浅淡网络安全管理中的人性善恶

关于“人性善”还是“人性恶”的探讨争论了几千年,尽管没有一个很好的结论,但是相信性善的往往都是颇具恻隐之心的好人们,而相信性恶的也并非都是些恶由心生的坏人们。至少在网络安全领域里,在保障信息安全和业务成功方面,人性的善与恶是值得玩味的。

当野蛮的欧洲人经历过海外掠夺、工业革命和全球贸易变得文明起来之后,人性似乎变得向善起来。当文明的中国人经历了列强入侵、文化革命和改革开放之后,人性似乎变得向恶了。昆明亭长朗然科技有限公司的网络安全分析师董志军说,肯定会有不少人赞同这种说法,也有不少人反驳这种说法,其实拿区域文化和历史来区分人性的好坏本身就很不科学。其实争论这个没有意义,不管一个群体的位置和大小,都有善人与恶人。即使是同一个人,也并非完全的好或坏,圣人都会有善念与恶念的。欧美国家将网络安全科技文明向外输出的同时,似乎也在输出他们的霸权,无休止无底线的网络监控,无疑是在借助维护网络空间和平及全球反恐的借口,通过信息科技优势进行赤裸裸的文化入侵和经济掠夺。

美国人说:我是在帮助你建立自由民主的网络社会,这样的话你就会和我一样富裕了,至少你能在这全球化的分工协作中分得一份利益。中国人说:我要像你那样富裕,但是别在这儿蛊惑人心,我这里的秩序不能被你搞乱,我们家里的事儿你别管。于是就出现了国家层面的网络意识形态安全保障措施和强大的信息内容过滤系统。说到这儿,我们就恍然大悟,国家层面的网络安全产业,原来是美中两国政府及人民的“性善”和“性恶”所决定的,虽然这“性善”还是“性恶”并没有一个定论。

小型组织机构网络信息安全的管理,如同社会和国家网络的治理一样,说到底是要解决人们的认识问题。可是人和人是有差别的,我们可以通过一些人的一些很小的动作看到他们的信任、真诚、博爱和悲悯,同样也可以通过一些人的小的动作看到他们的疑心、狡诈、残忍和冷酷。那么,我们该假设员工的“坏”还是相信员工的“好”呢?我们应该让人们有更多的善念还是更多的相信人性之恶呢?

文化革命的流毒破坏了几代人之间的信任关系,再加上“不要相信陌生人”的古训,让我们的社会信任体系变得脆弱不堪。说交易只限定在熟人圈,一手交钱一手交货有些夸大其辞。总是提防着他人,并且把别人想得太坏,显然让交易达成的可能性大为降低,甚至是在鼓励别人的恶行。不过这也种不信任也有一个好处,让心存不正的骗子不是那么容易得逞。我们说防范电信诈骗、防范支付诈骗、防范社交工程攻击、防范网络钓鱼,我们不轻信对方,对方如何实施骗术呢?话说回来,文革流毒能给网络安全方面带来的好处,要远少于一个信用体系完善的社会中信息化的发达能给带来的整体好处,这或许也是高层将网络安全与信息化纳为“一体之两翼,驱动之双轮。统一谋划、统一部署、统一推进、统一实施。”大战略的缘故吧!

你要鼓励人们的善心吧,那可正中了网络犯罪分子们的下怀。要说,即使不谈网络安全,在现实世界中,常常有“马善被人骑,人善被人欺”的情形,在利益面前,有善心的文明人往往会吃亏,还被人骂着傻。网络犯罪分子们肯定希望全世界的人都能傻傻的轻易将帐户和密码告知,那怎么办呢?害人之心不可有,防人之心不可无,我们应该把他人都想像得很坏吗?我要告诉你实施电信网络的犯罪分子其实是个找了很长时间工作但没有一家意愿接受的残疾人,或许你会有不同的想法和看法,毕竟人家也要生存啊。

你可能要说那广西电信诈骗村儿里都是奔驶宝马什么的豪华轿车呢!的确,那么多巧取豪夺的开发商和拖欠民工血汗钱的包工头都住别墅呢!说到底别人追求上进就是贪婪的欲望,是我们眼中的恶吗?那些搞网络安全渗透入侵和漏洞测试的工程师们,为什么不把高薪职位让给广西电信村儿的初中生呢?大家做同样的事情,都是在促进网络安全行业的发展,都是在让金钱自由流动,人家自学成材自谋生路,却受着来自同行的法律大棒的无情压制,这不显得有些不公平么?

不否认有些富足的公司推出了巨额的系统漏洞悬赏计划,但是能挑战这些漏洞的绝顶聪明的人物毕竟是少之又少,显然不能让更多的网络安全爱好者们去喝西北风。要让这些“邪恶”的黑客力量转变为网络社会中的积极分子并造福于人类,需要我们不拘一格降人才,改变僵化的人才任用体系制度。而要达成这一点,无疑更需要我们改变我们的网络安全管理理念,给失足的“黑客”们改良从善、重新获得社会认可的机会。在正义的社会中,使用“黑客”出生的人来制服“黑客”无疑是最佳的网络安全战略,这并不是黑吃黑,而是让更懂黑客心理学的转型“白帽黑客”来从源头上遏制黑客滋生的土壤。

不少公司都会假定员工们在信息安全方面的性本“恶”,因为看到有员工有工作时间浏览与工作无关的互联网,便认为员工们在“偷懒”,所以就制定了苛刻的互联网安全管理制度,只允许在休息时间也只能访问特定类别的网站甚至切断互联网访问。即使这些苛刻的信息安全规定的出发点是好的,比如为了提升生产力、防止员工们沉迷于网络和防范来自互联网的安全威胁等等,这种假定人性“恶”的网络安全管理制度给员工们带来的是企业管理文化的冰冷之感,进一步的影响不是偷偷翻墙、非法外联便是消极怠工,甚至用脚投票一走了之。

如何能够通过网络安全管理来激发员工们的工作热情,又能创建活跃的企业文化氛围呢?亭长朗然公司董志军表示:我们要假定员工们的“人性善”,要教育员工们防范“人性恶”。不管是在安全管理流程的定制,还是安全控制手段的配置上,还是在与员工们的沟通互动方面,都应该在大前题上默认员工们是“善”的,是积极向上的好人们;同时我们还需要让“好人们”认识到来自外部的和潜伏于内部的“坏人们”,比如黑客、商业间谍、疏忽大意和恶意软件等等网络安全威胁。

当职工们认识到网络信息安全政策和制度有前提假定了人性之善,便会在心理上认同这些政策和制度,更会自发地表现出保护信息安全的行动。昆明亭长朗然科技有限公司专注于帮助大中型组织机构强化职员们的信息安全意识沟通,欢迎和我们联系洽谈业务合作事宜。

在网络安全管理实践中,需要多多注意人性的善恶,并且灵活利用,方能充分发挥员工们参与信息安全工作的活力,更能凝聚企业人心,充分展示网络安全责任共担的主人翁精神,共同对抗各类信息安全威胁。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

分析安全心理进而引导员工参与安全

如果我们可以在全国甚至全球范围内为网络安全做一件事情,那就是教育数十亿互联网用户,帮助他们应对每天面临的安全威胁。——昆明亭长朗然科技有限公司网络安全培训师董志军

信息安全人为因素分析

一项国外调查表明,99%的受访员工表示至少有一项行动可能严重威胁其公司的网络安全,原因在于他们更偏好于个人便利而不是企业安全。而对于深受道家“灵活应变”文化影响的中国人,相信更会为了达到自己的目的,而刻意忽视和躲避企业信息安全要求。

最近勒索病毒的暴发引起全球关注,探究蠕虫、病毒和勒索软件的攻击原理,网络安全专业人士都知道其实防范起来并不难。做好提前预防,及时更新系统,打上安全漏洞补丁,便会最大限度地免于感染。说到漏洞修复,从技术层面来讲,默认情况下,很多计算设备都会自动下载漏洞补丁;从流程层面讲,很多公司也都有成熟的漏洞管理工作流程。而为什么在漏洞补丁已经发布了很久之后,仍然有很多系统未能及时修补呢?昆明亭长朗然科技有限公司网络安全培训师董志军说:People,Process,Technology,说完技术和流程,接下来,我们要从人员层面上来讲一讲。如果说二十年前,多数人不懂修复计算机安全漏洞的道理,这可以理解。可是,经历过一次又一次安全事故后,人们仍然不明白修复漏洞的重要性吗?我认为,肯定有人不明白,也肯定有人明白却不去做。

员工们的信息安全心理

让我们结合漏洞修复例子,分析如下几种常见的员工信息安全错误心理。

一、员工们可能会觉得计算机设备是公司的,计算机安全当然也就是IT部门的事情,和自己没什么关系,机器坏了让IT人员来修就行了。这种置身事外的心理,使得员工们没有一点信息安全方面的责任感和上进心。他们不关心信息安全,当然就不会去想信息安全,于是就不懂如应该及时修复安全漏洞等信息安全基本要义。

二、员工们在进行计算机工作任务时,通常会忽略安全更新相关提醒,认为以前怎么使用计算机,以后也可以一直保持同样的使用,不希望被计算机安全相关的问题打扰。他们不知道世界在变,不知道被新发现出来的安全漏洞如果得不到及时修复,会更容易感染恶意软件,进而影响到计算机的正常运行,这种信息安全认知的偏差通常源自于保守,也和安全意识教育的普及不足有关。

三、员工们都有既定的工作目标,如安全更新这些额外的工作,他们即使知道有必要去做,但不想去做。或许是不想浪费打补丁的时间,或许就是懒惰,不管如何,打补丁的紧要性是最低的,能拖就拖。

四、员工们已经习惯了那些常规的工作,在熟悉的舒适区内,有的员工拒绝升级系统,从不更新安全补丁甚至关闭Windows Update。他们担心安装安全补丁会影响正常的计算机使用,会让自己陷入麻烦,这是典型的拒绝改变的心理。

信息安全心理纠偏行动

了解了员工们常有的几种错误信息安全心理,我们可以采取针对性的纠偏策略。

首先,我们要建立信息安全人人有责的责任感,让员工们深刻理解到自己所担负的信息安全职责,这样他们觉得保障信息安全也是自己工作的份内事儿,自然就会开始关心信息安全了。针对部门管理者,还要让其担负起本部门的信息安全职责。

其次,我们要对员工们进行必要的信息安全知识科普,让员工们在信息安全素养方面变得“开化”和“文明”,必须把普及性的知识内容传递给他们。切记信息安全知识要正确的平实的,拒绝错误的忽悠型的。

接着,我们得强化信息安全重要性的宣教,让员工们知道从漏洞信息的公开到漏洞被广泛利用的时间正在缩短,网络威胁可能会在几秒钟内对企业造成严重破坏。保障信息安全,应对网络威胁成功的关键在于抢时间。当员工们知晓了这一点之后,就会知道轻重缓急,会严肃对待信息安全,及时采取必要的行动。

最后,防止员工们抵制信息安全措施,加强安全相关的技术监控和检查力度,对没有采用正确措施的行为人员加强教育,落实和追究安全责任。在技术支持上加强保障,打消他们的使用顾虑,鼓励尝试变革,建立其与信息安全团队间的互信。

我们对员工们的信息安全心理进行纠偏的同时,也是在鼓励其参与信息安全并为其赋能。昆明亭长朗然公司董志军称:安全是一个过程,而不是目的地。您可以部署各种流行和领先的网络安全技术并遵从业界最佳操作标准,但最大的风险是不让您的员工参与网络风险的应对。

鼓励员工参与信息安全并为其赋能将构成一个强大的无敌组合。建立长期和持久的信息安全文化,需要我们建立全面的信息安全文化教育培训体系,并不断改进。

总结

人是网络发展的基本动力,也是网络系统的主体用户,以及信息安全的第一道防线。网络安全要面向用户,要提升员工们的信息安全兴趣,要启发员工们的安全觉悟和正确态度,就要多多引导员工们参与信息安全,进而建立信息安全人人有责、层层负责的管理体制。开展多层次、多方位的信息网络安全宣传和培训,增强用户安全防范意识和能力,当员工们的信息安全素质提高了,公司信息网络的安全才有保障。

提升全体国民的网络安全意识,强化客户员工的信息安全防御能力,是昆明亭长朗然科技有限公司的专业工作,我们全力以赴,以求做到最好。如果您有这方面的需求或兴趣,欢迎您联系我们,洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898