我们经常听用人单位说，学究派只会玩玩纸上谈兵的理论，实际动手不行，而草根派只会照葫芦画瓢，却不懂为什么。对此，昆明亭长朗然科技有限公司信息安全专员董志军表示说，高等教育本身没有问题，技能培训本身也没有问题，问题出在用人单位，为什么这么说呢？现在的中考，先来一拨分流，高职兴起，高考再来一拨分流，加上扩招的长尾，结果造成“大学”遍地都是，普教职教混杂，毕业生能力参差不齐，学历贬值。再来几个关系户、海归回流，用人单位不堪重负呀！哎呀，扯远了。

说回来，要让员工们能干活，能解决问题能创新，能带来价值，最重要的还是入职后的培训。要达到“照葫芦画瓢”的水平，只要是正常的个成年人，几分钟学会生产线，一周学会销售和技术，都是轻轻松松的事儿。可是要做到精进高端，能够解决工作中的疑难杂症，能够改进业务制程，提升工作效率，进行产品创新，那至少得干上三五年才能“懂行”，还得是个智商聪明的人和勤快好学的人。

信息安全的三大基本属性，包括信息的保密性、信息的完整性和信息的可用性。我一说这个，有人就判定我是个学究派，只会玩玩理论。搞好信息安全最重要的就是确保所有系统及时升级和安装安全补丁，我一说这个，又有人就判定我是个行动派，只会埋头干活不会看路。我不想反驳，毕竟我不是完美的中间派，只是会左右摇摆而已。然而，这正是我将在这篇文章中探讨的东西。针对员工们的数据安全教育很重要，但是很多组织机构却不知道怎么实施，或者实施的比较偏颇，至少不够全面。

信息具有价值，尤其是在当今世界。银行账户报表、个人信息、信用卡号码、商业机密、政府文件。每个人都有他们希望保密的信息。保护此类信息是信息安全的重要组成部分。当我们谈论信息的机密性时，我们谈论的是保护信息不被泄露给未经授权的各方。

保护信息机密性的一个非常关键的组成部分是加密。加密确保只有正确的人（知道密钥的人）才能读取信息。加密在当今环境中非常普遍，几乎可以在所有使用的主要协议中找到。一个非常突出的例子是SSL/TLS，它是一种用于互联网通信的安全协议，已与大量互联网协议结合使用以确保安全。除了加密这项硬核技术措施之外，确保信息机密性的其他方法包括强制执行文件权限和访问控制列表以限制对敏感信息的访问。

一位C9联盟高校信息安全专家级教授认为：雇主必须确保他们的员工接受过数据安全方面的培训。如果忽略对员工的信息安全教育，无疑是在玩火，即使部署了大量的安全系统，也将被置于危险之中。道理很简单，天价预算搭建的技术防范体系，可能会被一位不知道自己在干什么愚蠢事儿的糊涂蛋员工轻易破坏，进而让大量努力和金钱付诸东流。的确，无论采取什么安全措施，无论是防火墙还是生物识别扫描仪，工作人员只需将个人设备插入他们的工作计算机或在带回家时弄丢纸质文件，就可以使这些措施失效。

信息只有在正确的情况下才有价值。被篡改的信息可能代价高昂。信息的完整性（亦称真实性）是指保护信息不被未授权方修改。例如，有“黑客”通过抓包APP的网络通讯，对在线交易数额进行篡改，实际只投资5000.00元，账户中却入账500000元，反复搞几百次并分享这种作弊方法，那么这对互联网金融服务商来说，可能是非常昂贵的付出。

与数据机密性一样，密码学在确保数据完整性方面起着非常重要的作用。保护数据完整性的常用方法包括对收到的数据进行哈希处理，并将其与原始消息的哈希值进行比较。但是，这意味着必须以安全的方式提供原始数据的哈希值。更方便高效的方法是使用对数据进行数字签名。

通常，员工和用户都认为信息安全意味着像安装防病毒软件这样简单的事情，问题在于防病毒软件在未知威胁面前可能会失效或被人为停用，因此，这应意味着非常有必要教导人们防病毒程序的运行与更新、不要打开受感染的电子邮件或访问病毒网站等等。信息安全教育是应对各种信息泄露风险的关键，特别是非技术型的攻击，如社会工程学、电信诈骗和网络钓鱼等，人们无法通过完美的技术方式来控制，人们必须被告知辨识真伪、识别那些人为威胁的方法。否则，假冒IT人员进行维护工作，便可获得用户的账户和密码；假冒高管说紧急用钱就可骗取财务人员进行转账操作。

信息的可用性是指确保授权方能够在需要时访问信息。信息只有在正确的人可以在正确的时间访问它时才有价值。如今，对信息或信息系统发起拒绝访问攻击已成为一种非常常见的攻击方式。几乎每周您都能找到有关知名网站被DDoS（分布式拒绝服务）攻击摧毁的新闻。DDoS攻击的主要目的是拒绝网站用户访问网站资源。这种停机时间可能非常昂贵。其他可能导致无法获取重要信息的因素可能包括停电等事故或洪水等自然灾害，当然，也包括近年来非常恶劣的网络加密勒索。

如何确保数据可用性？备份是关键。定期进行异地备份可以减轻因硬盘损坏、加密勒索或自然灾害造成的损坏。对于高度关键的信息服务，冗余也是必要的。如果主数据中心发生了意外灾难，使用异地备份来恢复服务，将大大减少发生灾难事件时的停机时间。当然，可用性上升到更高层面，也是业务持续性管理的范畴。无论如何使用客户数据，企业机构都有责任维护客户数据安全。这意味着，只要与数据交互、收集和/或存储数据，那么就不得不致力于保护该数据免受黑客和其他恶意行为者的侵害。这有业务本身的驱动力，同时也有法律合规的驱动力，毕竟很多行业不仅仅是赚钱，也要履行社会责任感，甚至有些重点行业的数据安全关系到国家安全和社会稳定。如果没头没脑的员工在生产高锋时段进行危险的变更动作，把业务系统搞关机了，客户的交易没法进行，比客户信息丢失带来的损失还要大的多。

总之，数据安全教育的现状令人堪忧，以上我们从信息安全的基本理论以及最佳实践方面，列举了让员工们了解信息安全知识的必要性和紧迫性。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。

信息安全专家们都认同的一件事情是必须加强对网络、系统和数据进行保护，相关的保护措施无疑是需要金钱、人力等投资的。不过，资源永远是不足的，即使攻击向量比以往历史上的任何时候都更加强大和复杂，由于预算紧张，要应对新型的网络威胁，资金仍然很紧张。不过，虽说“巧妇难为无米之炊”，但是“天无绝人之路”，幸运的是，信息安全专家及管理团队可以采取一些省钱的方法和步骤，来经济有效地增强其网络安全性。

近年来，有许多备受瞩目的新型攻击使人们饱受痛苦的折磨，包括使用勒索软件的攻击。勒索软件是一种加密数据的恶意软件，直到您支付赎金为止。除了臭名昭著的WannaCry之外，还有其他例如Petya和NotPetya等勒索软件。此外，传统的恶意病毒和分布式拒绝服务攻击仍然持续不断地横行泛滥。对此，昆明亭长朗然科技有限公司信息安全顾问专员董志军表示：根据行业内部的报告以及我们接触的案例可以看出，勒索软件攻击的频率和复杂性都在不断增加。网络攻击造成的损害也在增加。一些行业研究表明，即使组织机构努力寻找资金和专家，以加强防御，每年的网络攻击所造成的损失仍然高达数万亿。而我们的媒体推广专员尽管不是安全技术专家，也频频收到企业IT人员发来的网络安全求救，多数是遭遇了新型的勒索软件，重要的生产数据被黑客加密。

预算不足一直是信息总监、安全总监、IT经理和管理员们无法避免的事情。当聊起这预算的时候，人们甚至无奈的希望能来一次大型的恶性的病毒或断网，以便高管们能认识到信息安全的重要性并予以资金支持。除了资金，合适的网络安全人才也很难找到。尽管一线发达城市人才济济，但是仍然有很多高管表示他们无法填补信息安全空缺职位，在二、三线城市，网络安全人才的缺乏，更是令人感到窒息。

不过，无论预算和人才问题有多么严重，组织机构都应采取最佳做法来减轻网络攻击所能带来的危害。如下我们简单整理了一些应对之策和一些简单的想法，希望能够分享给信息安全专家及管理者们。

保持系统处于更新状态

这个最基本的建议其实不用我们多言，相信安全专家都如家常一般熟悉。系统和应用程序必须具有所有最新的补丁程序，以避免那些基于过往漏洞的网络攻击。WannaCry等勒索软件造成伤害的方式就是利用多年未修复的EternalBlue漏洞，只要及时安装了微软的安全补丁，那些易受攻击的计算机本可以受到保护。问题就在于很多组织的IT部门和工作人员，在攻击开始时尚未更新其易受攻击的系统。为什么这样呢？原因在于总有些人对安全重视不够，思想跟不上信息科技及网络安全行业的变化。保持系统处于更新状态根本花不了太多额外的金钱和时间，是吧？

保持人员处于最新状态

对用户进行信息安全最佳实践方面的教育对确保系统安全有极大的帮助。尽管许多的安全建议都是常识，但是仍应定期向员工们阐明，毕竟有些职场新人几乎什么都不懂，而且人们的理解和认知水平也各有差异。例如，诈骗信息非常流行，我们要不断提醒用户不要打开附件，也不要单击电子邮件或聊天消息中的链接，除非发件人是值得信赖的。当然，安全团队亦需要教会员工们如何发现可疑活动。比如伪造的网页和电子邮件通常具有不正确或奇怪的拼写或不寻常的空格、符号或标点符号。一方面原因是这些“黑客”们的心理不正常甚至变态，另一方面的原因是有些故意躲避基于特征的安全防骗侦测。信息安全服务团队应当定期向员工们进行培训和发送安全提醒，并且在出现问题时立即发出警报。对人员进行安全知识的宣导，也花费不了多少额外的金钱和时间，不是吗？

加强网络边界安全防护

数据安全策略通常从物理安全和网络安全层面开始，以防止未经授权的用户访问信息资产。保护好信息资产需要控管好场所安全和终端安全，防止坏人尾随员工进入工作区域，尽管有CCTV监控，每年大型工作区域的外来盗窃仍然不容忽视。而桌面终端安全通常需要员工们的理解和行动支持，包括加强计算机系统的安全、启用安全软件、锁屏和保密等等。保护好例如笔记本电脑、手机和平板电脑等计算终端，防止恶意人员窃取员工们的身份来渗透和危害整个组织的信息数据安全。此外，网络边界必须受到保护，可靠的网络防火墙至关重要。作为防范外部黑客的一道重要防线，防火墙通过建立允许或阻止传入流量的具体规则来管理数据流，并防止有害文件破坏内部网络和损害信息资产。新一代网关防火墙、UTM具有应用程序控制功能，它可以使管理员能够精确地决定谁可以访问基于网络的应用程序，从而防止未经授权的用户破坏敏感信息和资产。防火墙的功能早已经演化成综合性的统一威胁管理网关，该设备通常按功能和性能有不同级别的价钱，但不管怎么说，购买集成的一体化设备，总体成本要低于购买各自独立的产品，而且也更容易协同。组织机构可以根据自身的实际情况，进行适合的采购，相信一台主流的安全网关设备可以有十年的生命期，费用摊到每年，也不会花费太多。

启用更多网络安全措施

考虑使用一些网络分段策略，尤其是终端设备众多的、人员复杂的工作场所。员工们可能会使用自带的计算设备，这就可能会导致来自网络外部的威胁。此外，物联网设备可能带有固件漏洞。那议将自带计算设备和物联网设备隔离在办公网段之外，并对其设置独立的网段，网段之间建立严格的访问控制措施，以防止病毒感染等威胁的跨段攻击。此外，如果可以的话，请建立入侵防御系统。入侵防御可以帮助发现可疑的网络活动，并在造成真实的损害之前通知管理员，甚至切断攻击。基于云的集成式威胁情报服务和下一代防火墙也可以监视恶意活动和可疑活动，并可以管理补丁更新以确保联网的信息系统可以抵御已知的安全威胁。如果预算足够的话，可以考虑购买和部署这些额外的安全技术措施。当然，它们的成效仍然需要用户们的理解和配合。

保持数据备份以防万一

系统备份必须定期进行，并确保验证那些备份的完整性。另外，请定期测试运行恢复流程以评估其是否能够正常工作。无论是存储在云中还是实体系统中的离线备份，请确保备份都是安全的。在某些情况下，勒索软件会感染基于云的备份，尤其是那些依赖持久同步的备份。因此，定期将备份离线是好的实践，备份所需的存储设备也值不了多少钱，花费都在可能承受的范围之内，没错吧？

总之，当网络安全预算被卡住或安全资源有限时，我们可以使用一些可负担得起的多合一式的解决方案，该解决方案可以处理所有网络安全、监视和控制任务。同时，在人力方面，必须准备好应对网络安全攻击，即使面对预算紧张和资源不足的情况，员工们仍然可能成为勒索软件攻击和利用的目标。通过教育员工有关安全威胁的知识，保持系统处于更新状态，并定期备份和加密重要文件，只要实践这些常识性的最佳操作指南，可以大大减少成为诸如勒索软件等新型攻击受害者的机会。

为了帮助各类型的组织机构应对新型的网络安全威胁，特别是资金紧张的组织机构强化员工们的网络安全防范意识，进而帮助保护组织机构的重要信息资产，昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。