各类组织机构如公司为了保护信息资产的安全，需要设计开发适当的信息安全策略（也称方针或政策），更重要的是需要将信息安全策略发布给所有员工，甚至客户以及合作伙伴。

设计开发信息安全策略仿佛很简单，国际上有成熟的标准体系、行业里也有相关的安全法规，也有些模板可以供参考和拿来进行修改，说到底，信息安全策略常常被各类组织信息中心负责人看作是繁杂的文书工作，便简单委派给文秘相关的人员。

实际上，信息安全策略远不是能交给部门秘书或文笔较好的职员能充分胜任的，最重要的原因是安全策略的制定不能脱离公司的业务环境。昆明亭长朗然科技有限公司的安全管理顾问Bob Xue说：多数国内组织机构的信息安全管理仍然很依赖“人治”的混沌水平，主要原因是领导和下属们的文档意识并不够，这和跨国公司依赖规章流程来进行信息安全管理有很大的差距。

为了应付各类信息安全管理相关的检查和审计，多数组织不得不炮制出许多临时的“信息安全手册”，包括诸如安全策略、标准、流程等等，甚至有制作出相关的“记录”和“证据”，更有下大力气召开信息安全动员会，领导挂帅发动信息安全突击项目……

多数的结果是：运动战式的信息安全突击项目往往都是短视行为，一阵风过后，领导又要忙于其它项目，似乎并也不那么在意信息安全了，下属员工们在安全自律方面也松懈了……

问题在哪里呢？亭长朗然公司的Bob说：大量的安全管理文件都是公司内部的少数人员依据标准体系或法规遵循而“闭门造车”出来的，这显然脱离实际的工作环境，容易造成“曲高和寡”，不能被多数员工们所理解。目前只有极少数的公司信息安全负责人拥有安全管理方面的智慧，他们往往会将信息安全相关的文件体系分级委派给各个不同层级的部门和岗位，由这些部门的领导主管和信息安全协调人员们根据部门和岗位的实际情况撰写适合自身的“信息安全作业流程”。

当然，信息安全负责人可能需要出台在整个公司范围内所通用的安全方针政策和标准流程，但是更多的工作却是培训和指导各部门的领导主管和信息安全协调员，要让他们了解信息安全管理的基础智能和理念，以及提供必要的安全技能培训，让他们有能力撰写出合格的“信息安全作业流程”。

在撰写“信息安全作业流程”时也有一个误区，有公司信息安全流程负责人可能会拿出固定的模板，让各部门协调人员照样子搬抄，这是偷懒、不专业也不负责的做法。的确，整个公司范围内的“信息安全作业流程”应该遵循一些标准，比如至少要有作业流程的目标、流程中人员的职责、相关的信息输入和输出、必要的流程控制点和流程本身的所有者和维护信息等等。这些都是必要的，然而，这些并不是沟通和培训的关键。

那么关键的问题何在呢？亭长朗然公司Bob说：至关重要的是要让各部门领导和信息安全协调人员了解如何真正让信息安全作业流程发挥必要的安全控管目标，比如要让真正需要得到保护和控制的信息资产被识别出来，要知晓人员如何与信息及系统进行互动。

要了解人员与信息及系统之间的互动至关重要，因为工作流程要这些信息及系统的使用者们来执行，安全作业流程同样也要让他们来遵循。

在完成了适当的信息安全管理文件体系“信息安全手册”的建设之后，重要的不是搜集执行的结果——“记录”或“证据”，因为执行信息安全作业流程的主体是人员，而不是系统，所以重要的是加强与信息安全作业流程的使用者之间的沟通。

沟通的目的当然不仅仅是让信息安全作业流程得以顺利遵照执行，还有一个目标是强化信息安全策略的效力。沟通是双向的，但受众主要是信息安全作业流程的使用者，这里面可能并不限于公司内部员工。沟通的手段无非是培训和再培训，普遍性的安全方针政策和标准流程培训可以在全公司范围内实施，由信息安全管理领导负责人来牵头进行全员信息安全意识教育比较好；关于各特定部门和岗位的独特性培训，则需由信息安全负责人与各部门领导及安全协调人员进行磋商，以便合理分配和有效利用安全培训资源。

借助对信息安全管理的深刻理解和认识，信息安全意识教育业界领导厂商昆明亭长朗然科技有限公司不仅提供普遍性的信息安全意识培训课程，更能针对每家客户的独特性而量身定制安全意识沟通课程，这些无疑能够帮助客户强化信息安全方针政策和作业流程的有效执行。

如果您有兴趣了解更多内容，欢迎联系我们获取更多详情。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

近来，黑客恶意复制或挂失电话卡的案例频频出现，他们此般恶劣手段的目标是击溃短信或电话认证，进而冒充他人身份，非法窃取他人的网络帐户和实施罪恶的线上交易活动。

一直以来，短信是网上银行和电商来校验用户身份的廉价和高效的机制之一，至少不必像动态口令那种多重身份验证机制需要投入硬件设备。短信的使用除了帮助验证网上交易的身份，还有一个好处是交易进行提醒，以便帐户被盗用后能及时响应，进而帮助挽回和防范进一步的损失。

黑客可能利用客户端的安全漏洞或人们脆弱的安全意识来传输和安装木马程序，进而通过个人电脑或架设钓鱼网站来窃取他人的网上交易帐户。多数网银和电商早已料到这点，并已经实施了多重的安全控管，特别是在交易环节进行额外的双重身份验证机制。

黑客现在面临的挑战是突破这第二重的身份验证机制，昆明亭长朗然科技有限公司的安全研究团队总结了黑客的如下几招方法并且进行了简单的分析。

第一种方法是通过远程控制，无论是远程控制软件还是社交工程诈骗都需要套取身份验证码，对于稍微有些安全常识的人们显然是很大的障碍。

第二种方法是绕过或突破二重身份验证，技艺超群的黑客可能挖掘和掌握了线上交易系统二重身份验证的安全漏洞，但这种情况并不多见，毕竟黑客的水平可能尚输一筹。

第三种方法则是欺骗二重身份验证措施，具体的方法类似中间人攻击，即穿插于线上系统和终端用户之间，套取用于的二重身份验证授权来骗得线上交易系统，这种方法对黑客技艺的要求和时间点的把握都比较高，成功的可能性相对较低。

第四种方法则是从用户端入手，即击溃二重身份验证的终端，简单粗暴的方式是盗窃和抢夺身份验证令牌如动态口令卡或手机，这显然风险较高，比较“稳妥”的方法是绕道获得这些设备或重置这些设备，其中针对电话和短信的认证很容易被击溃。

线上交易系统通过运营商发给终端用户的短信可能轻易被黑客通过网络窃取，黑客更能花少量投入便可克隆受害人的电话号码，当然最经济的还是持假身份证到运营商那儿挂失并重办一张电话卡。

运营商有充分的理由称其没有办法鉴定用户身份的真假，受害者又接受了在线交易服务条款，问题出在哪里？显然，多个环节是环环相扣，最大的问题当然是受害者的线上安全意识不足，至少没有充分认识到线上交易的风险特别是短信认证的先天缺陷。

同时线上交易提供商和移动网络运营商也应该有所做为，多数发达国家已经制定法律，要求网银对非客户授权的交易负责。即使银行仍然是政府的提款机，会受到一定程度的保护，但激烈的市场竞争、上市后的严格监管以及融入世界的大趋势，让垄断的“好日子”不会永久持续。

从技术层面来讲，短信认证和短信提醒功能不需废弃，而是需要增加第三重的身份验证措施。而道高一尺，魔高一丈，要有效遏制网络犯罪分子的罪恶活动，还需要加强对线上交易用户进行信息安全意识教育，这方面的重任无疑应该由线上交易服务提供商来担当。

俗话说“当局者迷，旁观者清”，线上交易服务商更多专注于核心的价值——提升身份验证方面的客户体验和改善交易的安全控管技术，在客户安全意识培训计划的制定和线上交易安全指导教程的开发方面则需要第三方的专业安全意识培训机构来帮忙，而昆明亭长朗然科技有限公司是安全意识教育方面的领导厂商，无疑是线上交易服务提供商的最佳的安全意识教育合作伙伴。

我们的方法是学习和分析造成线上交易安全事故的“人为”原因，并且根据客户的实际业务环境，量身定制适当的安全意识教育方案和制作开发相关的线上安全意识培训内容。

如果您有兴趣了解更多内容，欢迎联系我们获取更多详情。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898