近日，海外安全技术极客Dave Aitel发表博客称进行安全意识培训是在浪费金钱，他的主要观点是靠人力无法有效阻止网络钓鱼和社交工程攻击，只能靠技术手段。

这篇文章引来了不少观众的关注和回复，当然几乎所有观众都不苟同他的观点。

我们可以理解Dave Aitel这篇文章的意图主要是为了让人们强化安全技术控管能力，然而要强化安全技术控管，首先要让实施安全技术的员工们认识到组织环境所面临的安全威胁，以及如何通过技术措施来降借这些安全威胁可能带来的风险，难道技术人员们天生就拥有这些必要的认识和掌握了相关的安全技能，不需要学习也不需要参加培训吗？显然不是的，无法将技术人员对安全的认知同安全技术措施如防火墙和防病毒系统的使用划分出来。

实际上，我们从安全技术人员的角度来看问题，技术人员往往希望通过技术来解决问题，进而彰显自己的技术水平和对组织的贡献能力，这是很积极的想法，并没有什么不正确。问题只是技术人员在组织内往往站立的角度并不够高，无法从综合全局来深挖安全问题的根本原因和采取适当的战略决策选择，所以当技术人员看到安全管理层在对最终用户进行安全意识培训时，往往会觉得通过简单的技术手段便可以实现安全意识培训所想达到的控管目标，然而员工并非机器，他们不可能像电脑系统一样能够接受技术人员的指令操控和摆布。

除了安全技术服务人员以及使用这些安全技术的最终用户都需要接受适当的操作使用培训之外，安全控管措施并非仅限于技术，实际上我们查看ISO 27001国际安全管理标准，更多的是管理方面的安全控制措施。亭长朗然公司的安全管理专家Bob Xue说：安全技术手段也需要在正确管理和指导之下实施，没有适当的评估、规划和组织，没有基本项目管理的技术系统实施是无法想象的。

假如你是网络安全技术人员，就拿防火墙这个或许是你最熟悉的控管措施来说，配置策略和规则的依据从何而来？当然按照保障业务安全的需要，而不是技术人员的主观想象，要搜集这些需求肯定要进行相关的沟通协调吧，想想如果没有基本的安全访问控制理念的业务负责人说“来开你的防火墙别挡道”，你将如何应对？要实施防火墙的新规则，你总得找个适当的时间吧，想想如果在业务运行的关键时刻你却搞瘫痪到了防火墙的配置规则，被领导大骂一顿，你是不是该学习学习变更管理控制的基本安全理念？你可能觉得这些基本的理念人人都有，细想相这些基本的安全理念在你初入职场之时有概念吗？

你上了防火墙后不久，就有技术水平稍厉害的员工不认同你的出发点，认为你不是想进行保护而是想限制，于是悄悄启动了其它不安全的外联措施，或找歪门邪道手段穿越了你的防火墙，你是外加一台外联监控系统省钱呢？还是升级成更高档的防火墙省钱呢？还是同那员工及经理好好聊聊安全，让其心服口服不再尝试各类可能的“越狱”措施而省钱呢？

再说说密码安全，你可能觉得启用复杂密码策略是一项不错的控制手段，更能防范黑客的暴力猜解，然而你能不同最终用户沟通就启用，然后搞得用户怨声载道报怨无法设置密码吗？你愿意让复杂密码被用户写下来，贴在电脑边或记录在桌面一个文本文件中么？对这些最终用户进行简单的密码安全培训省钱呢？还是统统加置硬件令牌省钱呢？再进一步，如果用户随意丢弃硬件令牌，是不是再换成生物特征识别系统更省钱呢？

再举一例说说数据安全保护，立项上马数据泄露防范DLP系统吧，确实对重要的数据保护有必要实施一些技术措施，然而是不是上了透明的安全加密系统让员工在不知不觉中使用重要文件就可以了呢？DLP不要调整一下以适合组织的员工使用环境和习惯吗？倘若你的公司在紧张准备标书时，一个电话来了自称是“客户”的家伙问了问你公司的标底，接电话的员工不敢得罪“客户”，乖乖报上价钱，那你是否要弄一台电话版的DLP，用来识别语音入侵呢？如果那员工将关键的报价数据牢记于心，在回家的半路上泄露给为竞争对手工作的老朋友，那你是否还要上一套机密文件内容记忆消除装置呢？还是通过简单培训员工的安全保密常识更省钱呢？

黑客级的安全从业人员喜欢把玩渗透测试，应该知晓现今意义上的渗透测试远不是使用扫描软件找出漏洞然后溢出系统拿到权限或SQL注入拉出记录这么简单了，除非客户真笨到基本的安全加固措施都未到位，比如那些都不知安装关键的安全补丁的安全小白。实际上，更多的安全渗透测试攻击人员开始关注“社工”即社会工程学在渗透测试攻击中的作用。社会工程学攻击往往是黑客利用人类的一些天性特点，比如好客心、好奇心、同情心、虚荣心甚至贪婪欲望等等，来骗取受害者的信任进而获得有价值信息，或也有加上其它的攻击手法如钓鱼网站或传输后门程序等等来达到控制终端的目的。要帮助用户克服人类天性的弱点，要想通过技术手段显然有些离谱——还不如让心理学家来更为专业。

简单说，组织上下所有员工都需具备基本的安全认知，只有这样，方可在安全管理相关事务中进行有效的沟通和协调，安全技术控措施方能得以顺利实施和发挥效力。昆明亭长朗然科技有限公司的安全顾问James Dong说：要有效防范各类安全威胁和降低业务所面临的安全风险，无疑需要对相关人员进行必要的安全意识培训，以便能有效识别那些安全威胁，并且在此基础之上掌握防范安全风险的必要技能。有俗话说：初生牛犊不怕虎，一方面是赞扬小牛的勇气和胆量，另一方面则表现出小牛对安全威胁即老虎的正确认识不够，组织内多数员工在技艺高超的黑客面前又何偿不是小牛对猛虎呢？

网络安全技术人员不会为组织内其他员工的不安全网络使用行为负责，正如整个组织的安全并非仅仅是安全职能服务部门的职责一样，安全应该渗透到组织内的各个工作流程之中。所有安全控管手段的实施者和受影响者都离不开人员，人员如若没有适当的安全意识，安全技术手段就成了虚无飘渺、无法在组织中落地的空中楼阁。

简单总结说：使用技术控制手段是人类的安全行为中典型表现方式的一种，而安全的行为源自对安全的正确认知，正确的安全认知又源于适当的安全意识教育培训和学习。在组织内部实施安全意识教育，不仅不是在浪费金钱，而是通过使用较少的资源投入来帮助提升其它各类安全控管手段的效力，和弥补这些安全控制措施的不足。

引言

信息时代，数据如同国家的命脉，企业的灵魂，个人的记忆。一份看似微不足道的数据，可能撬动巨大的利益，引发难以想象的后果。数据安全，不再仅仅是技术问题，更是国家安全、社会稳定、经济发展的重要基石。然而，在快速发展的信息洪流中，数据泄露事件层出不穷，稍有不慎，便可能酿成绝密风暴，让数据堡垒轰然崩塌。本文将通过一个充满活力、趣味性与悬疑的故事，警示数据安全的重要性，并深入剖析数据泄露的常见原因和防范措施。

第一章：神秘的“数据猎人”

故事发生在一个名为“未来科技”的创新型企业。这家企业汇聚了众多顶尖人才，致力于人工智能、大数据等前沿技术的研发。李明，一位才华横溢却有些玩世不恭的系统工程师，是“未来科技”的核心骨干。他擅长破解各种复杂的系统，但对保密工作总是抱着一种漫不经心的态度。

“李工，这批数据非常重要，必须严格保密！”技术的负责人赵琳，一位严谨干练的女性，总是对李明的工作成果赞赏有加，但对他的保密意识却十分担忧。“这是我们公司最新的人工智能算法模型的核心数据，一旦泄露，竞争对手将会迅速超越我们！”

李明不以为然地笑了笑：“赵姐，你多虑了，我这台电脑设置了复杂的密码，而且还有防火墙，谁能破解进去？”

赵琳摇了摇头：“仅仅依靠技术手段是不够的，我们更需要建立完善的保密制度，加强员工的保密意识培训。”

就在两人争论的时候，公司内部出现了一个神秘的“数据猎人”。他（或她）似乎对公司的核心数据了如指掌，而且能够巧妙地绕过所有的安全防护措施，将数据盗取出去。

与此同时，公司另一位资深工程师王刚，一位性格内向、沉默寡言的技术专家，对数据安全问题十分敏感。他敏锐地察觉到公司内部存在潜在的安全风险，并多次向管理层提出警示。然而，他的意见却被忽视了，认为他过于杞人忧天。

王刚独自展开调查，他发现公司内部的无线网络存在漏洞，一些员工使用了不安全的无线网络连接，这给“数据猎人”提供了可乘之机。

“必须尽快修复这个漏洞！”王刚焦急地向管理层汇报。“否则，公司的数据安全将受到严重威胁。”

然而，管理层认为修复漏洞需要耗费大量的时间和精力，而且可能会影响正常的办公效率，因此拒绝了他的请求。

第二章：漏洞百出的“数据堡垒”

“未来科技”公司的数据安全管理存在诸多漏洞。首先，员工的保密意识普遍薄弱，对数据安全的重视程度不够。许多员工随意使用弱密码，或者在公共场合谈论敏感信息。

其次，公司的网络安全防护体系不完善。防火墙和入侵检测系统虽然到位，但配置不合理，无法有效抵御各种复杂的网络攻击。

再次，公司的内部管理制度存在缺陷。对核心数据的访问权限控制不严格，导致一些非必要人员也能够访问敏感信息。

此外，公司对员工的保密教育和培训不足，缺乏定期的安全意识提升活动。

“你们看看，这就是我们公司的数据安全状况！”王刚无奈地向赵琳展示了公司内部的安全漏洞。

赵琳看着屏幕上密密麻麻的安全风险，感到十分震惊。她意识到，公司的数据安全正处于一种极其危险的境地。

“必须立即采取行动！” 赵琳果断地说道。“我们不能再坐视不管了。”

赵琳向管理层提交了一份详细的安全报告，并提出了加强数据安全管理、提升员工保密意识、完善网络安全防护体系等一系列建议。

管理层终于意识到问题的严重性，开始重视数据安全工作。他们立即成立了一个数据安全专项小组，负责制定和实施数据安全管理制度。

第三章：数据泄露的真相

经过周密的调查，数据安全专项小组发现，公司内部的一名实习生张强，竟然是“数据猎人”。张强是一名计算机专业的学生，他利用自己掌握的专业知识，绕过了公司的安全防护措施，将核心数据盗取出去。

张强的作案手法十分巧妙。他通过钓鱼邮件，获取了公司内部员工的账号和密码。然后，他利用这些账号和密码，登录到公司的内部系统，将核心数据下载到自己的电脑上。

更令人震惊的是，张强并非是单独行动。他接受了一个境外公司的指使，将公司的核心数据提供给他们。这个境外公司是“未来科技”公司在人工智能领域的竞争对手。

“没想到，竟然是张强！” 赵琳感到十分震惊。

“他怎么会做出这样的事情？” 王刚也感到难以置信。

经过审讯，张强承认了自己的罪行。他交代说，自己因为经济困难，接受了境外公司的金钱诱惑，才决定盗取公司的核心数据。

“我没有办法，我需要钱！” 张强懊悔地说道。

第四章：亡羊补牢，重建“数据堡垒”

在数据泄露事件发生后，“未来科技”公司立即采取了一系列补救措施。首先，他们立即修改了所有员工的账号和密码，并加强了密码管理制度。

其次，他们升级了防火墙和入侵检测系统，并完善了网络安全防护体系。

再次，他们加强了对核心数据的访问权限控制，只有经过授权的人员才能访问敏感信息。

此外，他们加强了对员工的保密教育和培训，定期组织安全意识提升活动。

“这次事件给我们敲响了警钟！”赵琳感慨地说道。“我们必须时刻警惕数据安全风险，并采取有效的措施加以防范。”

王刚也说道：“数据安全不是一蹴而就的事情，我们需要建立一个长期的、持续的数据安全管理体系。”

经过一段时间的努力，“未来科技”公司的数据安全管理水平得到了显著提升。他们成功地重建了“数据堡垒”，并将数据安全风险降到了最低点。

第五章：意外的反转与更深层次的威胁

就在“未来科技”公司以为已经度过危机的时候，一件意想不到的事情发生了。王刚在调查数据泄露事件的过程中，发现了一些蛛丝马迹，表明张强并非是单独作案。

“赵姐，我怀疑张强背后还有更深层次的威胁！” 王刚焦急地说道。

“什么意思？” 赵琳感到十分疑惑。

王刚解释说，他在分析日志文件的时候，发现了一些异常的网络连接，这些连接指向公司内部的一名高管——技术总监李伟。

“李伟？” 赵琳震惊地说道。“这怎么可能？”

王刚表示，他已经掌握了确凿的证据，证明李伟与境外公司存在勾结，而且他才是这次数据泄露事件的幕后主使。

“他为什么要这样做？” 赵琳感到难以置信。

王刚解释说，李伟一直在觊觎“未来科技”公司的核心技术，他计划将这些技术盗取出去，自己成立一家新的公司，与“未来科技”公司竞争。

“他真是太卑鄙了！” 赵琳怒火中烧。

在王刚的协助下，警方展开了调查，最终证实了李伟的罪行。李伟被捕入狱，等待他的将是法律的严惩。

案例分析与保密点评

通过以上故事，我们可以看到，数据泄露事件的发生，往往是多种因素共同作用的结果。一方面，员工的保密意识薄弱，缺乏基本的安全知识和技能。另一方面，公司的安全管理制度不完善，缺乏有效的安全防护措施。此外，内部人员的恶意行为，也可能导致数据泄露事件的发生。

从保密工作的角度来看，我们需要采取以下措施：

1. 加强保密教育和培训。定期组织员工参加保密教育和培训，提高员工的保密意识和技能。

2. 完善安全管理制度。建立完善的安全管理制度，包括账号密码管理制度、数据访问权限控制制度、网络安全防护制度等。

3. 加强技术防护。采用先进的安全技术，包括防火墙、入侵检测系统、数据加密技术等，加强对网络和数据的安全防护。

4. 加强内部审计。定期进行内部审计，检查安全管理制度的执行情况，及时发现和解决安全隐患。

5. 加强内部管控。加强对内部人员的管控，防止内部人员进行恶意行为。

6. 建立应急响应机制。建立完善的应急响应机制，一旦发生数据泄露事件，能够及时采取措施，降低损失。

数据安全工作是一项长期而艰巨的任务，需要我们不断地努力和改进。只有这样，才能有效地保护我们的数据安全，维护国家安全、社会稳定和经济发展。

推荐产品与服务

为了帮助各行各业提升数据安全水平，有效应对日益严峻的网络安全挑战，我们提供全面的保密培训与信息安全意识宣教产品和服务：

• 定制化保密培训课程：针对不同行业、不同岗位的需求，量身定制保密培训课程，涵盖保密法律法规、保密技术、保密管理等内容。
• 信息安全意识宣教活动：通过举办讲座、研讨会、模拟演练等形式，提高员工的信息安全意识和技能。
• 安全风险评估与漏洞扫描：对企业的信息系统进行全面的安全风险评估和漏洞扫描，及时发现和解决安全隐患。
• 安全应急响应演练：模拟各种网络攻击和数据泄露事件，组织安全应急响应演练，提高应急响应能力。
• 安全咨询服务：提供专业的安全咨询服务，帮助企业制定和实施安全管理制度，提升整体安全水平。
• 实战演练系统：模拟逼真的网络攻击场景，通过互动式学习，提升员工的安全防御能力。

我们致力于成为您值得信赖的安全合作伙伴，共同构建安全、稳定、可靠的信息环境。

昆明亭长朗然科技有限公司为企业提供安全意识提升方案，通过创新教学方法帮助员工在轻松愉快的氛围中学习。我们的产品设计注重互动性和趣味性，使信息安全教育更具吸引力。对此类方案感兴趣的客户，请随时与我们联系。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898