”认定。
  • 2018年8月 “2018互联网安全领袖峰会”评选为影响未来网络安全的“Future Power 50”2018安全新锐力量。
  • 2018年8月 北京红山瑞达科技有限公司党支部成立。
  • 2018年9月 中国网络安全产业联盟主办的“2018年优秀网络安全解决方案和网络安全创新产品”评选活动中,荣获“2018年网络安全解决方案优秀奖”。
  • 2018年9月 作为技术支持单位服务“2018国家网络安全周网络安全博览会”。
  • 2018年9月 关键信息基础设施技术创新联盟主办的“2018关键信息基础设施安全优秀产品、解决方案评选活动”中荣获优秀解决方案之技术创新奖—-“伏羲奖”

创新型产品解决方案

1、引言

近年来网络安全事件表明,越来越多的网络攻击和黑客入侵,开始利用社会工程技术、从个人目标着手,70%以上的网络安全事件与人的因素有关,网络钓鱼和水坑攻击成为APT渗透的主要手段。云计算和移动技术的普及,企业的安全边界消失,传统安全技术失灵,企业安全越来越依赖员工个人的网络安全意识和素养。当前绝大多数关键信息基础设施运营者、政府、企业在安全防护的解决方案中,更多的关注的是安全技术层面的防护,对安全管理方面重视不够,尤其是在有效提高全员安全意识上,还存在工作严重不足的问题。越来越多的安全事件和攻击都表明,社会工程学攻击成为越来越有效和主流的攻击手段,黑客攻击目标由对系统的攻击转向了对人的攻击。员工安全意识不足,越来越成为各关键信息基础设施运营单位、各企业网络安全防护能力提升的瓶颈。虽然越来越多的运营者已经逐步意识到了员工安全意识在安全防护中的重要性,但是苦于没有一套科学的人员安全意识测评方法,更没有一套有效的人员网络安全意识培训体系。从当前网络安全防护手段也可看到,网络、系统、应用等技术防护工具应有尽有,解决方案层出不穷,但是对于人员安全意识的测评工具匮乏,安全意识教育培训和考核也大多是流于形式,人员安全意识提升的解决方案无法落地。

2、红山瑞达网络安全意识教育解决方案

北京红山瑞达网络安全意识教育解决方案通过威胁模拟、实战对抗手段和有吸引力的学习方式,提高全员网络安全意识,提供网络安全意识提升整体解决方案。公司提供 “网络安全宣传百宝箱”、“网络安全意识教育培训系统”、“防网络钓鱼训练系统”、“网络安全窃密技术演示系统”、“网络安全意识测评系统”等产品和服务,组成完整的解决方案,从“宣传”、“知识”、“行为”、“责任”四个层次加强人员网络安全意识的教育、实训、评估与防御。从实施角度看,全员网络安全意识提升方案形成测评督促、在线知识学习、网络行为训练、保密窃密体验、文化宣传宣达的人员教育闭环,进而持续提高人员网络安全意识。

1.网络安全意识教育培训系统
网络安全意识教育培训系统是一个针对组织机构网络安全意识教育的在线宣传教育系统,提供课程学习、考试自测、游戏竞赛、文化宣传、知识推送、钓鱼体验、态势统计等功能。实现了网络安全意识教育管理有抓手、落实有手段、员工有兴趣,可以有效提高全员网络安全意识管理和知识水平。
系统包括:
▪  态势统计:网络安全意识教育可视化,展示单位、部门和个人的网络安全意识教育实时分析数据。
▪  课程学习:网络安全意识学习课件,用于知识学习的动画、PPT、视频、文档等。包括课件分类管理、课件管理及课件的标签管理等。根据行业、岗位类别和知识分类的网络安全基础知识数据库。内容包括网络安全法、保密意识、等级保护、ISO 27001、个人信息保护、PCI-DSS、数据治理、社工防御等。
▪  考试自测:网络安全意识考试评估,用于人员自测和统一考试。包括自测管理、考试管理、试题管理和考试报告。
▪  文化宣传:网络安全意识文化素材,用于网络安全意识宣传的海报、彩页、屏保等。
▪  游戏竞赛:网络安全意识知识竞赛,用于组织网络安全意识活动。竞赛网站管理、竞赛内容管理、竞赛类别管理、竞赛管理、竞赛监控、竞赛数据分析,也包括各种网络安全小游戏,如闯关答题等。
▪  互动体验:网络安全意识演示体验,用于人员网络安全意识体验互动。网络钓鱼体验、短信钓鱼体验、微信二维码体验。
▪  学习管理:根据要求指导、记录和分析人员网络安全意识学习活动、知识点、路径和成绩等信息。学习基线管理、学习活动管理、学习成绩管理、知识路径管理和人员学习分析报告。
2.防网络钓鱼训练系统
网络钓鱼等社工手段是APT攻击的主要方式,模拟网络钓鱼训练是最有效的防御手段。本系统以防范网络钓鱼攻击为目标,向员工分发邮件钓鱼、短信钓鱼等典型的钓鱼攻击训练体验样本,对员工进行体验式、参与式、实战性的模拟训练,教导员工如何识别、处置、防范钓鱼攻击,保护组织机构的网络空间安全。包括邮件钓鱼、短信钓鱼、二维码钓鱼、WIFI钓鱼、USB外设钓鱼等模块。
邮件钓鱼模块:
▪  能够设置邮件发送服务器定义,支持多个邮件服务器发送;
▪  自定义邮件发送策略,包括时间间隔、发送时间段等;
▪  内置超过500种钓鱼邮件模板,支持用户自定义钓鱼邮件模板;
▪  支持用户动作跟踪统计,包括:邮件发送、邮件开信、链接点击、数据输入、附件文件打开等。
短信钓鱼模块:
▪  内置300种钓鱼短信模板,支持用户自定义钓鱼短信;
▪  支持用户动作跟踪统计,包括:短信发送、链接点击、数据输入、文件打开等。
WIFI模拟钓鱼模块:
▪  邮箱账号钓鱼:截取用户在Web网页下对QQ、163邮箱账号、密码;▪  路由器固件升级登录钓鱼:伪装路由器固件升级、硬件调试、重新登录的场景,窃取路由器管理账号和密码;▪  常用登录网站钓鱼:伪造百度、新浪、星巴克官方网站,诱使用户登录,窃取登录账号和密码。USB外设钓鱼模块:

▪  提供U盘、鼠标、键盘、充电宝、数据线等设备类型;

▪  提供内置钓鱼文件模板,支持自定义钓鱼文件模板;

▪  行为跟踪包括文件的打开/安装/执行等。

3.网络安全窃密技术演示教育系统
让员工亲身体验各种社工钓鱼、窃密技术和手段是最有效措施的教育方法。网络安全窃密技术演示系统集成了多个典型的社工攻击项目,现场展示攻击工具、模拟攻击场景,演示攻击过程,解密攻击原理,教导应对措施,让员工身临其境地体验、识别、应对各种社工窃密威胁,以提高员工抵御社工窃密攻击的意识与能力。系统包括40多项社工攻击硬件设备,包括伪基站、WIFI、手机、键盘、鼠标、充电宝、充电桩、U盘、LED灯、读卡器、内外网摆渡设备等,用于社工钓鱼测试、保密实训教学、隔离网渗透应急演练等。演示内容高度模块化,配置灵活,每个演示项目既可以独立工作,也可以自由组合,按需定制。
4.网络安全宣传百宝箱
如何让员工持续保持网络安全意识的警觉性是一个重要的问题,这需要通过不断、新颖的提醒、警示等宣传。网络安全宣传活动是提高人员网络安全意识的重要途径。网络安全宣传百宝箱提供网络安全意识宣传相关的创意文化产品,包括宣传展板、画报、投影灯、广告机等,便于客户不断的开展内容丰富、生动活泼、形式新颖的网络安全宣传工作。内容包括:图文搭配的PS类平面设计、图文搭配的手绘类平面图设计、PS类安全长图、手绘类安全长图、电子通讯期刊、知识短片、MG动画、小游戏等适用宣传物品/场景包括:海报、壁纸、屏保、挂图、展板、易拉宝、台历、便签、鼠标垫等平面图等
5.网络安全意识测评系统
人员的网络安全意识是网络安全的重要部分,一直难以准确量化。网络安全意识风险测评系统从机构管理机制落实、人员知识考核、人员网络安全意识能力实测等多种手段,对一个组织机构进行网络安全意识的测评。网络安全意识的能力测试包括当前主要的社工威胁,包括邮件钓鱼、短信钓鱼、二维码钓鱼、WIFI钓鱼、USB设备钓鱼等方式。本系统综合运用管理问卷调查、在线知识考试、社工威胁模拟实测等多种方式对组织机构进行网络安全意识测评。通过对知识考核、管理调查、社工威胁模拟实测的结果数据分析,结合网络安全意识模型,生成网络安全意识态势测评报告。
 

3、应用场景

▪  网络安全保密活动周、网络安全文化宣传活动、网络安全普法宣传活动:使用“网络安全教育培训系统”在国家网络安全宣传周活动中,组织网络安全方面的知识学习、知识竞赛等互动式活动;使用“网络安全宣传百宝箱”中提供的宣传素材、宣传工具、文化产品进行网络安全宣传;使用“防网络钓鱼训练系统”让员工实际体验网络钓鱼攻击;使用“网络安全窃密技术演示系统”进行现场的社工攻击技术展示、演示、讲座等活动。
▪  防网络钓鱼模拟训练:使用“防网络钓鱼训练系统”,向单位员工推送典型的网络钓鱼样本(钓鱼邮件/短信/二维码),训练员工了解这些样本的攻击原理、危害性、应该如何识别、如何处置网络钓鱼。目的是提高员工的防网络钓鱼的能力,避免钓鱼欺骗,保护组织的网络空间安全。
▪  企业网络安全保密在线宣传教育:使用“网络安全意识教育培训系统”对单位员工进行在线教育,通过课程学习、自测考试、游戏竞赛、主动推送等方式,随时、随地、快乐学习,提高员工的安全保密意识。
▪  网络安全意识测评检查:主管机构使用“网络安全意识测评系统”,通过模拟的钓鱼攻击测试、知识考核、问卷调查等途径对一个单位的人员的网络安全意识进行量化式测评,准确了解单位员工的网络安全意识的真实状况。
▪  网络安全演示演练教育讲座:由专业的培训讲师,使用“网络安全窃密技术演示系统”作为教辅设备,举办现场讲座,向公众或单位内员工讲解、展示、演示各种社工攻击或窃密手段,提高人员的网络安全意识。 

4、应用案例

公司产品与服务应用于2017、2018年网络安全周,作为技术支持单位服务于2018年国家网络安全周成都展会的线上线下活动策划与执行。在2017、2018年国家网络安全周网络安全博览会上与腾讯、知道创宇设置“网络钓鱼体验专区”、“充电墙体验区”。在2016、2017年全国范围关键信息基础设施网络安全检查中,对人员网络安全意识采用模拟网络钓鱼方式进行测评,有效发现人员网络安全意识漏洞。解决方案产品与服务被10多家网络安全测评机构,应用于2016、2017年网信办、银监会、卫计委、南方电网、广州市政府等网络安全检查工作中。本解决方案产品与服务应用于陆军工程大学、航天工程大学等保密教室、广州公安“安网”专项行动、“平安广州”多次活动、贵州省保密实训教育、山东电网保密教育、成都市教育局2018年网络安全周教育活动等。
领军人物
朱代祥
朱代祥,北京红山瑞达科技有限公司总经理。1994-2001年在总装指挥技术学院计算机应用专业学习,研究方向是网络安全,先后获得学士、硕士学位。2001-2016年在中国人民解放军总装备部某研究所工作,一直从事网络安全相关工作20余年。2016年离开部队创业,专注于网络空间安全中“人”的漏洞,通过威胁模拟、实战对抗手段和有吸引力的学习方式来提高全员网络安全意识,提供网络安全意识教育整体解决方案,所在公司是国内第一家专注于全员网络安全意识教育的技术公司。带领团队成员研发出了“网络安全宣传百宝箱”、“网络安全意识教育培训系统”、“防网络钓鱼训练系统”、“社工窃密威胁体教学演示系统”、“网络安全意识测评系统”等产品和服务,并组成完整的解决方案,方案形成监管测评、在线学习、实战训练、体验互动和文化宣传的教育闭环,进而持续提高人员网络安全意识。带领团队成员,在国家网络安全周、网络安全法宣传、防网络钓鱼、防勒索软件、保密实训、网络安全意识日常教育等工作中提供产品和服务。带领团队成员将公司产品推广与应用到十多家国家级网络安全测评机构,及政府、金融、电信、教育、军工、互联网、卫生医疗、科研机构等关键信息基础设施运营单位,对于提高人员网络安全意识和威胁识别能力,有效防御APT和社工威胁,构建网络空间安全的HumanFirewall提供了有力支撑。带领团队研发的产品和解决方案荣获《信息安全与通信保密》杂志“创新产品奖”,中国网络安全产业联盟“2018创新解决方案奖”,关键信息基础设施保护联盟“创新解决方案奖”,互联网安全峰会CSS 2018“网络安全新锐力量50强”。专业领域:网络安全意识宣传教育、保密宣传教育、社会工程学威胁对抗、网络钓鱼防御、网络安全文化建设。