针对大型网站的黑客攻击令多数注册用户的机密数据如邮件地址和密码等外泄，各类媒体对这些密码泄露事件也大肆渲染，唯恐天下不乱，而各路安全公司也乘势煽风点火，推销安全产品，不过具有讽刺意味的是，不少知名的媒体网站和信息安全公司同样也难逃被黑客攻击带来巨大损失的噩运，一时间，人们谈黑色变，人心惶惶。

同时不可否认的是，安全事故也有其积极正面的意义，灾后重建会拉动社会对安全控管的需求，创造新的商业和就业机会，还能刺激安全科技创新，然而对于多数受灾并不太严重的组织，最重要的还是：人们的安全意识得到了提升，安全觉悟得到了提高，这比什么都重要，人心齐，泰山移，不需要人人都有高深莫测的防黑技艺，只需普及一般的安全常识，便可让大多数黑客知难而退、无功而返。

不过，别以为看看别家遭黑客袭击，在安全方面遇到了灾难事故，自家就可以从中吸取到足够的失败教训，而且，大多数人并不会因为旁观了一把就会将安全意识提升到充足的水平。

最基本的，几乎所有的业务部门的总监经理主管们都知道：安装防病毒软件可以防范恶意代码。然而，知晓防病毒软件必须得到及时更新的并不多见，知晓即使防病毒软件得到了及时更新，却仍有可能不及新型恶意代码的出现速度的则更是凤毛麟角。

昆明亭长朗然公司在2011年进行的一项企业员工安全意识调查结果表明：高达96％的受访者仍然将防病毒软件视为最重要的信息安全保障措施，然而同样是96％的受访者却仅仅只愿意全盘扫描那些被怀疑或确认受到感染的电脑，只有接近2％的员工会在电脑出现异常时检查防病毒软件是否得到了启用和更新。

当然，我们不能渴求用户个个都成为信息安全专家，毕竟多数用户的首要工作职责还是为公司创造产值，并非防范病毒、击退黑客或者保护信息系统和信息数据的安全。但是如果普通信息系统用户连基本的计算机安全常识都不具备的话，在科技变革日新月异的时代，再厉害的安全技术防范措施也会显得苍白无力，甚至无济于事，因为多采用一项创新科技，就会多带来一些安全隐患，在安全威胁日益增多的时代，尤为如此。

再以我们的这项企业员工安全意识调查为例，计算机的病毒防范理念尚如此之不容乐观，其它的计算终端呢？便携式移动计算设备呢？智能手机、平板电脑呢？即时通讯和社交网络应用呢？社会学工程攻击呢？诸如此类的安全防范理念，多数普通用户几乎没有一点儿概念，当然结果就是大量的安全威胁通过利用这些渠道成功入侵了企业的内部网络、渗透了关键的信息系统、窃取了重要的机密数据、影响了业务的正常运作、甚至导致了重大的失败……

诚然，为了保障信息安全，各类型的组织或多或少部署了不少的安全产品或技术流程，如防火墙，入侵侦测与预防、数据丢失防范、访问控制与安全评估等等，这些安全产品或技术流程往往包含多种安全控管措施，可以实现多种控管目标，确实有必要实施一些，然而想靠这些来实现保障组织安全的总体目标显然不够，一方面各类控管措施都是针对各类角色的各种行为，控管措施的实施者、操作者、使用者或受影响者可能并不理解或认同这些控制目标和措施，这可能会严重影响到安全控管的效果，所以，这些不同的角色都需要接受适当的安全培训，最终接受并支持这些控管措施；另一方面，从安全管理角度讲，安全专家们也常说做好安全需要3P，People，Process，Product，即人员、流程和产品，这里面People即人员是最首要的，甚至有极端的安全技术极客们如世界顶级黑客米特尼克等等宣称，当今组织可以不建立标准化的安全流程和制度、不安装指定的防病毒软件产品，只需加强员工基本的信息安全意识。虽然安全技术极客们艺高人大胆，而且基本的安全意识观念中已经包含遵守安全流程和使用防病毒的必要性，但是安全极客们的这番话仍然显示出信息安全意识教育的重要性。

也正是不断曝光的网络安全事故引起人们对信息安全意识的关注，也正是因为信息安全意识越来越受到人们的重视，各类型组织开始不断加强员工的安全意识培训和安全文化教育，甚至有公司还始将信息安全意识培训当成新员工入职的必修课，而且每年都对全体员工进行安全意识再培训，传统上只重视网络信息安全设备和硬件的公司纷纷认识到这并不足够，开始将部分安全投资转向针对全员的信息安全意识。

亭长朗然科技有限公司的资深安全培训讲师Alice称：在发达国家，几乎所有的组织都有将员工的安全意识培训纳入到安全管理工作之中，政府及各类安全组织更是积极推进整个社会的信息安全意识建设水平，知名安全厂商如McAfee和Symantec等等也早都推出针对企业用户的在线安全意识培训课程；而在我国，只有极少数组织会将针对全员的安全意识培训列入日程，在线的即通过电子学习方式进行的信息安全意识培训则更是方兴未艾，虽然是新生事物，但是无疑在线培训有其独特的优势——可以让员工随时随地自由学习，更能快速实施大规模培训，并且及时获得培训的绩效，这种新颖的方式值得大家去尝试，特别是那些尚未进行过课堂现场培训的客户更应一步到位，就好似在当今的非洲大地上，人们不用拉固定电话直接使用移动手机那样，大跨步体验现代科技带来的便利和高效。

越来越多的证据表明，组织网络安全面临的最大威胁来自内部人员。这种威胁可能包括员工、合作伙伴或供应商利用其内部位置和特权，故意或无意地泄露机密信息、滥用系统访问权限，或者进行其他恶意行为。典型的情况如：员工经常因共享密码、使用公共无线网络发送敏感信息或不保护社交媒体帐户的隐私而使组织面临黑客攻击的风险。内部威胁对组织的影响可能非常严重，导致数据泄露、财务损失、声誉受损等后果。

因此，了解内部威胁并采取相应的防范措施是保护组织安全的重要步骤。这些措施可以包括建立强大的身份验证和访问控制机制、监控和审计系统活动、提供适当的培训和教育以提高员工的安全意识、实施安全策略和程序等。简言之，内部威胁是一个需要组织和员工共同解决的问题，从而确保信息和资产的安全。

此外，还有另一种内部威胁，乍一看似乎无害，但是我们每位员工都可能深陷其中，研究人员将其称为“网络游手好闲”。昆明亭长朗然科技有限公司网络安全研究团队的一项新研究表明，使用工作计算机进行个人互联网浏览的做法如果太过分，则可能会对组织造成严重的安全威胁。

大多数组织里，员工们偶尔会查看社交媒体或从工作计算机发送私人邮件。尽管移动计算设备功能很强大，但是在某些情况下，员工们并不敢嚣张地在工作场所长时间刷手机，不管是玩手游、购物、闲逛还是刷短视频。不过，不要被表面所迷惑，事情的真相可能是，员工们在工作电脑上花费大量时间更新自己的网站、观看视频甚至色情内容。据世界网络生产力调查评估，出于私人目的而在工作中上网是工作中第一大干扰因素。这会对生产力产生重大影响，研究表明，每位员工平均每天在网上闲逛时浪费两个小时。

生产力影响总体的产出价值，即使网络安全专家对此无甚兴趣，也不能反对，但是事情绝没有这么简单。深入的调查显示，参与严重网络闲逛的员工越多，他们遵守旨在信息安全政策、规则和协议的可能性就越小，对网络安全的威胁就越大。从心理学和社会行为学方面来讲，“网络游手好闲”的员工们有很多网络成瘾的行为，这一点印证了调查的部分结果——越多网上闲逛的人群对信息安全的了解越少。在这其中，那些网络闲逛较为严重的人群（例如更新个人页面、访问交友网站或下载非法文件），其网络安全意识明显更差。

通常，进行更严重的网络闲逛的人群不太了解如何保持在线安全以及如何保护敏感信息。原因之一可能是他们上网的决心如此之大，以至于不想关注有关在线安全的信息并忽视风险。另一方面，他们盲目相信他们所在的组织机构可以保护自己免受因冒险行为而可能导致的危害后果。在我们的调查中，那些在网络成瘾行为方面得分较高的人也更有可能对安全协议的认识和遵守程度较差。那些严重的网络闲散者和潜在的网络成瘾者是最大的风险。

对此，教育专家称：网络成瘾是一种上网的冲动，有时是为了助长对在线赌博或购物等数字活动的其他成瘾。上网的动力可能与其他任何身体成瘾一样，因此互联网对某些人来说就像毒品。这意味着表现出网络成瘾症状的人可能会更坚定地不惜一切代价上网，并且更有可能尝试绕过安全控管或忽视有关在线安全的建议。他们可能盲目自大，因为他们花了很多时间上网。或者他们可能无法完全理解风险，因为他们太沉迷于网络世界。

对于员工们来讲，网络成瘾是指对互联网使用过程产生过度依赖和不可自拔的心理现象。如何应对网络成瘾呢？首先了解自己的网络使用情况，设定合理的上网时间和目标。其次则是建立健康的生活方式，包括锻炼身体、拓展社交圈子和培养兴趣爱好。当然，更重要的是要学会克制网络使用方面的冲动，不要时刻保持在线状态。

对于组织机构来讲，所有这一切并不意味着应该切断员工们的所有互联网访问。能够上网是某些工作的必要组成部分，尽管过度使用互联网服务和工作信息系统可能会让组织面临风险，但是也不能因噎废食地开倒车。相反，组织应该建立网络使用帮助系统，不要简单认为员工们是成人，只要给其足够的工作任务，就可以压缩网络闲逛的时间，那样做可能会适得其反，令士气下降甚至逼走员工。

信息安全的重要性自不用多言，而达到保障业务安全的目标，并非仅仅IT管理员或专职安全人员的职责，保障业务信息安全和业务持续运作是组织中所有人的职责，要让每位员工了解和切实履行自己的安全职责，需要信息安全管理层和员工之间进行有效的沟通，而且这种沟通还需要持续不断地进行，这可不是一项轻松的工作。

对于员工们来讲，配合组织的网络安全工作，遵守工作中的网络安全纪律，也是职业道德的一部分。要理解网络是工作和生活的一部分，要学会合理运用网络，避免陷入网络成瘾的困扰。对于个人信息和隐私，要保持警觉，保护好自己的网络安全。如果已经沉迷于工作之外的网络使用，则应该逐渐减少使用社交媒体和游戏等应用的时间，转而去尝试其他有意义的事情。

组织可以采取多种措施来帮助减轻过度网络闲逛带来的风险，包括对严重违规行为实施非常严厉的处罚。但是话说回来，通过提供有效的网络使用规则及安全意识培训，使员工能够识别互联网滥用的各个方面并寻求帮助可能是一种更有效的管理工具。简单说，帮助员工们了解哪些网络行为是可接受的、哪些是不可接受的、哪些行为存在严重的风险等等可能会更有益，特别是通过案例和对话来传达这些风险的情况之下。

提醒一下，组织应该避免的简单地发送电子邮件提醒。研究表明，通过电子邮件发送有关信息安全潜在风险的信息效果最差。由于员工闲逛导致不断出现的安全事故、客户的安全顾虑、法律法规遵循的压力，让信息安全专家和管理团队疲于奔命、甚至痛苦难耐。不过这种局面即将过去，因为有了信息安全意识和培训服务将为我们的组织带来源源不断的信息安全文化甘泉，将正确的网络安全理念传导给员工们，网络闲逛和重度滥用等行为等会越来越少。

实际上，大部分的安全管理人员都已经认识到信息安全意识的重要性，只是在落实到具体工作，如设定安全意识培训的目标、进行安全意识教育的规划时往往无从下手，不知道如何完成这项光荣而艰巨的任务；另外，也由于缺乏足够的最佳实践参照标准和方法而不知如何着手开始工作，这让信息安全意识培训落入到一个尴尬的境地。现在，网络闲逛导致生产力损失的问题，各部门的主管经理总监们肯定不会忽视，网络安全团队应借机借力，打击网络闲散行为、强化网络防御体系、关注员工身心健康、提升组织赢利目标，一举多得。

防止内部威胁和网络闲逛导致安全违规的最佳方法是制定一个信息安全意识沟通计划，以便可以有条不紊地执行。昆明亭长朗然科技有限公司创作了大量的网络安全宣教素材资源，其中包括防网络沉迷、应对内部威胁、保护敏感数据等主题，欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品及洽谈合作事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com