近日，海外安全技术极客Dave Aitel发表博客称进行安全意识培训是在浪费金钱，他的主要观点是靠人力无法有效阻止网络钓鱼和社交工程攻击，只能靠技术手段。

这篇文章引来了不少观众的关注和回复，当然几乎所有观众都不苟同他的观点。

我们可以理解Dave Aitel这篇文章的意图主要是为了让人们强化安全技术控管能力，然而要强化安全技术控管，首先要让实施安全技术的员工们认识到组织环境所面临的安全威胁，以及如何通过技术措施来降借这些安全威胁可能带来的风险，难道技术人员们天生就拥有这些必要的认识和掌握了相关的安全技能，不需要学习也不需要参加培训吗？显然不是的，无法将技术人员对安全的认知同安全技术措施如防火墙和防病毒系统的使用划分出来。

实际上，我们从安全技术人员的角度来看问题，技术人员往往希望通过技术来解决问题，进而彰显自己的技术水平和对组织的贡献能力，这是很积极的想法，并没有什么不正确。问题只是技术人员在组织内往往站立的角度并不够高，无法从综合全局来深挖安全问题的根本原因和采取适当的战略决策选择，所以当技术人员看到安全管理层在对最终用户进行安全意识培训时，往往会觉得通过简单的技术手段便可以实现安全意识培训所想达到的控管目标，然而员工并非机器，他们不可能像电脑系统一样能够接受技术人员的指令操控和摆布。

除了安全技术服务人员以及使用这些安全技术的最终用户都需要接受适当的操作使用培训之外，安全控管措施并非仅限于技术，实际上我们查看ISO 27001国际安全管理标准，更多的是管理方面的安全控制措施。亭长朗然公司的安全管理专家Bob Xue说：安全技术手段也需要在正确管理和指导之下实施，没有适当的评估、规划和组织，没有基本项目管理的技术系统实施是无法想象的。

假如你是网络安全技术人员，就拿防火墙这个或许是你最熟悉的控管措施来说，配置策略和规则的依据从何而来？当然按照保障业务安全的需要，而不是技术人员的主观想象，要搜集这些需求肯定要进行相关的沟通协调吧，想想如果没有基本的安全访问控制理念的业务负责人说“来开你的防火墙别挡道”，你将如何应对？要实施防火墙的新规则，你总得找个适当的时间吧，想想如果在业务运行的关键时刻你却搞瘫痪到了防火墙的配置规则，被领导大骂一顿，你是不是该学习学习变更管理控制的基本安全理念？你可能觉得这些基本的理念人人都有，细想相这些基本的安全理念在你初入职场之时有概念吗？

你上了防火墙后不久，就有技术水平稍厉害的员工不认同你的出发点，认为你不是想进行保护而是想限制，于是悄悄启动了其它不安全的外联措施，或找歪门邪道手段穿越了你的防火墙，你是外加一台外联监控系统省钱呢？还是升级成更高档的防火墙省钱呢？还是同那员工及经理好好聊聊安全，让其心服口服不再尝试各类可能的“越狱”措施而省钱呢？

再说说密码安全，你可能觉得启用复杂密码策略是一项不错的控制手段，更能防范黑客的暴力猜解，然而你能不同最终用户沟通就启用，然后搞得用户怨声载道报怨无法设置密码吗？你愿意让复杂密码被用户写下来，贴在电脑边或记录在桌面一个文本文件中么？对这些最终用户进行简单的密码安全培训省钱呢？还是统统加置硬件令牌省钱呢？再进一步，如果用户随意丢弃硬件令牌，是不是再换成生物特征识别系统更省钱呢？

再举一例说说数据安全保护，立项上马数据泄露防范DLP系统吧，确实对重要的数据保护有必要实施一些技术措施，然而是不是上了透明的安全加密系统让员工在不知不觉中使用重要文件就可以了呢？DLP不要调整一下以适合组织的员工使用环境和习惯吗？倘若你的公司在紧张准备标书时，一个电话来了自称是“客户”的家伙问了问你公司的标底，接电话的员工不敢得罪“客户”，乖乖报上价钱，那你是否要弄一台电话版的DLP，用来识别语音入侵呢？如果那员工将关键的报价数据牢记于心，在回家的半路上泄露给为竞争对手工作的老朋友，那你是否还要上一套机密文件内容记忆消除装置呢？还是通过简单培训员工的安全保密常识更省钱呢？

黑客级的安全从业人员喜欢把玩渗透测试，应该知晓现今意义上的渗透测试远不是使用扫描软件找出漏洞然后溢出系统拿到权限或SQL注入拉出记录这么简单了，除非客户真笨到基本的安全加固措施都未到位，比如那些都不知安装关键的安全补丁的安全小白。实际上，更多的安全渗透测试攻击人员开始关注“社工”即社会工程学在渗透测试攻击中的作用。社会工程学攻击往往是黑客利用人类的一些天性特点，比如好客心、好奇心、同情心、虚荣心甚至贪婪欲望等等，来骗取受害者的信任进而获得有价值信息，或也有加上其它的攻击手法如钓鱼网站或传输后门程序等等来达到控制终端的目的。要帮助用户克服人类天性的弱点，要想通过技术手段显然有些离谱——还不如让心理学家来更为专业。

简单说，组织上下所有员工都需具备基本的安全认知，只有这样，方可在安全管理相关事务中进行有效的沟通和协调，安全技术控措施方能得以顺利实施和发挥效力。昆明亭长朗然科技有限公司的安全顾问James Dong说：要有效防范各类安全威胁和降低业务所面临的安全风险，无疑需要对相关人员进行必要的安全意识培训，以便能有效识别那些安全威胁，并且在此基础之上掌握防范安全风险的必要技能。有俗话说：初生牛犊不怕虎，一方面是赞扬小牛的勇气和胆量，另一方面则表现出小牛对安全威胁即老虎的正确认识不够，组织内多数员工在技艺高超的黑客面前又何偿不是小牛对猛虎呢？

网络安全技术人员不会为组织内其他员工的不安全网络使用行为负责，正如整个组织的安全并非仅仅是安全职能服务部门的职责一样，安全应该渗透到组织内的各个工作流程之中。所有安全控管手段的实施者和受影响者都离不开人员，人员如若没有适当的安全意识，安全技术手段就成了虚无飘渺、无法在组织中落地的空中楼阁。

简单总结说：使用技术控制手段是人类的安全行为中典型表现方式的一种，而安全的行为源自对安全的正确认知，正确的安全认知又源于适当的安全意识教育培训和学习。在组织内部实施安全意识教育，不仅不是在浪费金钱，而是通过使用较少的资源投入来帮助提升其它各类安全控管手段的效力，和弥补这些安全控制措施的不足。

引言：危机四伏，警钟长鸣

我们正身处一个数字化时代，信息如同空气般无处不在。互联网连接着全球数十亿人，驱动着经济发展，也承载着社会进步的希望。然而，在这便捷与机遇并存的数字世界里，潜伏着日益严峻的信息安全威胁。黑客的恶意攻击、网络诈骗的层出不穷、数据泄露的频繁发生，无一不敲响着安全警钟。

近年来，信息安全事件频发，不仅给企业带来了巨大的经济损失，更威胁着社会稳定。从大型企业的核心数据泄露，到个人账户被盗用，再到新兴的加密劫持攻击，这些事件无不警示着我们：信息安全，关乎国家安全，关乎经济发展，更关乎每个人的切身利益。

警示事件：数字时代的“潘多拉魔盒”

以下三个典型的安全事件，正是数字时代信息安全威胁的缩影：

1. 身份盗用：数字身份的沦陷

   想象一下，你辛辛苦苦注册的银行账户、电商平台账号、社交媒体账号，突然被他人非法使用，你的资金被盗、你的信用被损害、你的个人信息被滥用。这并非危言耸听，而是身份盗用事件的真实写照。

   身份盗用攻击通常通过多种手段实施，例如：钓鱼邮件、恶意软件、数据库泄露等。攻击者获取你的个人信息后，冒充你进行非法活动，例如：开设信用卡、贷款、购物、甚至进行诈骗。

   近年来，身份盗用事件层出不穷，给个人和企业带来了巨大的经济损失和精神打击。例如，2023年发生的一起大型银行身份盗用事件，导致数百万用户的账户被盗，损失金额高达数亿美元。

2. 加密劫持（Cryptojacking）：算力被“窃取”的隐形威胁

   加密货币的兴起，吸引了大量资金和技术投入。然而，加密货币挖矿也成为黑客攻击的新目标。加密劫持攻击是指黑客未经授权使用受害者设备（例如：电脑、手机、服务器）进行加密货币挖矿。

   攻击者通常通过恶意软件、浏览器插件、或者钓鱼链接等方式，将加密货币挖矿程序植入受害者设备。一旦被感染，受害者设备的CPU和GPU就会被黑客“窃取”用于挖矿，导致设备运行缓慢、耗电量增加、甚至硬件损坏。

   加密劫持攻击的特点是隐蔽性强，受害者往往难以察觉。然而，长期运行的挖矿程序会严重影响设备性能，并导致电费增加。此外，加密劫持还可能作为其他恶意攻击的跳板，进一步威胁用户的安全。

3. 勒索软件攻击：数字世界的“绑架”

   勒索软件攻击是近年来信息安全领域最严重的威胁之一。攻击者通过恶意软件感染受害者设备，然后加密受害者文件，并要求受害者支付赎金才能解密文件。

   勒索软件攻击通常通过钓鱼邮件、恶意软件、或者漏洞利用等方式实施。一旦被感染，受害者文件就会被加密，无法正常访问。攻击者会向受害者发送勒索信息，要求其支付一定金额的比特币或其他加密货币才能获得解密密钥。

   勒索软件攻击给企业和个人带来了巨大的经济损失和数据安全风险。许多企业为了避免数据泄露和业务中断，不得不支付高额赎金。此外，即使支付了赎金，也无法保证文件能够完全解密。

故事案例：安全事件背后的痛楚与教训

1. 小张的“数字噩梦”：身份盗用的教训

   小张是一名普通的上班族，平时比较忙碌，对网络安全意识淡薄。有一天，他突然发现自己的银行账户被盗刷，损失了数万元。经过调查，发现他的电脑感染了恶意软件，导致个人信息泄露。

   这次事件给小张带来了巨大的经济损失和精神打击。他意识到，网络安全并非遥不可及，而是与每个人息息相关。他开始学习网络安全知识，安装杀毒软件，定期修改密码，并警惕钓鱼邮件和不明链接。

   小张的故事告诉我们，即使是看似不起眼的行为，也可能导致严重的后果。我们必须提高网络安全意识，采取积极的防护措施，才能避免成为网络犯罪的受害者。

2. 老李的“加密劫持”困境：安全防护的不足

   老李是一位退休工人，喜欢在网上看新闻、下棋、和家人视频聊天。他经常使用老旧的电脑，对网络安全防护意识较弱。有一天，他发现自己的电脑运行速度变得非常缓慢，而且经常出现蓝屏死机。

   经过检查，发现他的电脑感染了加密劫持恶意软件，CPU和GPU被黑客“窃取”用于挖矿。老李的电脑运行缓慢，耗电量增加，而且硬件也可能因此损坏。

   老李的故事告诉我们，即使是老年人，也需要重视网络安全防护。我们应该安装杀毒软件，定期更新系统，并警惕不明链接和可疑文件。此外，我们还应该学习一些基本的网络安全知识，才能保护自己的设备和个人信息。

行动起来：提升信息安全意识，筑牢安全防线

信息安全并非一朝一夕之功，需要全社会的共同努力。以下是一些建议，希望能够帮助大家提升信息安全意识，筑牢安全防线：

• 学习网络安全知识： 了解常见的网络安全威胁，例如：钓鱼邮件、恶意软件、勒索软件等。
• 安装杀毒软件： 选择一款可靠的杀毒软件，并定期更新病毒库。
• 定期更新系统： 及时更新操作系统和应用程序，修复安全漏洞。
• 警惕钓鱼邮件和不明链接： 不要轻易点击不明链接，不要随意下载附件。



• 使用强密码： 使用包含大小写字母、数字和符号的复杂密码，并定期更换密码。
• 开启双重验证： 开启双重验证，增加账户的安全性。
• 备份重要数据： 定期备份重要数据，以防数据丢失。
• 关注安全动态： 关注最新的安全动态，了解最新的安全威胁。

有志青年：网络空间安全，你我责无旁贷

网络空间安全是国家安全的重要组成部分，也是未来科技发展的重要方向。我们呼吁有志青年投身于网络空间安全或信息安全专业，为守护网络空间贡献自己的力量。

职业发展路径规划与成功故事

以下是针对不同背景和个性的有志青人在网络空间安全或信息安全专业领域学习、成长和职业发展的一些路径规划和成功故事：

• 高三毕业生：
  • 学习方向： 计算机科学、软件工程、信息安全等专业。
  • 发展路径： 攻读本科，考取相关证书（例如：CCNA、CompTIA Security+），进入网络安全公司或政府部门工作。
  • 成功故事： 某高三学生通过努力学习，考取了清华大学计算机科学与技术专业，毕业后进入国内知名网络安全公司，参与了多个重要网络安全项目的开发和实施。
• 准大一：
  • 学习方向： 计算机科学、软件工程、信息安全等专业。
  • 发展路径： 积极参与校园网络安全社团，参加网络安全竞赛，积累实践经验，为未来的职业发展打下基础。
  • 成功故事： 某准大一学生在大学期间积极参与网络安全竞赛，获得多个奖项，毕业后进入一家互联网公司从事安全开发工作。
• 准大二：
  • 学习方向： 计算机科学、软件工程、信息安全等专业。
  • 发展路径： 深入学习网络安全技术，例如：渗透测试、漏洞分析、入侵检测等，考取相关证书，为未来的职业发展做好准备。
  • 成功故事： 某准大二学生在大学期间深入学习渗透测试技术，通过了 OSCP 认证，毕业后进入一家安全咨询公司从事渗透测试工作。

专业领域学习、成长和职业发展

• 安全开发工程师： 负责安全软件的设计、开发和测试，确保软件的安全性。
• 渗透测试工程师： 模拟黑客攻击，发现软件和系统的安全漏洞。
• 安全架构师： 设计和构建安全可靠的系统架构。
• 安全分析师： 分析安全事件，发现安全威胁，并采取相应的应对措施。
• 信息安全顾问： 为企业提供安全咨询服务，帮助企业提升安全防护能力。

昆明亭长朗然科技有限公司：您的信息安全守护者

我们深知信息安全的重要性，并致力于为客户提供全方位的安全解决方案。我们提供以下信息安全意识产品和服务：

• 安全意识培训： 为企业和个人提供定制化的安全意识培训课程，提高安全意识。
• 安全评估： 对企业和个人进行安全评估，发现安全漏洞，并提供改进建议。
• 安全产品： 提供各种安全产品，例如：杀毒软件、防火墙、入侵检测系统等。
• 安全咨询： 为企业提供安全咨询服务，帮助企业提升安全防护能力。

个性化定制：网络空间安全或信息安全专业人员特训营

我们还为有志于投身网络空间安全或信息安全领域的学员提供个性化定制的特训营服务，包括：

• 硬核编程课程： Python、C/C++、Java 等编程语言，培养安全开发能力。
• 数学课程： 密码学、数字逻辑、概率论等数学基础，提升安全分析能力。
• 英语课程： 安全文档阅读、技术交流等英语应用能力，提升国际竞争力。

特别优惠：高三毕业生、准大一、准大二的家长，现在联系我们，即可享受专属优惠！

在数据合规日益重要的今天，昆明亭长朗然科技有限公司为您提供全面的合规意识培训服务。我们帮助您的团队理解并遵守相关法律法规，降低合规风险，确保业务的稳健发展。期待与您携手，共筑安全合规的坚实后盾。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898