不管从宏观的社会层面，还是微观的机构层面，内部威胁通常会将组织置于高危的风险之中。人为失误很容易导致组织的崩溃，小到客户的流失，大到政权的灭亡，无不例外。对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：人性的弱点深入骨髓、透进基因。人类文明不断演进，悲剧历史不断重演，原因在于人性的弱点依旧。制度文化的建设越来越稳固，而对制度无知、漠视、规避的情形一点都不见少，原因仍是人性的弱点。在网络安全领域，放眼全球，粗心或无知的员工仍然是造成严重安全事故的首要原因。

网络安全威胁将永远伴随着利益的博弈而存在，昨天玩的是系统安全，今天斗的是数据安全，明天拼的是业务安全。可以说威胁是越来越复杂、高级、智能，危害也越来越大。因此，国家将网络安全上升至国家安全的战略层面，企业也视网络安全为业务持续性的重要部分。不能忽视培训其员工面对网络安全的威胁和最佳实践的首要意义。在网络安全治理方面，国家花了大功夫，不断出台法规与制度，并搞出了一些大型项目和计划，比如网络安全法、等级保护、网络安全宣传周以及护网行动等等。

网络安全威胁不仅仅是病毒等恶意软件或脚本小孩，而是有组织的国家级的犯罪集团，特别是大型网络间谍和情报组织，不仅渗透政府机关高层和盗窃商业机密，还借助网络发动文化意识形态方面的入侵。为保国家安全、社会稳定与人民福利，在核心领域如关键信息基础设施领域实施等保整改及护网行动等等，是十分必要且紧迫的工作。然而，这些“运动”的效力如何呢？一家央企行业巨头的网络安全负责人称：尽管搞这些“运动”是自上而下“被迫”的，然而我们却非常欢迎，进而积极参与其中。网络安全“运动”的成果是显而易见的，我们发现了很多安全问题并进行了整改，包括修复了一些系统安全漏洞。

说到底，任何“运动”都会让一些人从中获得一些好处，网络安全“运动”也不例外，有“运动”得有预算，就得有交易。红蓝对抗表面上是在通过搞攻防演习发现安全漏洞，实际上是一群菜鸟工程师在进行低级的安全漏洞扫描以及昂贵的渗透测试表演。应急演练更是成了彰显网络安全管理“成就”的秀场，可笑的是，即使事先排练好要给领导看的，也常常会造成临时的意外事故。究其原因，不是搞“运动”的错，“运动”的出发点是好的。此外，不管做什么事，成绩肯定是有的，通过“运动”发现技术弱点或管理漏洞等安全问题并解决问题，就是可以秀的成绩。然而，真正的问题并不是通过“运动”发现安全弱点或漏洞，这些安全弱点或漏洞本应在日常工作中发现并解决。为何要等到搞“运动”和借用“外力”呢？表面上看，这个问题的答案似乎在于内部安全力量的薄弱，然而，其范畴远远超出内部专业人员的安全水平，而是包括全体人员在内的一个整体。因此，不要希望针对专业人员搞搞安全技术和管理知识培训就可以高枕无忧了。从某种意义上讲，正是内部威胁的强大，压制着内部安全力量的提升，要靠“外力”不能说是徒劳，但可以说解决不了根本。就比如对于人体来讲，不通过内部肌体的锻炼强化，仅靠外部食药进补，就想获得健康，必然是不够的。

内部威胁是内部安全力量体味最深却最不想面对的，反腐常讲一句话，就是要“刀刃向内，刮骨疗毒，自我革命”。网络安全亦是如此，根源问题是内部威胁，需要强化内部网络安全管理。在这方面，外部的“供应商”的核心目的是搞钱，他们有多大动力和能量，能搅动出多大的波澜？对于内部威胁，网安人越是逃避，他们就越强大。因此，要积极面对，迎难而上。不是东风压倒西风，就是西风压倒东风。经历痛苦，走过转折点，坚持推进，就是胜利，乘胜追击，巩固成果。不要看动动嘴皮，说起来容易。需知，内部威胁不仅仅是孤立的，通常会被外部威胁所利用，甚至“内外勾结”串通起来。同时，内部威胁并非外部敌对势力，内部威胁带来的网络安全问题只是人民群众之间的内部矛盾，并非你死我活的阶级矛盾，所以，要成功应对，需要一定的智慧和手腕。切记：网络安全人员的秘密工作武器不是搞整风等政治运动，最稳妥的方法就是对内部员工们进行持续的网络安全教育，将其头脑用网络安全知识武装起来，赋予其网络安全常规技能，进而将网络安全方面的无知者转变成为智者和斗士。

那么，员工如何应对旨在窃取数据或任何其他有价值信息或服务的高技能犯罪分子、恶意黑客甚或国家级的网络部队呢？研究表明，大多数数字攻击都是通过极富创造性和诱骗性的网络钓鱼尝试及其他相关努力来利用人为因素的尝试。几乎90％的数据泄露是由人为错误引起的，因此增加了对员工进行持续网络安全教育的需求。恶意攻击者和其他技能娴熟的黑客通常会试图诱骗用户，让他们尽早实现对信息系统的登录尝试，从而使他们尽早访问到高价值的信息数据。因此，人们可以将其视为任何组织的网络安全防御中最薄弱的环节。这就是为什么在大多数情况下，人们是使用网络钓鱼攻击、网络钓鱼、社会工程、勒索软件和恶意软件等技术和工具的主要攻击者的原因。此外，与发现单个软件破坏组织或企业业务相比，人类更容易被进行大规模的恶意利用。尽管我们已作出所有必要的安排来改善现有的安全基础设施，但是人脑的无知将在国防战略中留下巨大的空白。借助社交媒体操纵舆论，推动社会运动或是政治革命已经成为最经济和快捷的网络战争方式。近年来，内容安全、文化安全、思想安全已经成为网络安全的重要课题，这些都与内部威胁和人员的安全意识密不可分，“人脑”的争夺致胜的关键还是得靠宣传教育。

网络安全意识培训对于所有的现代组织都很重要，特别是那些搞网络安全“运动”的关键信息基础设施领域。借助当前的IT基础架构，当今大多数黑客都在使用人工智能。对系统进行操纵造成的多数数据泄露行为都涉及某种程度的人为失误。因此，组织应该培训员工，避免受到社会工程学的攻击，以保护其开展业务的基本资源，并与客户进行完美的互动。最近，业界在网络安全攻防中提出了“人为因素”构建“人员防火墙”的概念。针对人性弱点的攻击越来越泛滥，唯一防御措施是通过教育或警示，即为员工提供安全意识培训。

总之，等保整改及护网行动也难以改变的网络安全困局，根源在内部威胁，集中表现为内部人员安全意识不足的问题，解决人性弱点问题的关键步骤在于教育，尽管人性的弱点问题非常复杂，还需要更多的措施，比如借助人工智高科技能的人员安全思想动态监管与提示系统。最后，本文提及一些“菜鸟工程师”、“低级”、“秀”、“运动”之类的用语，并不表示任何的贬低或歧视之意，只是想通过戏谑之词来引发读者的深度重视，某些机构或厂商也请不要对号入座。如果感觉受到了不良刺激，欢迎来一场网络安全真理与实践的口水仗。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898

人人都希望他们所属的组织机构更加安全。所谓“魔高一尺道高一丈”，随着黑客、内部威胁以及其它网络安全威胁的不断增加，正义的人们总能找到新的安全实践对策。

关注一下当前的新闻时事，就可以了解为什么那么多公司如此关注信息安全。各种关于黑客攻击、拒绝服务攻击、勒索软件和恶意内部人员泄密的媒体报导，都反映出各类组织机构每天都在面临着大量的网络安全威胁。

经媒体报导出来的只是众多安全事件的冰山一角，尽管如此，海量的入侵攻击和数据泄露还是能够表明许多公司和组织存在安全漏洞。毫无疑问，在威胁发展迅猛、合规性要求不断变化的这个时代，一家组织机构始终难以保护其数据的安全性。昆明亭长朗然科技有限公司企业安全专员董志军说：保障信息安全，并不需要高深莫测的谋略和技艺超群的武功。相反，搞好信息安全，真正需要的和经营人生及企业没有多大差别，它们就是努力工作和坚持不懈，这两点是保证安全性的坚实基础，同时做好这两点，也能很好地适应新的挑战。

有很多组织机构非常努力地使用技术控管措施来抵御外部攻击，他们也试图发现并阻止那些故意破坏系统的恶意内部人员。但是，大多数组织都没有对其员工提供最佳实践指南，以使其成为信息安全解决方案的一部分。

以下是一些能够帮上您的最佳实践，大多都是已有的安全技术，使用它们就可以来保护您所在组织的信息安全。

立即备份您的数据！

在过去几年中，由于勒索软件的兴起，数据丢失已成为一个严重的问题，勒索软件是一种危险的恶意软件，能够加密用户的数据，通常来讲，除非向攻击者支付“赎金”，否则无法恢复数据。

此外，由于硬件故障、病毒感染或其它原因，您可能会遭遇无法访问您使用的设备上存储的信息的情况。

外部硬盘驱动器是一种易于使用且经济高效的选择，将外部硬盘驱动器插入到计算机中，您就可以将要备份的重要文件直接复制到硬盘驱动器。

云存储是一种较为新兴的备份数据的方法，可以用于为数量较少的数据提供免费备份。

及时安装软件升级和补丁

请注意，如果您未能及时更新系统安全升级和补丁，那么您很容易沦为初级黑客的攻击目标。如果您从来没有进行过软件更新，那么您的漏洞将呈指数级增长，被入侵感染的几率也大增。

软件漏洞通常是操作系统或软件程序中的安全漏洞或弱点。黑客往往针对特定漏洞编写代码，并进行利用，进而将其打包到恶意软件中海量分发。

软件更新和补丁会执行大量的任务，它们适用于您的操作系统和各种软件程序。执行这些更新将为您的计算机提供大量修复，例如添加新功能、删除过时功能、更新驱动程序、提供错误修复等等，还有最重要的是，修复已发现的安全漏洞。

养成定期更改密码的习惯

迄今为止，密码仍然是最常用的身份验证方法。组织机构应采用适合其特定安全需求的密码策略，以应对可能受到的密码攻击。使用更多种类型的字符和更长的位数的密码在计算上更复杂，因此能更少被猜解或字典攻击。复杂的密码被认为更安全，但对于人类来说更难记住。

太短的密码不安全，太长的话，用户可能怕弄丢或遗忘而将它们写在记事本或便利贴上，从而破坏了应该将密码保持私密的目的和初衷。应定期更改密码，对密码的更改可以减少密码复用或被盗用的使用时间，但如果过于频繁，将可能导致用户简化密码或将其写下来。

组织机构的安全人员应该意识到，泄露的密码往往将在几分钟至数小时内就被滥用。强制用户经常更新密码并不会阻止这种情况发生。因此，更新频率应基于密码对攻击或被盗的敏感性以及使用它进行身份验证的重要性而定。应根据常用弱密码列表检查匹配所有的新密码。许多这样的单词列表是可以获得的，一个好的列表将包含数亿个单词。

教育和培训用户

安全意识应该是组织机构文件基因的一部分，并且自上而下和自下而上实践。无论用户们工作多么精练，在保护单位最有价值的信息时，用户们始终是最薄弱的环节。

好消息是，安全团队可以使用与组织的网络安全策略相关的定期培训和教育来降低这种风险。安全意识培训应包括如何识别网络钓鱼电子邮件及垃圾邮件、如何创建重型密码、如何避免危险应用程序、如何以安全的方式从公司获取信息、以及其他相关的用户安全风险应对提醒。

安全意识教育的方式可以有多种，根据组织机构的信息宣导环境条件，以及用户们的接受偏好，可以尝试使用海报挂图、电子期刊、邮件通知、在线培训、动画视频、线下活动等等沟通方式。

站稳脚跟应对风险

任何一家组织机构都难以承受安全方面严重受损带来的后果，无论您所在的工作单位有多大或多小，都需要制定安全计划以确保信息资产的安全。安全计划通常会提供一个安全管治框架，使您所在的单位保持在所需的安全级别。通常来讲就是使用风险管理的理念和方法，也就是通过评估所面临的风险、决定如何减轻风险、并规划如何使计划和安全实践保持最新。

遵循最佳的安全实践可帮助您保持对IT安全性的关注。它可以帮助您识别并遵守影响数据管理方式的规定。当然，这是正确的做法，因为保护数据的安全性与保护重要资产是一样的。

总之，搞好安全并不难，难在走上正路并坚持走下去。昆明亭长朗然科技有限公司致力于帮助各类型的组织机构走向安全正路，我们帮助客户策划、组织和实施安全意识宣教活动，我们提供多种形式的安全宣教素材内容，欢迎有兴趣和需要的单位和个人联系我们，洽谈采购与合作事宜。

昆明亭长朗然科技有限公司

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：info@securemymind.com

QQ：1767022898