在一次汇集了业内200余名的信息安全总监级别人物的大型网络安全会议上,主办者发现:大约有一半的组织没有执行定期的网络安全意识和培训计划,也没有针对新员工进行网络安全培训。同时,有大约有80%的受访者表示他们在过去一年中遭遇了至少一次安全事故或网络攻击。由于这项统计数据是不记名的,因此准确性很高,同时也令人感到非常恐惧。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:多年以来,计算机网络安全技术得到不断积淀和加强,只要组织遵循常规的安全管理实践,应对大多数网络安全威胁,其实是件很容易、也很顺其自然的事情。
很多企业在遇到数据泄露、病毒感染或网络入侵事件后,最先的冲动就是求助于技术型的解决方案。我们可以理解这一点,使用技术手段可以快速进行威胁来源的诊断、定位和应对。不过,几乎所有的数据泄露和网络入侵事件的根源都不仅仅是技术控制措施的薄弱,相反,最大的罪魁祸首永远是制度措施的不健全或管理手段的不到位。简单说,网络安全事故的根本原因,在“人”,而不在“物”或“技”。因为“人”是最复杂的,也是容易犯错的,因此在网络世界中,黑客通常从利用“人性弱点”的小型网络钓鱼或社会工程电话开始,并不断推进其不法活动。另外,“物”的弱点(或称漏洞)需要“人”用“技”来修复,因此,不法分子们越来越多地借助人们安全知识的缺乏和安全技能的落后,并综合利用,以实施复杂性的违法犯罪行为,比如高持续性威胁和新型电信网络诈骗活动。
组织机构要搞好网络安全,无疑需要认识到这种网络威胁发展的态势。如今,几乎所有的组织机构都实施了防病毒解决方案,它们可以来阻止绝大部分的恶意软件威胁。不过,据权威统计,仍然有大量企业每天由于网络安全事故的原因而关门歇业,也有大量个人因遭遇电信诈骗事件而倾家荡产甚至自杀轻生。这其中绝大多数威胁都来自社会工程学手段,它们通常是以网络钓鱼消息的形式出现。这给所有的组织机构都敲响了严重的警钟。如果组织机构中的人员无法在安全意识方面追赶上社会工程学领域所需要注意的问题,如果人们不知道如何更好地保护自己,并将安全知识和能力扩展到整个组织机构的范围,那么再多的技术型安全控管措施也都是徒劳的。
昆明亭长朗然科技有限公司是国内网络安全意识宣教领域的探索者和创新者,具有多年在金融、能源、交通、通信、政府、教育和企业领域为客户提供创新作品及卓越服务的经验。我们帮助客户发现并纠正所有安全技术、政策或流程控管方面的弱点,同时通过提升员工们的安全意识和能力,让客户在网络安全方面变得更加强大。如下我们向您分享一张防范“网络钓鱼”攻击的宣传图片。如果您有兴趣,在保留我司LOGO及字号的情况下,可以免费在组织机构的内部使用。需要印刷品使用的也欢迎联系我们,以免费或付费的方式获取高清版PSD源文件。