意识形态、网络安全与理念的力量

前两天,谈论到网络意识形态安全与信息安全意识教育的关系,虽然两者都包含“意识”一词,但看起来仿佛是风牛马不相及的。不过,近期由中央网信办牵头主办的、旨在提升网民的安全意识的“网络安全宣传周”搞得倒是有声有色的。

官话说:互联网的发展很迅速,应用很广泛,对意识形态和思想文化乃至国家安全构成了严重挑战。其实,互联网本身只是工具,它本身并不是坏东西,也不会产生意识形态或思想文化内容。所以,中央制定了“积极利用、科学发展、依法管理、确保安全”大力发展健康向上的网络文化的方针,无疑是很值得拥护的。

不过,人们从内心深处讨厌的是这个社会主义,那个马列主义的政治说教,这让人们觉得很不真诚。当然,人们并不是反党反社会主义,也不应该啊,因为人们能接受高等教育,能在政府机构供职,甚至能在企业里工作,能过上好日子,都离不开“接受党的领导”这一先决条件。即使不需要多么感恩,无疑也不能否认这一先决条件,否则就如同背叛自己的承诺,数典忘祖了一样,这样的人显然无法受到社会的信任和他人的接纳。

然而,意识形态和思想文化这些东西是虚的,却很容易被人利用,特别被强权或坏人利用。正如美国著名未来学家托夫勒在《权力的转移》一书中所指出的:“世界已经离开了暴力与金钱控制的时代,而未来世界政治的魔方将控制在拥有信息强权的人的手里,他们会使用手中掌握的网络控制权、信息发布权,利用英语这种强大的文化语言优势,达到暴力、金钱无法征服的目的。”

网络等新媒体所具有的高效性、广泛性、互动性、渗透性等特点,导致了各种意识形态相互激荡,各种思潮滋长蔓延。“我觉得这并不是什么坏事儿,”昆明亭长朗然科技有限公司网络安全意识顾问董志军说:“纵观几千年人类发展历史,只有思想文化的多元化和相互牵制才能造就社会的繁荣和政治的稳定。”环顾全球,前些年一些国家相继发生的“颜色革命”,说到底是本土社会思想文化的多样性不够,对外来文化的抵制力差,制衡性不强,最终由于失衡严重而引发了政治突变、社会动荡。

从生态学角度讲,也是如此。一个常识性的现象是:人们交叉种植多种植被,往往比单一品种更能阻挡病虫害。如果要控制只准种植某单一品种,往往也更容易受到外来特种的侵袭。

美国的社会比较稳定,即使政府关门,也不会出现大的政治突变或社会动荡,为什么呢?这是因为美国的文化多元,各种族移民文化、各种价值观在这里制衡,即使政府倒闭,也不会有人扯个大旗宣称是获得了政权。而出现国家动荡和政治剧变的,显然都是那些先前在思想文化和价值观上极为保守、封闭和单一的国家,整个国家的女人都蒙面不能外出就是极端封闭的例证。在面对来自西方开放式文化的强力冲击时,国民的世界观、价值观突然进入迷惑状态,甚至出现群体精神混乱,社会动荡也就是情理之中的事儿了。

不管怎么样,我们必须汲取国外在维护网络意识形态和文化安全方面的教训。尽管我们已经有几千年的儒释道家文化传承,我们仍然需要吸收国外先进的科学理念,以使我们的社会人文思想达到新的全球平衡。

著名经济学家张维迎在《理念的力量:什么决定中国的未来》一书中提到:理念是重要的,人的行为不仅受利益的支配,也受理念的支配。在网络时代,在意识形态和信息安全意识领域也是如此,培植正确的或者说适当的网络信息安全理念,是保障大到国家安全,小到企业安全的核心工作。

张维迎又说:社会的变革和人类的进步基本上都是在新的理念推动下出现的,没有理念的变化就没有制度和政策的改变。在社会治理领域,完善网络社会治理体系,依法治国,没有法制理念的变化,仍然是空谈。在网络信息安全管理领域,出台信息安全方针政策和规章制度,没有信息安全理念的变化,都是一纸空文。

张维迎在《理念的力量》中讲到“语言腐败”,这是很值得意识形态宣传和网络信息安全管理人员们思考的,为什么会有那么多“台前台后不一样”的双面人?这种严重的“语言腐败”现象到底是我们意识形态宣传工作的成功还是失败?“语言腐败”的双面人会不会成为国家安全的重要威胁?我们不应该让某一种特定的理念去占据讲台、电台、电视、报纸或者网络,而是应该充分借助思想的自由市场,让每一种理念和观念在公平、公开和自由的环境下面进行博弈和竞争。

话说回来,如何能有效改变人们的网络信息安全理念呢?显然传统的洗脑式说教不是好办法,合适的意识形态和企业文化不是至上而下的强力灌输而轻易达到的。董志军说:如同百家争鸣时代的互动式的辩论是成功的关键,我们建议企业文化层面的领袖们,积极引导受众们主动表达自己的信息安全观念,让这些不同的观念互相碰撞,再根据社会大环境以及组织机构的实际情况加以适当疏导,定能让网络信息安全基础意识和正确的理念认知深入人心,让信息安全成为永续成功和不断变革的坚实保障力量。

董志军最后说:我虽然是无党派人士,但是坚持中国共产党的领导。同时我并非宗教信徒,无意攻击任何文化理念,也不认为某些宗教落后。所以如果您觉得本文内容有些不当,或者不管您对本文中的观点有任何意见,都欢迎您直言相告。百花齐放、百家争鸣。我们的进步也需要您的声音!

内部威胁的防范难题

近年来,各类型的组织机构在信息安全、网络安全与数据安全方面面临着各种各样的逆境和挑战。疫情大流行改变着人们的生活和工作方式,进而改变着组织机构的数据安全需求。随着数字资产价值和数量的不断增加,内部人员泄露或窃取敏感数据的风险也越来越大。据有关机构统计,内部威胁现在占所有安全事件的23%。内部威胁的范围比人们想象中的要普遍,58%的公司企业认为安全事件的起因源于内部人员。64%的安全事故都是由内部人员疏忽引起的,而23%与内部人员犯罪有关。

在国内,内部威胁更多被认为是违法乱纪行为,对于官场人员来讲,应该不陌生,即使是疏忽大意造成的事故,也有“玩忽职守罪”或者“过失犯罪”。对于有心想干出点业绩却不少心因此而倒霉的国家机关工作人员,特别是官员来讲,这些罪名显然是“追责过度”,极不合理的。更有意思的是,面对同样的“过失”,有些人员有些时候能“躲过一劫”,而另一些人员在另一些时空则会成为“阶下囚”,这表明,违法与否的认定,存在很多主观判断因素。对此,昆明亭长朗然科技有限公司网络安全专员董志军补充称:我们不是说法律本身不公平,而是说在“内部威胁”的认定和处理领域,缺乏足够详细和透明的评判机制,进而给“徇私枉法”者留有相当大的空间。在这种状况下,必定有嗅觉敏感的投机官员借机来打击异己、培植亲信、结党营私。因此,除了事件本身的直接影响外,内部威胁的影响余波还伴有系列的人事组织风险,严重到会威胁国家安全。

说到国家安全,不得不说到防间谍,有来自外部的间谍人员,也有来自内部的“汉奸”,不排除有一些主动吃里扒外的“内奸”,然而更多的则是无意中泄露国家秘密或被设计“圈套”利用的,或者是在被动中由于疏忽大意而被策反的。十几亿国民有上亿党员干部,不管如何,总会有一定数量的叛徒出现。然而,即使是微小的概率,也可能“一颗老鼠屎,坏了一锅汤。”

对于公司企业来讲,管理层及雇员们滥用职权,内鬼作案,恶意操作,内外勾结,引狼入室等等情形也很常见。如果资方没有足够的措施,那么管理者及雇员们可能会肆无忌惮地疯狂作案,给公司企业带来重大损失,直到掏空公司,甚至让公司负债累累。即使是上市公司,高管利用职务之便,借助特权和信息优势,搞内幕交易、职务侵占、贪污受贿、欺诈作假等情形也是非常普遍,当然这些高层“内鬼”多数是“知法犯法”,想要他们提高道德水平与自律能力,显然是痴心妄想,不懂人性的天真想法。

因此,我们有必要,从网络安全领域,讨论组织机构如何增强其安全性并减少恶意或疏忽内部人员的威胁。从网络安全方面看,内部威胁可能导致专有信息和知识产权的损失。与攻击相关的系统停机时间会对公司的正常生产产生负面影响。此外,数据丢失造成的客户伤害会降低公司的商业形象和信誉度。

我们偶尔会从媒体上看到,某些IT人员在离职之前,向关键信息系统中放置“逻辑炸弹”,数月甚至一两年后,“炸弹”爆炸,导致重要数据被删除,IT人员出了一口“恶气”,也为之付出了巨大的代价。由心怀不满的员工故意窃取数据或者破坏系统(使系统无法使用)的原因和动机有很多,对薪资、职位的不满,认为受到主管或公司的不公正待遇,与某些同事关系不佳,产生敌意等等因素,都有可能。非常不幸的是,如果威胁是恶意的,则很难预防。这是因为:心怀不满的员工很可能已经拥有系统和数据的特权,这是他们日常工作的一部分。

如果我们分析多起安全事件,就会发现事实证明,执行有害或危险活动的合法用户总是比典型的外部威胁更难被发现。尽管大多数内部威胁都是无意的,而且通常是偶然发生的,但它们造成的损害仍然会影响业务成果和稳定性。虽然恶意内部人员构成了实实在在的危险,但许多内部人员威胁是无意错误造成的:比如单击导致网络钓鱼攻击的URL,意外将机密通过电子邮件发送给错误的收件人,或者将笔记本电脑遗忘在了公共交通工具上。

尽管外部风险水平较高,但组织最大或最直接的网络威胁可能来自内部。由于无意的失误,通常是由于过时的安全系统或软件版本未及时更新,公司员工经常卷入重大数据泄露或者加密勒索事件。这些通常不是故意的,而是缺乏普遍的最佳安全实践而导致的不良结果。在认识到问题的严重性后,重要的是要保持对这种风险的高度认识并认真对待这些威胁。当检测到异常行为时,应将其视为可能的攻击,存在各种内部威胁指标,防范它们的关键步骤是识别这些迹象并为员工设定正常阈值,并及时发出警示,比如未及时安装软件更新的弹窗消息,设置计划任务之前的安全警告等等。

安全意识对于预防内部威胁至关重要。由于《网络安全法》、《数据安全法》、《个人信息保护法》等等很可能在接下来的几个月和几年内更加细化,员工可能会获得更多对客户个人数据的访问权限,因此需要充分了解安全政策及法规的所有后续细化。总之,有效的安全意识培训和教育,对于遏制内部威胁显得非常重要。通常,这种威胁源于不知情的、非恶意的员工犯了简单的错误。使用引人入胜资源内容,定期进行网络安全意识培训是将这种内部风险降至最低的最佳方式。

一方面,组织机构需不断强化安全团队的内部威胁侦测及防范能力,为信息安全团队提供培训、配置和监视计算机系统、网络、移动设备和备份设备的培训。

另一方面则是定期培训员工网络安全意识,向员工们定期提供培训,以告知他们如何处理安全风险,例如网络钓鱼和保护他们在笔记本电脑和移动设备上携带的公司外部数据。最重要的是要告知员工从事恶意活动的后果。

内部威胁(间谍、内贼)是一个可大可小的话题,随着法制的逐渐健全,相信这个问题会得到国家层面的重视。为帮助广大客户在信息安全方面教育员工,以确保将组织中的内部威胁降至最低,昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com