当今的各类组织面临着一系列的安全挑战，包括终端安全、法规遵循和自带计算设备BYOD等等。通过实施必要的网络安全控管措施，比如常见的内网安全套件、桌面安全套件，网络信息系统管理员可以实现一定程度的控管目标，但是通常并不足够充分。

网络信息安全技术和产品呈现整合趋势，各类控管措施的功能越来越强，随之的软件设置也越来越复杂，这将导致实现一种控管目标需要庞大的工作量，特别是细力度和动态的控管需求会让负责任的信息系统管理操作员精疲力竭，日程月累，最终系统管理员只能选择放弃那些复杂的系统设置。

实际上，多数网络安全控管系统并没有发挥其主要的功效，有的甚至成了摆设，终其原因，不是网络管理员技术不足或偷懒，而是没有处理好与相关人员之间的关系。拿上网行为管理系统来说，多数组织都没有明确的互联网使用安全政策，全凭IT部门的经理主管和系统管理员拍脑袋来制定各类网站的安全访问规则，这显然是很搞笑和不靠谱的。

此外，还有技术层面的问题，不少网络信息安全产品为了渗透市场，往往会添加同类产品的部分功能，但是又非核心功能，所以控管力度不精细，这就会出现为实现一个目标有多个控管措施，而多项 控管措施之间互相冲突和碰撞的问题，比如为了控制员工使用某些互联网聊天软件，有管理员喜欢添加到聊天服务器的虚假路由；有管理员喜欢从防火墙层面设置访问列表，屏蔽即时通讯服务的认证服务器和网络协议；有管理员喜欢在代理服务器设置访问限制，阻断相关的网络通讯流量；当然也有管理员喜欢使用上网行为管理或上网审计系统来进行相关的控制；还有管理员喜欢从桌面应用安全策略上进行相关的设置……

不要指望这些冲突和碰撞在科技不断创新的大潮中会减少，相反，在竞争日益白热化的市场，即使冲突和碰撞不会变得严重，也会增加信息系统、网络信息安全控管和法规遵循的复杂度，最终让控管本身变得得不偿失。

实际上，市面上多数的网络安全产品都是多余的，至少并没有太大的必要去实施，特别对那些没有明确的安全方针政策和标准的组织更是如此，安全服务价值的接受度不高逼使安全厂商拼命研发和制造安全控管产品，进而通过忽悠客户来“创造”新的市场需求，这显然是本末倒置，“屁股指挥大脑”的一种网络信息安全市场怪相。

要解决终端安全以及信息安全相关的法规遵循问题，就要摆正信息安全中关于流程Process、技术Product和人员People的关系，三者相辅相成，缺一不可。不过现状是在安全控管流程Process方面，市场对安全管理咨询服务和安全解决方案设计服务等等的接受度高，但愿意花钱的不多；在人员People的安全资质和防范技能方面，认识到通过必要而适当的安全意识教育来提升员工安全水平的很多，但知道如何有效建立和实施信息安全培训方案的很稀少。

相比被市场牵着鼻子实施安全硬件设备又将其闲置，加强信息安全方面的软实力，对员工进行信息安全意识教育和培训，可以减轻网络信息安全系统管理员的工作负担，更能在节省资源的情况下获得更良好的终端安全控管绩效。而信息安全法规遵循不仅重点看各类安全方针政策和标准流程，更注重核查相关的记录和结果，以及否有人员参与必要的安全意识培训和流程沟通活动之中。

越来越多的信息安全部门被要求采取复杂的任务和承担更多的责任，以合乎适用安全法规的要求并实施行业最佳安全实践。那么，IT安全专业人员们该何去何从呢？昆明亭长朗然科技有限公司网络安全专员董志军表示：面对诸如《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》等，加之细化的条例及行业规范，仅仅只是确保合规的工作量，例如建立及维护工作制度流程，检查和确保在内部的实施情况，存储和保持工作记录，应对内部沟通和外部审计等等，就需要至少两名全职安全专业人员；而各个相关岗位的信息安全工作量也要增加，要不断梳理工作流程，加码对新规的遵循，保留工作记录，这些“纸面”文书工作的重要性和耗时不亚于部署一套控管系统。那么，该如何“化繁为简”呢？解决复杂性的答案在于意识培训。

在信息技术方面，我们为员工提供完成工作任务所需的越来越复杂的计算环境，例如，我们要求系统支持多种语言和多种不同的计算设备，每一种设备都有自己的细微差别。对于网络防御者来说，确保一切都达标、正确配置和架构变得越来越困难，这为攻击者提供了在复杂环境中利用这些差距的机会。

当然，我们有很多不同的方法来解决越来越复杂的网络安全威胁，最常见的方式是使用强大的技术侦测及防范系统，比如入侵检测与防范系统、消息检测及内容过滤系统等等。不过，网络通讯协议越来越趋向端到端加密，这些系统就会暴露出其天然的不足。那么，在网络安全上该怎么弄最为有效呢？培训员工安全意识远比购买最新的安全小玩艺儿或小发明更为有效和省钱。因为训练有素、消息灵通的员工能够更好地帮助组织降低网络风险。

当然，安全培训不仅仅针对安全专业人员，也还针对终端用户。传统上，信息技术团队中的专业人员更需要接受更好的安全培训，但是随着大集中式云计算及分布式移动计算的普及，安全培训更应普及整个组织机构，包括董事会和高级管理人员，他们越来越成为定向钓鱼之类攻击的目标，这种有鱼叉式网络钓鱼针对真正的“大鱼”进行。当然，除了高管之外，所有人员都与网络安全息息相关，所有员工都是信息用户，处于网络前线，无论是在家里还是在办公室，也都是网络犯罪分子攻击或利用的目标。因此，信息安全培训需要量身定制，并且需要对整个员工队伍持续不断地进行。

为什么要必须持续不断地进行安全意识训练呢？在军队中，最好的训练方式是通过攻防演习、模拟测试和实战拉练。在网络环境中，每个组织也应该将其作为日常工作节奏的一部分。日常节奏应该包括定期的网络演练。如果发生这种情况，该怎么应对呢？护网行动，红蓝对抗等等都是不错的行动，通过演练，我们可以知道哪些信息最重要，有哪些漏洞或弱点，该如何保护重要资产？在遭遇非常糟糕的事件时，该做些什么？该如何保持潜在投资者、当前投资者、监管环境等的信心？拥有一种通过实践不断改进的文化可以帮助更好地管理风险，帮助识别自己的优势和劣势。然后，可以根据演练和实战中的发现来调整资源，以便最好地管理网络风险。

多年来，昆明亭长朗然科技有限公司始终专注于信息安全意识培训领域，我们在信息意识培训方面，创作了大量的内容资源，包括平面设计图片、动画视频短片、互动电子课件等等，也为众多知名机构提供了定制化的卓越服务。

演变与创新是目前信息安全意识领域热议的话题之一，如果每年都做的相同的信息安全意识培训，会越来越没有效率。谁都不想一直“吃剩饭”，是吧？来点新鲜的内容或不同的玩法已经成为世界级组织机构正在采纳的作法，大量实践证明，这种持续进行的信息意识培训改进了组织的信息安全文化和员工们的安全行为。当然，也可以进行渗透测试和模拟钓鱼训练，通过游戏化的培训更为有效，通过模拟网络钓鱼并向员工展示网络威胁的所在，可以提高员工的安全知识，并更好地激励他们的风险意识。无疑，持续的安全意识培训可以为网络安全投资带来更好的回报，并促使组织的安全文化向更好的方向发展。

当我们审视网络安全时，通常是人员、流程和技术的结合。首先，从人员的角度来看，应该在整个组织范围内进行安全意识方式和内容的创新，进行模拟钓鱼和实践演习；从流程的角度，强化员工队伍审视工作环境、信息系统及日常作业流程中的隐患和弱点，工作人员更知晓相关流程中的弱点或漏洞，鼓励报告并及时整改能带来很多好处。最后，从技术的角度来看，我们可以看到大量的技术创新正在涌现，例如威胁情报、人工智能、软件定义边界、微分隔、零信任模型等等。人员、流程和技术要有效结合，不能顾此失彼，需要更多管理方面的措施。

昆明亭长朗然科技有限公司推出了大量的网络安全与保密意识宣传教育内容，包括动画视频、平面图片和电子课件资源，其中也有关于信息安全与隐私保护相关的法规科普，以及员工们需知的数据安全保护知识，欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com