针对大型网站的黑客攻击令多数注册用户的机密数据如邮件地址和密码等外泄，各类媒体对这些密码泄露事件也大肆渲染，唯恐天下不乱，而各路安全公司也乘势煽风点火，推销安全产品，不过具有讽刺意味的是，不少知名的媒体网站和信息安全公司同样也难逃被黑客攻击带来巨大损失的噩运，一时间，人们谈黑色变，人心惶惶。

同时不可否认的是，安全事故也有其积极正面的意义，灾后重建会拉动社会对安全控管的需求，创造新的商业和就业机会，还能刺激安全科技创新，然而对于多数受灾并不太严重的组织，最重要的还是：人们的安全意识得到了提升，安全觉悟得到了提高，这比什么都重要，人心齐，泰山移，不需要人人都有高深莫测的防黑技艺，只需普及一般的安全常识，便可让大多数黑客知难而退、无功而返。

不过，别以为看看别家遭黑客袭击，在安全方面遇到了灾难事故，自家就可以从中吸取到足够的失败教训，而且，大多数人并不会因为旁观了一把就会将安全意识提升到充足的水平。

最基本的，几乎所有的业务部门的总监经理主管们都知道：安装防病毒软件可以防范恶意代码。然而，知晓防病毒软件必须得到及时更新的并不多见，知晓即使防病毒软件得到了及时更新，却仍有可能不及新型恶意代码的出现速度的则更是凤毛麟角。

昆明亭长朗然公司在2011年进行的一项企业员工安全意识调查结果表明：高达96％的受访者仍然将防病毒软件视为最重要的信息安全保障措施，然而同样是96％的受访者却仅仅只愿意全盘扫描那些被怀疑或确认受到感染的电脑，只有接近2％的员工会在电脑出现异常时检查防病毒软件是否得到了启用和更新。

当然，我们不能渴求用户个个都成为信息安全专家，毕竟多数用户的首要工作职责还是为公司创造产值，并非防范病毒、击退黑客或者保护信息系统和信息数据的安全。但是如果普通信息系统用户连基本的计算机安全常识都不具备的话，在科技变革日新月异的时代，再厉害的安全技术防范措施也会显得苍白无力，甚至无济于事，因为多采用一项创新科技，就会多带来一些安全隐患，在安全威胁日益增多的时代，尤为如此。

再以我们的这项企业员工安全意识调查为例，计算机的病毒防范理念尚如此之不容乐观，其它的计算终端呢？便携式移动计算设备呢？智能手机、平板电脑呢？即时通讯和社交网络应用呢？社会学工程攻击呢？诸如此类的安全防范理念，多数普通用户几乎没有一点儿概念，当然结果就是大量的安全威胁通过利用这些渠道成功入侵了企业的内部网络、渗透了关键的信息系统、窃取了重要的机密数据、影响了业务的正常运作、甚至导致了重大的失败……

诚然，为了保障信息安全，各类型的组织或多或少部署了不少的安全产品或技术流程，如防火墙，入侵侦测与预防、数据丢失防范、访问控制与安全评估等等，这些安全产品或技术流程往往包含多种安全控管措施，可以实现多种控管目标，确实有必要实施一些，然而想靠这些来实现保障组织安全的总体目标显然不够，一方面各类控管措施都是针对各类角色的各种行为，控管措施的实施者、操作者、使用者或受影响者可能并不理解或认同这些控制目标和措施，这可能会严重影响到安全控管的效果，所以，这些不同的角色都需要接受适当的安全培训，最终接受并支持这些控管措施；另一方面，从安全管理角度讲，安全专家们也常说做好安全需要3P，People，Process，Product，即人员、流程和产品，这里面People即人员是最首要的，甚至有极端的安全技术极客们如世界顶级黑客米特尼克等等宣称，当今组织可以不建立标准化的安全流程和制度、不安装指定的防病毒软件产品，只需加强员工基本的信息安全意识。虽然安全技术极客们艺高人大胆，而且基本的安全意识观念中已经包含遵守安全流程和使用防病毒的必要性，但是安全极客们的这番话仍然显示出信息安全意识教育的重要性。

也正是不断曝光的网络安全事故引起人们对信息安全意识的关注，也正是因为信息安全意识越来越受到人们的重视，各类型组织开始不断加强员工的安全意识培训和安全文化教育，甚至有公司还始将信息安全意识培训当成新员工入职的必修课，而且每年都对全体员工进行安全意识再培训，传统上只重视网络信息安全设备和硬件的公司纷纷认识到这并不足够，开始将部分安全投资转向针对全员的信息安全意识。

亭长朗然科技有限公司的资深安全培训讲师Alice称：在发达国家，几乎所有的组织都有将员工的安全意识培训纳入到安全管理工作之中，政府及各类安全组织更是积极推进整个社会的信息安全意识建设水平，知名安全厂商如McAfee和Symantec等等也早都推出针对企业用户的在线安全意识培训课程；而在我国，只有极少数组织会将针对全员的安全意识培训列入日程，在线的即通过电子学习方式进行的信息安全意识培训则更是方兴未艾，虽然是新生事物，但是无疑在线培训有其独特的优势——可以让员工随时随地自由学习，更能快速实施大规模培训，并且及时获得培训的绩效，这种新颖的方式值得大家去尝试，特别是那些尚未进行过课堂现场培训的客户更应一步到位，就好似在当今的非洲大地上，人们不用拉固定电话直接使用移动手机那样，大跨步体验现代科技带来的便利和高效。

大数据分析俨然成为目前各行业了解用户潜在需求、挖掘商业价值、改进服务质量和提升客户满意度的一大利器，也是各大信息服务提供商决战企业级大客户市场的焦点。的确，行业内人士相见，三句不离大数据，否则就恍如隔世。

如同电子商务、在线赌博以及网络色情服务业，网络犯罪分子也是大数据技术的先行体验者，他们部署最先进和快速的方案，用来窃取价值不菲的商业信息。昆明亭长朗然科技有限公司大数据行业观察员James Dong说：我们已经进入一种由智能化驱动的安全时代，传统的静态化安全防范措施无法应对被高度智能化武装过的信息窃贼，我们需要走在网络犯罪分子的前面，比他们更加聪明和智慧，这样才能赢得大数据时代的信息安全战争。

索尼和塔吉特这类世界级的知名公司都被黑客搞成国际头条新闻，集团高管们连续几个季度睡不安稳都是小事儿，客户严重流失、商业信誉不保、生意亏损尚能撑着则是常态，严重点儿的话就是昔日的世界五百强公司在瞬间倒闭！

黑客们早已不再简单通过单一的方式入侵，比如分析网站和应用的技术漏洞，通过钓鱼邮件和诈骗电话等社工攻击，他们变得日益狡猾，狡猾到熟知业务流程。昆明亭长朗然James表示：攻击者打探业务流程中的安全弱点这种事儿是很可怕的啊，其实大型公司中的绝大多数员工都不清楚业务流程中的严重安全弱点，因为人们的专业技能、职责范围、精力和视野都是很有限的，即使是专注于业务内部控制、风险防范和安全审计的人员也不是商业流程安全方面的全能人士。

但是狡猾的训练有素的黑客们却能借助大数据来快速学习和分析攻击目标，在很短的时间内超越多数公司内部人员，对攻击目的的内部业务流程的安全控管和薄弱之处一览无余。针对塔吉特Target的攻击便是明显的一例，犯罪分子通过业务流程中的关键一环——PoS零售终端进而渗透到PoS后台系统，直取客户信用卡信息。事后，Target花了不少功夫找懂安全防范的人才，最终找了一位没有IT背景的高管。

其实我们再看看Stuxnet伊朗核设施攻击案例——攻击者选择的是利用西门子工业控制系统的安全漏洞，这是事先业界几乎都无人知晓的薄弱环节。

那如何能够应对掌握大数据分析这类高科技武器的网络犯罪分子呢？信息安全业界专家们常常呼吁复合型跨学科的安全人才，来进行信息安全风险评估，的确，万精油式什么都懂的安全精英在适当的环境和舞台下能够全面发掘业务流程中的安全弱点并提供修复建议。然而这种人才是很难培养和获得的，也是如同夏洛克福尔摩斯一样的稀缺资源。

有没有替代的方案呢？昆明亭长朗然公司James说：最佳的方案是让业务一线人员了解基本的信息安全理念，让他们将这些理念应用到实际工作之中，这样，业务流程中的安全漏洞方能被有效发掘和修复。

信息安全人员通常发现不了业务流程中的安全问题，是因为信息安全人员不是业务流程方面的专家，简单说不懂业务。而业务流程相关人员通常也发现不了业务流程中的安全问题，是因为业务部门人员不懂信息安全。传统的思维是让信息安全人员学习更多业务相关知识，了解更多业务流程，为什么不换一个角度，让业务人员了解更多信息安全知识呢？

大数据分析是业务流程的创新，离不开业务人员，网络犯罪分子在利用大数据分析来发现安全漏洞，我们要做的是在大数据分析领域超越这些坏家伙们，武装起我们的业务团队人员的头脑，早于坏家伙们之前发现业务流程中的安全漏洞并及时修复之。

要让众多专注于创新和效率的业务单元部门员工们了解基础的信息安全理论和知识，我们无疑需要强化基础信息安全意识教育，并鼓励员工们积极思索和找寻业务流程中的不安全因素和潜在安全隐患，并与信息安全团队人员保持密切沟通和交流。昆明亭长朗然科技有限公司，专注于保障信息安全管理团队与业务部门或单元的顺利沟通，欢迎和我们联系洽谈业务合作。