看到有些国内小众媒体，搞些网络安全领域的厂商排名，真是好气又好笑，不是说那些评比啊，公平性不够，而是说那些评比呀，不科学。对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：首先，我承认我的眼界有限，对自身的认识都不足，更遑论一个行业中的众多厂商了。其次，每家厂商都不一样，有可比性，但是对比的意义微小，就比如，拿航天员和音乐家比体重，拿医生和老师比身高一样，有客观数据但是没啥价值。最后，排名的社会反馈，当然，被拔高的很开心，就很支持，相对应的，被贬低的就很不爽，会反对，甚至旁观者都会有异议。而客户呢，还是对此远远地观望着，当着笑话般，看着厂商们撕逼混战，同时想着该如何从鹬蚌相争之中坐收渔利。

那么，科学的排名方式是什么呢？首先，不要搞综合排名，国内有些没落的大学开始退出国际大学排名，女生陪读黑人留学生，这些都是综合排名给害的。其次，不要简单地比年收入，要比“输出”，尤其在网络安全行业的大企业，玩概念，套补贴，高营销……使劲钻“坏路子”，很容易搞出大项目，年入百亿不是难事儿，但是实际上社会价值为负的，除了整出些大贪官外，就是搞些类似芯片骗局的乱摊子。“输出”怎么比？不是比卖出多少套设备，给多少家机构上了多少个系统，这些宏观的数字多都是华而不实的。那比什么“输出”，行家都知道，你若是外行，没人会告诉你。最后，当然要比的是大家都有的，就比如大学吧，您有某专业，我也有某专业，我们要比谁好谁坏，就比毕业生流向，不管深造或就业，二三十年后，混得都怎么样？要拿二三十年期间，每年掐头去尾后，剩下的中间大多数人的平均收入、健康状况、幸福指数等等来比。

扯了这么多，列出一些不再合乎时代的评比项目，不是说那些产品或服务不行了，而是随着时代的进步，已经失去了评比的意义。尽管如此，好多热衷于搞“排名”的，还是喜欢玩儿它们。

• 一体化安全网关UTM，防火墙、防入侵、防病毒、上网过滤、VPN等
• 内网安全技术管理，监控、审计、数据防泄露、网络存取控制等
• 内容安全，邮件安全、网站安全、业务安全、流量管理等
• 可管理安全服务，漏洞（弱点）扫描、安全评估、渗透测试、网络及系统安全加固等
• 信息安全管理系统，资产管理，补丁管理，风险管理，合规管理系统，身份识别管理，日志管理系统等
• 数据安全，通讯及数据加密，数据恢复，彻底删除等
• 管理咨询服务，信息安全策略，管理体系，网络安全架构，培训等
• 计算机和网络犯罪的侦查取证，司法鉴定等

反过来想，其实就是小众媒体要生存，搞出来的娱乐文章，在哗众取宠的同时，吸睛和吸金而已。正直有操守的稳重实在的媒体人，是不耻于干这些的。传统的行业媒体人面临着行业冬天，一边是中央控管加强控制，一边是全民自媒体疯抢市场，无奈之下，越来越多的人员进入大厂，在“自卖自夸”的同时，至少保持着一份真实，一份专业和一份气节。

世界就是这回事儿，我们的认知是有局限的，网络安全领域亦是如此。安全意识方面的教育培训可以帮助您保持信息安全方面的知识渊博，敬业且合规。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

在数字化浪潮席卷全球的今天，网络安全不再是技术人员的专属议题，而是关乎每个人的数字生活和组织生存的战略要务。如同城堡需要坚固的城墙和训练有素的士兵，组织的网络安全也需要每个员工的参与和意识。 想象一下，一个看似微不足道的点击，就可能开启一场巨大的网络风暴，让组织遭受难以估量的损失。 这就是为什么员工培训和意识提升对于任何组织的网络安全至关重要的原因。

本文将深入探讨员工安全意识的重要性，并提供一份详尽的行动指南，帮助您打造一个全民安全意识的组织。我们将通过两个引人入胜的故事案例，结合通俗易懂的讲解，为您揭秘网络安全世界的真相，并提供实用的安全实践建议。

引言：故事一——“红利”的背后危机

李明是某知名电商公司的客服代表，工作认真负责，深受领导和同事的赞赏。一天，他收到一封看似来自银行的邮件，邮件内容声称他的账户存在异常，需要点击链接进行验证。邮件的格式非常逼真，甚至还附有银行的logo。李明没有多想，按照邮件指示点击了链接，并输入了登录信息。

然而，他并不知道，这封邮件实际上是一个精心设计的网络钓鱼陷阱。点击链接后，他被引导到一个伪装成银行官网的网站，并被要求输入密码、银行卡号等敏感信息。这些信息立即被攻击者窃取，用于盗取李明的银行账户和进行非法交易。

李明最终损失了数万元，公司也因此遭受了巨大的经济损失和声誉损害。更令人痛心的是，李明一直认为自己很懂网络安全，却忽略了最基本的安全意识。

为什么会发生这样的事情？

李明的故事生动地说明了网络钓鱼的危害性。攻击者利用人们的信任、好奇心和缺乏安全意识，通过伪造邮件、短信或网站，诱骗用户泄露个人信息。

为什么员工安全意识如此重要？

因为员工是网络攻击的第一道防线，也是最容易被攻击的目标。他们可能无意中点击恶意链接、下载受感染的文件或泄露敏感信息，为攻击者打开了后门。

行动指南：打造全民安全意识的组织

第一步： 确定培训需求——知己知彼，百战不殆

在开始培训之前，我们需要了解员工当前的安全意识水平，以及组织面临的主要风险。

• 评估当前安全意识水平： 可以通过问卷调查、安全知识测试等方式，了解员工对网络安全威胁的认知程度。例如，可以设计一些情景题，让员工判断哪些行为是安全的，哪些行为是危险的。
• 识别风险领域： 分析组织面临的主要网络安全风险，例如，数据泄露、勒索软件攻击、内部威胁等。 确定哪些部门或岗位更容易受到攻击，哪些数据需要重点保护。
• 了解员工角色： 根据不同角色的职责，定制不同的培训内容。例如，IT人员需要更深入的技术培训，而普通员工可能只需要了解基本的安全意识知识。

第二步： 制定培训计划——目标明确，循序渐进

一个有效的培训计划需要设定明确的目标，并选择合适的培训方法。

• 设定明确的目标： 例如，提高员工识别网络钓鱼邮件的能力、减少密码泄露事件、加强数据保护意识等。
• 选择合适的培训方法： 可以采用多种方法，例如：
  • 在线课程： 方便灵活，可以随时随地学习。
  • 研讨会： 可以进行互动讨论，解答疑问。
  • 模拟网络钓鱼攻击： 模拟真实的攻击场景，让员工体验攻击的危害。
  • 互动游戏： 以游戏化的方式，寓教于乐，提高员工的参与度。
• 制定培训时间表： 定期进行培训，并根据需要进行更新。建议每年至少进行一次全面的安全意识培训，并定期进行强化培训。

第三步： 开发培训内容——通俗易懂，深入浅出

培训内容需要涵盖关键主题，并使用易于理解的语言，避免使用过于技术性的术语。

• 涵盖关键主题：
  • 密码安全： 如何设置强密码、避免使用弱密码、定期更换密码、使用密码管理器等。
  • 网络钓鱼识别： 如何识别网络钓鱼邮件、短信和网站，避免点击可疑链接。

  

  • 社交工程： 如何识别社交工程攻击，避免泄露个人信息。
  • 恶意软件防护： 如何安装和更新杀毒软件、避免下载可疑文件、谨慎打开附件等。
  • 数据安全： 如何保护敏感数据、避免将敏感数据存储在不安全的地方、遵守数据安全规定等。
• 使用易于理解的语言： 避免使用过于技术性的术语，可以使用通俗易懂的例子和情景来帮助员工理解。例如，可以将密码安全比作一把锁，密码的强度就是锁的坚固程度。
• 提供互动体验： 鼓励员工参与讨论、提问和分享经验。可以组织安全知识竞赛、安全案例分析等活动，提高员工的参与度。

第四步： 实施培训计划——全员参与，持续学习

确保所有员工参与培训，并提供持续的学习机会。

• 确保所有员工参与： 提供灵活的培训选项，例如在线课程、录制的培训视频等，以方便员工参与。
• 跟踪培训进度： 监控员工的参与度和学习成果，并根据需要调整培训内容或方法。
• 提供持续的学习机会： 定期更新培训内容，并提供新的学习资源，例如安全新闻、安全博客、安全视频等，以帮助员工保持最新的安全意识。

第五步： 评估培训效果——效果评估，持续改进

评估培训效果，并根据评估结果改进培训计划。

• 测试员工的知识和技能： 使用测试或模拟攻击来评估培训的效果。例如，可以模拟网络钓鱼攻击，看看员工是否能够识别出攻击。
• 收集反馈： 询问员工对培训的意见和建议，以便改进未来的培训计划。
• 衡量安全事件的数量： 跟踪网络安全事件的数量，以评估培训是否有效地降低了风险。

案例二： “内部威胁”的警示

张华是某金融机构的系统管理员，负责维护公司的核心系统。他工作勤奋，技术精湛，深受同事的信任。然而，由于一次疏忽，他 inadvertently 泄露了公司的敏感数据。

原来，张华在处理一个紧急任务时，将包含客户信息的文档保存到了一个不安全的共享文件夹中。由于该文件夹的权限设置不当，其他员工可以轻易地访问到这些敏感数据。最终，这些数据被不法分子窃取，导致公司遭受了巨大的经济损失和声誉损害。

为什么会发生这样的事情？

张华的案例说明了内部威胁的危害性。内部威胁是指来自组织内部的风险，例如，员工的疏忽、恶意行为、权限滥用等。

为什么需要加强内部安全管理？

因为内部威胁往往难以察觉，而且危害性很大。组织需要建立完善的内部安全管理制度，加强员工的安全意识培训，并定期进行安全审计，以防范内部威胁。

安全实践：该怎么做，不该怎么做

• 密码安全：
  • 该做： 使用强密码（包含大小写字母、数字和符号），定期更换密码，使用密码管理器。
  • 不该做： 使用弱密码（例如，生日、电话号码），在多个网站上使用相同的密码，将密码写在纸上或存储在不安全的地方。
• 网络钓鱼：
  • 该做： 仔细检查邮件发件人地址，避免点击可疑链接，不要轻易下载附件，遇到可疑邮件及时报告。
  • 不该做： 轻易相信邮件中的信息，随意点击链接，泄露个人信息。
• 数据安全：
  • 该做： 保护敏感数据，避免将敏感数据存储在不安全的地方，遵守数据安全规定，定期备份数据。
  • 不该做： 将敏感数据存储在不安全的设备上，随意拷贝敏感数据，泄露敏感数据。
• 内部安全：
  • 该做： 遵守公司安全规定，保护公司数据，避免权限滥用，及时报告可疑活动。
  • 不该做： 违反公司安全规定，泄露公司数据，滥用权限，隐瞒可疑活动。

结语：

网络安全是一场持久战，需要每个人的共同努力。通过有效的员工培训和意识提升，我们可以打造一个全民安全意识的组织，筑牢网络安全防线，守护我们的数字堡垒。 让我们携手并进，共同构建一个安全、可靠的数字未来！

我们提供全面的信息安全保密与合规意识服务，以揭示潜在的法律和业务安全风险点。昆明亭长朗然科技有限公司愿意与您共同构建更加安全稳健的企业运营环境，请随时联系我们探讨合作机会。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898