对于刚开始业务的、要拓展业务或者扩张业务企业来说，要忙碌的事务非常多，不过，网络安全问题是不容忽视的。对于越来越依赖信息系统，业务数据流就是财务资金流的现代企业来讲，如果遭遇严重的网络安全事故，那么后果往往是致命的，足以令企业的核心业务中断，甚至破产倒闭。对此，昆明亭长朗然科技有限公司网络安全专员董志军补充说：近几年，总是有一些IT人员通过网络联系我们，表示其公司的企业资源管理系统被勒索软件锁住，导致重要数据被网络不法分子加密，业务无法开展。除了对客户的遭遇表示同情，我们真的帮不上什么忙去解密或恢复数据。

有人说，不是有方案可以恢复数据吗？我不否认存在侥幸的成功个案。但是总体来讲，在技术方面，声称能够帮上忙，清除勒索病毒并恢复数据的，和勒索分子一样不靠谱。因为大部分勒索软件使用的都是基于公私钥的加密系统，这种加密系统使用的成本很低，带来的安全性却很高，几乎是“无懈可击”的。也就是说，在没有解密密钥的情况之下，想靠猜测或破解，可能需要成千上万年的时间和算力，受害公司当然等不到那一天。同时，现在的固态硬盘技术不同于以往的磁盘技术，正常文件被加密后，一旦原始文件被删除，空出的存储单元很快会被操作系统填充上空数据，想使用恢复软件找回原始文件，也是希望渺茫，也可以说几乎是不可能的。从原理上了解了这些，人们就会知晓“未雨绸缪”，定期进行数据备份的必要性。

当然，网络安全工作不仅仅是数据备份，也不仅仅是防范勒索病毒，那么该采取哪些步骤来构建网络安全计划呢？如果预算紧张、资源有限，消极的反应就是这工作没法做，积极的方法是克服困难，将有限的资源最大化利用，那么，我们该做哪些核心的关键性网络安全工作呢？

首先，是最基本的措施，保持系统和软件的更新，如黑客、病毒等网络安全威胁利用的往往就是软件的漏洞。现代的操作系统都支持及时修复这些漏洞，及时“打补丁”、更新应用，虽然这些操作过程会耽误少许时间，但是花费这些时间却是很值得的，因为及时修复安全漏洞，往往能够预防80%的黑客攻击和病毒感染。

其次，我们推荐的措施是在身份认证方面进行加强，很多新的系统、软件和应用都支持多重身份验证，这个安全特性几乎都是免费的，启用该功能，稍稍带来一点麻烦（要安装免费的应用、进行初始配置、在登录时输入代码），却带来强大的安全保护。当然，密码策略也不应过于简单，早期很多弱密码，包括空密码、默认密码、常见密码等等，都是给网络不法分子送的大礼。近年来，重复使用同一个密码，被“撞库党”瞄上并非法利用的情形之多，也是令人震惊的。

再次，由于员工是组织机构的第一道防线，因此安全意识培训具有最高的投资回报率。特别是近几年，针对人员弱点的社会工程学攻击、网络钓鱼、电信诈骗等成泛滥之灾。创建某种形式的教育计划，让员工学习、吸收并参与实践，将有助于建立网络安全防御方面的协同效应。同时，在工作中养成良好的网络安全习惯将有助于扩展到个人使用，以帮助他们在生活的各个方面更加安全。安全意识培训是较低预算的，摊到个人头上的费用与一杯咖啡大致相同。组织机构可以从基本的安全意识培训开始，其中包括交互式的培训模块、在线测试和简单的报告。

最后，加强信息安全巡检，包括工作环境物理安全（比如防窃贼尾随）、桌面清洁（比如电脑锁屏）、计算设备安全检查（比如防病毒情况和软件更新情况等），信息安全巡检是一项管理措施，只需投入一些人力定期进行，不需要花多少钱，却可以帮助员工们养成良好的职场信息安全及保密工作行为习惯。

当然，还有一些信息安全措施，比如鼓励员工们发现及报告可疑的安全事件，在公司范围内进行表彰在信息安全方面表现积极的员工，可以激发员工们的信息安全意识和觉悟，推动公司内部积极的信息安全文化建设。这项措施花不了什么钱，却能带来很大的影响力，也是管理层能够看得到的，能够很容易理解的网络安全管理工作。

对导致严重后果的信息安全事故进行深入分析，从中汲取教训是防范事故发生（再发）的重要方法。我们会不断搜集整理在业界发生的安全事故案例，以便给您参考，让我们多作思考和辨析其根本原因，汲取经验教训。

这些信息安全事故案例只供参考之用，由于一些资料来源并非我们亲历亲见，因此在此声明我们不保证信息安全事故案例的真实性和可靠性，亦不会为所提供资料不正确、内容上的错误或遗漏，负上任何法律责任。但是，从宏观上讲，这些信息安全事故的发生是毫不意外的。因此，我们的目的是不要让悲剧再重演，而不是追查事实真相和追究相关人员责任，毕竟作为专业人员，我们做不了那么多，那或许是取证、鉴定和司法机关的事情。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

在过去十年里，网络信息安全产业得到蓬勃发展，我们看到整个行业已经成熟到被广泛接受的地步，即将安全的心态和习惯融入组织的文化中。尽管如此，我们仍然看到太多的安全领导者陷入“该做什么”以及“怎么做”的陷阱。

为了探寻信息安全管理之道，笔者从乙方换到乙方，再从乙方换到甲方，又从甲方换到甲方，旋而再从甲方换到乙方，经过一番职场“挪腾”，终于自己创立了专注于安全意识和行为改变的小事业，我可以向您保证这个行业没有什么深不可测的传奇人物，更没有振聋发聩的传奇理论，以及无比厉害的科技装备。

都是在国家登记注册的企业，都是在党领导和管治下的机构，都是爹妈生下的血肉之身，企业与企业之间，人与人之间的差别其实并不大。人们对安全“该做什么”以及“怎么做”的误解和纷争，终究逃不出所在的人脉圈子，以及所在企业和职位带来的认知限制，当然出于对自身利益的诠释与包装，不少“明白人”会故意对安全“真理”进行一定的扭曲。

对大多数甲方客户来讲，当面临乙方设备厂商与咨询服务商时，最典型的一项争议便是采购安全设备重要，还是加强安全制度管理重要？当甲方客户说要坚持对员工进行安全意识培训时，乙方不满意了，他们极力掩饰着内心的着急，表面上表示出不屑：安全的最高境界是透明的好像不存在，因此还是不要打扰用户的好，再说培训用户那事儿没点技术含量，没什么价值。这时候，甲方客户可不傻，当然尽管其对于安全培训的“技术含量”与“价值”的看法有差异，往往也不会失去基本的社交礼仪，毫不留情地给乙方厂商怼回去，而是委婉地推脱或谢绝。乙方厂商一看对方不感冒，暗暗后悔自己失言或太冒进了，不过，事已至此，也只能礼貌地遗憾地离场。

千万不要以为事情就此告一段落了，乙方厂商人员不愿甲方客户的这个培训需求“肥水流了外人田”，便找来自己以往的兄弟乙方培训服务人员，与之私下分享了这道好菜。乙方安全培训服务人员登门拜访甲方客户了，在简单寒暄之后，切入正题：是要培训安全知识，还是安全技能？一句话点中了甲方客户的要害，争议又出现了，不过这次争议不是在乙方，而在甲方内部。甲方内部的技术派，当然觉得安全技术至上，除了强化安全从业人员的技能之外，还应强化最终用户的技术能力，以应对各种如病毒和黑客等安全威胁；而甲方的管理派，往往并不是技术极客，觉得技术很重要，但更重要的是要让最终用户理解安全基本知识，进而遵守安全管理要求。

先让我们放下争执，安全意识培训是所有安全计划的必要组成部分，通常也是安全计划中最薄弱的环节之一，因为安全教育往往很难坚持进行，造成这种情况的原因有很多。比如培训计划不够充分，没有明确定义教育框架，或者开展的次数太少。无论原因是什么，安全意识失败都会导致网络信息安全漏洞。难怪首席安全官（CSO）、信息安全官（CISO）和其他IT决策者们都在积极寻找更有效的安全意识计划。

问题的根源可能不在于安全意识培训计划，而是您的员工不了解他们正在使用的业务信息所面临的安全威胁。我们都希望能够使用技术来解决安全问题，来节省人力和提升效率。对某些人如网络黑客来说，这简直是真理。他们喜欢深入研究各种软件和硬件，以使他们更容易识别出什么时候工作不正常或漏洞可能存在于何地。这种技术人员经常在IT或安全部门中不难找到。

但对于大多数企业来说，我们与科技的互动并不会超出实际的用途。没有那么多无聊的人去折腾各类信息系统，去发掘漏洞赢得赏金。不过，也有一些令人惊讶的可笑的事情，就是有不少用户竟然认为云计算“实际上是在天空中”、大数据就是一个接近无穷大的的数字、黑客和网络犯罪只存在于影视作品之中。这让网络安全与信息化领导们颇为惊讶。随着数字化转型的出现，强调业务技术意识以及安全意识培训变得更加重要和紧迫。随着物联网（IoT）在工作场所无处不在，人们必须了解它们如何既能使组织受益又增加网络和数据的风险。

显然，在科技如物联网技术进步的过程中，用户对物联网的认识严重不足，它是什么，它在网络上的位置，以及它所连接的一切。如果您的员工无法识别该基本信息，您必然会遭到基于物联网的网络攻击。我们要做的，不仅仅是上系统，上安全，更需要对用户进行科技与安全的知识科普。

安全意识培训应该教会员工如何识别潜在的威胁，防止或减轻网络事件。但是，如果您不了解您所保护的技术，则很难将安全培训付诸行动。这导致网络安全最佳实践漏洞，可能导致数据泄露、勒索软件攻击甚至共享特权访问信息。换句话说，如果您的用户不知道他们正在保护什么，那么保持安全是非常困难的。

当然了解技术的好处也会超越了安全性。当员工熟悉他们使用的技术时，他们的生产力和效率会提高。他们的求助呼声会下降，因为他们更擅长使用软件和硬件，不仅可以解决问题，还可以找出新的捷径。

在安全意识培训中添加业务技术意识培训将一举多得。员工将了解他们每天使用的业务工具以及网络安全行为如何影响技术的生产。当他们看到技术和安全性如何协同工作时，组织内的整体网络安全工作将得到改进，安全培训也将更具洞察力。

只要有人的地方就有江湖，就有网络安全威胁，不要以为使用人工智能安全技术就可以解决人类江湖中的纷争，原因在于“道高一尺、魔高一丈”，安全威胁永远在进化，人工智能永远处于研究学习的落后状态。

再有，所有新科技最终是要人来使用的，因此，不应该在安全意识培训活动中忽视掉技术部分，也不能假设所有员工都拥有相同的知识库。首席安全官、信息安全官和IT决策者应为组织内的每位员工制定基准，以了解他们知道什么以及他们需要知道什么。这可以直接纳入每个安全培训模块，问题与特定技术直接相关，也可以是根据他们的工作岗位、他们使用的科技工具以及每个员工如何使用它们的方式为特定部门设计简单调查问卷。

传统上安全教育一方面侧重于针对专业人员的技能教育，以及针对非专业人员的意识培训和行为指导。但是，如果用户不能真正了解应用程序或硬件的运行方式，就无法知道他们的行为是否会增加风险。让用户知晓关于云计算、大数据是什么以及它的安全性如何受到影响的基本知识，以及物联网有哪些设备以及物联网成为安全问题的原因，可以大大提高员工的安全意识和技术娴熟度。

所以，信息安全知识重要还是技能重要呢？它们是不能分家的，安全专业技术人员需要了解必要的管理和意识知识，而用户除了基本的安全常识之外，也还要掌握基础的技术能力，不仅是为了防止闹笑话，更是为了提升工作绩效与安全防范能力。

昆明亭长朗然科技有限公司帮助各类型的客户提升员工的安全素养，包括对员工进行安全知识和技能培训，我们的方法是创作量身定制的培训内容，以及使用领先的在线培训系统。欢迎有兴趣了解更多详情的客户，以及合作伙伴联系我们，洽谈业务合作。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898