信息安全文化

浅淡网络安全管理中的人性善恶

admin

关于“人性善”还是“人性恶”的探讨争论了几千年,尽管没有一个很好的结论,但是相信性善的往往都是颇具恻隐之心的好人们,而相信性恶的也并非都是些恶由心生的坏人们。至少在网络安全领域里,在保障信息安全和业务成功方面,人性的善与恶是值得玩味的。

当野蛮的欧洲人经历过海外掠夺、工业革命和全球贸易变得文明起来之后,人性似乎变得向善起来。当文明的中国人经历了列强入侵、文化革命和改革开放之后,人性似乎变得向恶了。昆明亭长朗然科技有限公司的网络安全分析师董志军说,肯定会有不少人赞同这种说法,也有不少人反驳这种说法,其实拿区域文化和历史来区分人性的好坏本身就很不科学。其实争论这个没有意义,不管一个群体的位置和大小,都有善人与恶人。即使是同一个人,也并非完全的好或坏,圣人都会有善念与恶念的。欧美国家将网络安全科技文明向外输出的同时,似乎也在输出他们的霸权,无休止无底线的网络监控,无疑是在借助维护网络空间和平及全球反恐的借口,通过信息科技优势进行赤裸裸的文化入侵和经济掠夺。

美国人说:我是在帮助你建立自由民主的网络社会,这样的话你就会和我一样富裕了,至少你能在这全球化的分工协作中分得一份利益。中国人说:我要像你那样富裕,但是别在这儿蛊惑人心,我这里的秩序不能被你搞乱,我们家里的事儿你别管。于是就出现了国家层面的网络意识形态安全保障措施和强大的信息内容过滤系统。说到这儿,我们就恍然大悟,国家层面的网络安全产业,原来是美中两国政府及人民的“性善”和“性恶”所决定的,虽然这“性善”还是“性恶”并没有一个定论。

小型组织机构网络信息安全的管理,如同社会和国家网络的治理一样,说到底是要解决人们的认识问题。可是人和人是有差别的,我们可以通过一些人的一些很小的动作看到他们的信任、真诚、博爱和悲悯,同样也可以通过一些人的小的动作看到他们的疑心、狡诈、残忍和冷酷。那么,我们该假设员工的“坏”还是相信员工的“好”呢?我们应该让人们有更多的善念还是更多的相信人性之恶呢?

文化革命的流毒破坏了几代人之间的信任关系,再加上“不要相信陌生人”的古训,让我们的社会信任体系变得脆弱不堪。说交易只限定在熟人圈,一手交钱一手交货有些夸大其辞。总是提防着他人,并且把别人想得太坏,显然让交易达成的可能性大为降低,甚至是在鼓励别人的恶行。不过这也种不信任也有一个好处,让心存不正的骗子不是那么容易得逞。我们说防范电信诈骗、防范支付诈骗、防范社交工程攻击、防范网络钓鱼,我们不轻信对方,对方如何实施骗术呢?话说回来,文革流毒能给网络安全方面带来的好处,要远少于一个信用体系完善的社会中信息化的发达能给带来的整体好处,这或许也是高层将网络安全与信息化纳为“一体之两翼,驱动之双轮。统一谋划、统一部署、统一推进、统一实施。”大战略的缘故吧!

你要鼓励人们的善心吧,那可正中了网络犯罪分子们的下怀。要说,即使不谈网络安全,在现实世界中,常常有“马善被人骑,人善被人欺”的情形,在利益面前,有善心的文明人往往会吃亏,还被人骂着傻。网络犯罪分子们肯定希望全世界的人都能傻傻的轻易将帐户和密码告知,那怎么办呢?害人之心不可有,防人之心不可无,我们应该把他人都想像得很坏吗?我要告诉你实施电信网络的犯罪分子其实是个找了很长时间工作但没有一家意愿接受的残疾人,或许你会有不同的想法和看法,毕竟人家也要生存啊。

你可能要说那广西电信诈骗村儿里都是奔驶宝马什么的豪华轿车呢!的确,那么多巧取豪夺的开发商和拖欠民工血汗钱的包工头都住别墅呢!说到底别人追求上进就是贪婪的欲望,是我们眼中的恶吗?那些搞网络安全渗透入侵和漏洞测试的工程师们,为什么不把高薪职位让给广西电信村儿的初中生呢?大家做同样的事情,都是在促进网络安全行业的发展,都是在让金钱自由流动,人家自学成材自谋生路,却受着来自同行的法律大棒的无情压制,这不显得有些不公平么?

不否认有些富足的公司推出了巨额的系统漏洞悬赏计划,但是能挑战这些漏洞的绝顶聪明的人物毕竟是少之又少,显然不能让更多的网络安全爱好者们去喝西北风。要让这些“邪恶”的黑客力量转变为网络社会中的积极分子并造福于人类,需要我们不拘一格降人才,改变僵化的人才任用体系制度。而要达成这一点,无疑更需要我们改变我们的网络安全管理理念,给失足的“黑客”们改良从善、重新获得社会认可的机会。在正义的社会中,使用“黑客”出生的人来制服“黑客”无疑是最佳的网络安全战略,这并不是黑吃黑,而是让更懂黑客心理学的转型“白帽黑客”来从源头上遏制黑客滋生的土壤。

不少公司都会假定员工们在信息安全方面的性本“恶”,因为看到有员工有工作时间浏览与工作无关的互联网,便认为员工们在“偷懒”,所以就制定了苛刻的互联网安全管理制度,只允许在休息时间也只能访问特定类别的网站甚至切断互联网访问。即使这些苛刻的信息安全规定的出发点是好的,比如为了提升生产力、防止员工们沉迷于网络和防范来自互联网的安全威胁等等,这种假定人性“恶”的网络安全管理制度给员工们带来的是企业管理文化的冰冷之感,进一步的影响不是偷偷翻墙、非法外联便是消极怠工,甚至用脚投票一走了之。

如何能够通过网络安全管理来激发员工们的工作热情,又能创建活跃的企业文化氛围呢?亭长朗然公司董志军表示:我们要假定员工们的“人性善”,要教育员工们防范“人性恶”。不管是在安全管理流程的定制,还是安全控制手段的配置上,还是在与员工们的沟通互动方面,都应该在大前题上默认员工们是“善”的,是积极向上的好人们;同时我们还需要让“好人们”认识到来自外部的和潜伏于内部的“坏人们”,比如黑客、商业间谍、疏忽大意和恶意软件等等网络安全威胁。

当职工们认识到网络信息安全政策和制度有前提假定了人性之善,便会在心理上认同这些政策和制度,更会自发地表现出保护信息安全的行动。昆明亭长朗然科技有限公司专注于帮助大中型组织机构强化职员们的信息安全意识沟通,欢迎和我们联系洽谈业务合作事宜。

在网络安全管理实践中,需要多多注意人性的善恶,并且灵活利用,方能充分发挥员工们参与信息安全工作的活力,更能凝聚企业人心,充分展示网络安全责任共担的主人翁精神,共同对抗各类信息安全威胁。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

国产化真能保障安全可控吗?

admin

美国“棱镜门”事件不断发酵,网络安全和信息化成为各级党委和政府一把手的重点工作,无疑是事关国家安全和发展、事关广大人民群众工作生活的重大战略问题,在建设网络强国的号角下,“棱镜门”无疑是“国产化”的催化剂。

在这些中华民族伟大复兴和实现中国梦的社会大背景和大时代之下,“网络大国”想要成为“网络强国”是自然而然的诉求。然而,要建立网络强国,无疑需要政策、规划、人才、管理等各个方面的支持,特别是网络基础设施和自由创新能力方面。

其实要说网络安全行业,一直都有受到政府和国企的特别关照,网络安全设备和系统的国产化是基本要求,例如:国外品牌的防火墙等产品早都无法进入政府机关以及政府控股参股的企业。目前的这一拨风,显然不是刮向网络信息安全行业,而是更为广泛的信息化行业,特别是高端设备和核心软硬件领域,利润丰富,长期被国外巨头把持。

在国内的硬件厂商和软件企业在心中默默地对斯诺登千恩万谢之际,更开始摩拳擦掌,将目光描向国际IT大头儿们长期把控的领域,企图一口分食了他们。而各级政府领导,也在酝酿如何借助这一项政策来巩固自己的权威和地位,同时干出一些上得了台面的成绩和获得一些直接的个人利益。

目前我们所使用的计算机软硬件系统、网络技术标准和协议基本上都是引进的,尽管我们也在进行自主研发,一些周边设备和应用软件是自己制造的,但关键核心技术还没有取得很大突破,很多方面仍受制于人。昆明亭长朗然科技有限公司网络安全研究员董志军说:要摆脱这种困顿的局面,无疑需要推动国产自主化网络安全产业发展,形成一批可与网络强国对等制衡的网络安全企业星群,进一步在全产业链汇聚起强大的网络力量。

政府搭台,企业唱戏,科研支撑,政企联手的好时代来临了。中国不缺乏尽职尽责的官员,也不缺乏充满奋争精神的企业家,更不缺乏聪明绝顶的科研人员,那我们缺乏什么呢?我们缺乏的崇尚科学的精神和脚踏实地的干劲,官员们想着在短期的任内不出大事儿,早日升官。企业家们想着走捷径,快速暴富。科研人员们不甘于坐冰冷的板凳,为争几个项目资金而折腰。谁有心真正规划未来的十年、五十年内该做些什么呢?!

人们总以为常见的方式无疑是仿制发达国家的东西,然而最普遍的最便捷的方式则是拿发达国家的东西过来,稍加研究改头换面,打磨一下进口的低端芯片,标识成“龙芯”,将人家几年前的旧软件汉化一下改个名称和标识弄个中文界面就挂上民族软件的旗号……这种故事太多了。要说,这些行为本不是什么大错,并不仅仅是人们不诚实或急功近利,人们有足够的理由这样做——需要快速获得第一桶金来支持和保障长远的尖端科研项目投资计划。

表面上看起来“国产化”的产品,其核心如果是发达国家几年前的淘汰产品,这种“国产化”真能保障安全可控吗?答案自在人心。

如何能真正保障安全可控呢?亭长朗然公司董志军认为:应该抛弃“国产化”这个说法,积极拥抱开源,因为只有通过开源才能名正言顺地低成本获得世界最领先的科技,同时利用开放源代码又防止发达国家特别是敌对势力在这些产品中放置后门和非法监控。当然,要鼓励开源,重要的是解决使用开源的技术问题和利益问题,出台系列支持使用开源的优惠政策、同时出台鼓励服务开源的政策是关键。这两项政策的落实例子就如将购买Windows、DB2服务软件的钱,转变成资助为Linux、MySQL提供服务的企业技术支持人员。试想,当我们的技术人员都成了开源的高手、同时又能靠优质的技术服务来获得合理的优厚报酬之时,还担心网络安全不可控吗?

“国产化”对国内环境不仅是个噱头,对外来讲,过于坚持“国产化”政策和指标也只会让我们更加与世隔离,显然不利于全球合作。当不被外界所理解和接受时,即使大国政府和国民能在物质产品层面上“富”起来,也无法在精神和人格层面“贵”起来。

其实,保障安全可控,不仅仅需要在产品和技术层面积极地去“国产化”和拥抱开源,同时需要我们在信息安全精神认知层面更上一层楼。毕竟,“安全可控”是要通过人来实施和实现的。我们要全民知安全,要全民懂安全,获得群众的“人心”,才是保障“安全可控”的最佳方式。目前国内主流媒体和互联网安全公司往往喜欢“恫吓”国民,拿出大量的“血淋淋”的安全事件出来,却没能给出多少中肯的安全建议。这无疑会让多数国民对网络安全退避三舍,不仅于网络安全事业无益,怕黑客,怕病毒,怕间谍这种“望网兴叹”的局面更增加了人们对信息化的担心,让现代化进程受挫。

昆明亭长朗然科技有限公司,引进西方的朴实(非普世)信息安全理念和文化,结合中国实际国情与环境,构建出符合中国特色的信息安全意识教育培训体系。我们开发出针对全体国民的信息安全意识在线教程,欢迎在线体验,也欢迎企业级的用户联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898