尽管扩大内需是提升经济活力的重要法宝，铺张浪费仍然被主流世界所诟病，勤俭节约仍然是中华民族的美德。

自中央国家安全委员会、中央网络安全与信息安全领导小组成立以来，网络安全显然已经上升到了国家战略的层面，更成为各级党委和政府的重要工作项目，相关的投入似乎应该上一个新台阶。但是，受“禁止浪费政策”的影响，各地并不敢贸然大举采购网络安全设备及信息化系统。

其实，要说与发达国家相比，我国网络安全在信息化总预算和投入的比例一直较低。在国家日益重视信息安全的大环境气氛下，提升安全方面的预算比例应该是彰显工作政绩及遵循合规的一个手段。

为什么实际情况不够理想呢？昆明亭长朗然科技有限公司网络安全顾问董志军说：网络安全毕竟有些技术门槛，这个领域内的“奢侈浪费”不容易被人们特别是外部人员发现，特别是当技术和产品披上知识产权外衣的时候，一台设备或一套软件值多少钱，谁都不能轻下诊断。

不过尽管如此，网络安全与信息化办公室的决策人员们还是心有顾虑。一方面政府机关及大型企业反腐败反贿赂活动风头强劲，本身都能过上好日子了，为了收入上的数字多那么一点点，而冒失去未来大好生活的风险不值得。另一方面则是担心即使自己毫无私心，也可能犯下决策性的错误，花了大钱，没办成事儿，反倒毁了自己的前程。

如果说招投标采购“污水横流”可能有些夸张，“乌烟瘴气”也有点太过，但是说“劳民伤财”可算是恰到好处。为了一个无关紧要的参数折腾数百人又是加班开会又是半夜弄标书的情形真是惨不忍睹，然而即使这么累，真正能够用到网络安全及信息化实际项目活动中的钱，往往不到总数的一半，大半的钱当然被潜规则了。可现在，只要一个不小心，下属犯错的连带责任也会让决策者吃不了兜着走。

而说到网络安全产品，无非是为了达到某种控管效果，解决某个或多个安全问题。如果使用技术手段防范某个技术层面的问题，早已不是什么难题。难在这些安全相关的问题都与人有关，它们并不是仅仅一个或多个产品可以轻易和彻底解决掉的，要么我们的信息安全操控人员无法全力撑控技术设备，要么从表面上解决了这个安全问题，另一个新的安全问题又出来了。

不少网络安全与信息化主管都清楚，多数网络安全设备采购来了之后，仅仅使用了两三个月，新鲜劲一过，便没有多少人愿意去折腾了。当初想要实现的安全控制目标，可能只实现了一部分，但是没有达到预期，尽管表面上这个项目的实施是成功的。前期没暴露出来的问题，在使用一些日子之后可能出现了，特别是影响到了一些其它的使用，这时候人们倾向于弱化这些产品的安全控管能力，比如放开防火墙的访问控制规则。同时，多数IT人并不期望坚守在一个个运维系统上，人们希望有更多的新项目，新机会，所以在心态上，也开始漠视已经完成的项目。于是无形中，这些网安全产品就成了摆设。

可网络安全重在运维，前期采购天融信、启明星辰、联想、东软或绿盟等某个厂家的防火墙产品其实关系不大，把这些产品真正用起来实现控管目标才是真正重要的。亭长朗然公司董志军说：很多信息安全主管都明白，除非现有的网络安全设备在性能上无法满足业务增长的需求，否则没有必要更换新的设备。而在安全控制的目标方面，无疑仅仅依赖更多的技术手段比如新功能是不够的，实现信息安全的目标，更多的是需要管理的手段。

而在信息安全管理方面，不能独立于其它管理制度和工作流程，更需要和组织文化一致，这显然也是个很大的难题。管控的松紧是一种科学，更是一种艺术。紧巴巴地把互联网给断了，惹众怒，不行。松垮垮地放开任意网络访问和接入，不断违反了国法又给组织引来安全威胁，也不行。不过要找咨询顾问服务来解决这些东西，也没门，厂商也不会深入这些组织内部的问题，他们只希望将一套套模板稍稍修改，早日让项目了解了。

不过，也不要以为在网络安全方面保持现状不外花钱就是在为组织省钱和做贡献。亭长朗然公司董志军说：网络安全行业的问题我们已经剖析了这么多，核心问题的解决都离不开组织内部的人员，包括IT人员和非IT人员。

如何解决人员相关的问题呢？一方面，要让IT人员忙起来，让旧的设备跑起来，让IT安全运营方面的成绩受到新项目成绩同样的高规格礼遇。另一方面，针对全员的，在信息安全管理方面下功夫，在信息安全制度流程的建设上，寻找多个大家都能理解和接受的平衡点，工作重点在于信息安全意识的沟通和网络安全理念的推广。

网络信息安全专业领域有句话：三分技术，七分管理。现在的人性化管理不能是军事化命令与控制的那套儿，而要重在全员沟通、重在流程协调。网络信息安全行业也是如此，更多的投入应该在人性化的信息安全管理层面，发动信息安全意识宣传推广计划，将安全控管需求及目标、安全制度和流程以及安全技术手段结合起来，才是正确的省钱之道。

想想看，五百万的网络安全预算，增加一台两百五十万的可能会成为一个摆设的网络安全新设备，通过潜规则让两百五十万落入员工们的口袋，从此担心吊胆好呢？还是花上两百万的预算，采购一台真正能用上的设备和一些信息安全管理及宣传服务，将三百万拿来光明正大地奖励IT安全人员的运营贡献以及优秀员工的良好安全行为要好呢？

人员People，流程Process，产品Product（亦可称技术Technology），这“3P”是信息安全管理的三要素。网络安全与信息化工作者们，想要防止浪费，又要有所成绩，应该知道如何将这三要素有效结合起来，即能让省钱并且让钱光明正大地进入员工们的腰包，又能提升网络信息安全制度化管理水平，还不误网络信息安全技术的提升，最佳的方式，无疑是从强化全员信息安全意识开始。

年底快到了，想要有所成绩的网络信息安全管理者们，欢迎联系我们洽谈业务合作哦！您可以在线体验一下我们的信息安全意识培训产品，或者通过我们的信息安全意识推广计划了解更多内容。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频，员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验，便可了解基础的安全防范理念。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

QQ: 1767022898

尽管在有些公司同事之间分享或共用密码是协同工作的一部分，但是这种做法应该被放弃，原因如下：

• 您不知道您的密码是否会被再次分享给其他人；
• 当出现账户滥用事件时，密码的所有者可能需要承担责任，或者没有人承担责任；
• 密码的设计是用来区分系统用户的，应该保持密码绝对的私密。

安全提醒：

不要将您的密码分享给他人，如果您把密码分享给他人使用，他人可能使用您的身份进行不当的行为，您的信誉可能受到损害，还要为他人的不当行为负责。

关于密码分享的进一步探究

同事间分享密码，当然也包括一些类似密码的，进行用户身份验证的东西，如访问卡、身份验证令牌、以及工作权限，在一些工作单位、一些特定的岗位、特定的情况下是难以避免的，看上去理由似乎也比较充分——可能就某人有某些特定的账号或权限，而其他人只是暂时用一用。

这个若真要严格禁止，就如禁止亲人间分享银行密码一样，可能面临着文化和伦理方面的问题。昆明亭长朗然科技有限公司信息安全管理专员董志军表示：在欧美发达国家，不要分享密码是信息安全意识教育的基本内容之一，因为这些发达国家往往有健全的信息账号与权限管理制度，并且遵守规矩、按规章办事的文化深入人心。如果某人没有相关的系统的访问账号和权限，他/她就会去申请，申请通过得到访问权限后才会去使用，没有账号和权限的话，他/她做不成事儿也没人去责怪。

这事儿如果放到国内某些单位，领导布置一个工作只急急地要结果，而不关心实现过程是否合规，下属是否有访问权限可能搞定。这就让下属不得不变通，即使有正常的账号和权限申请流程，可能也得不到很好的执行。

看，一个关于密码分享的简单话题，竟然有这么多东西方文化的差异在其中，我们不说孰优孰劣，继续探讨有中国特色的密码分享解决之道。笔者看到有些国内大型企业制定了“灵活”的账号权限借用流程，可能会令欧美文明国家信息安全管理者看不懂的。就是在账号借用之后的密码修改，以及更多的如退出借用者的当前登录等等。借个账号和权限，竟然要这么多后续的“安全”补救工作，这想一想真让人无法理解、啼笑皆非。

欧美发达国家喜欢将“牙刷”、“内裤”之类的东西来比做密码，警示用户他们的密码不能被分享。这让国人的那些密码分享者或借用者们情何以堪啊！毕竟想想文化的差异，也就可以理解了。这是个管理和意识的问题，“普世价值”可能并不适合“中国特色”，不过我们可以借鉴一下宣传方法，当然，如果要变革，则需要从企业文化和信息安全文化多个深层次的层面入手。

不管您所在的组织允不允许“分享”密码，我都表示理解。同时我也希望本文的一些分享和探讨能引发您在信息安全密码管理方面的独立思考，而不是简单地否定或肯定。即使您可能觉得某些不好的工作流程和方法，可能也有它们的历史和存在原因。

希望我们的一些建议和倡议能帮助您。昆明亭长朗然科技有限公司致力于提升国民的网络安全认知，为整个人类社会贡献积极的力量。我们的方法是不断设计、开发及制作信息安全意识教育内容资源，包括安全培训动画视频、互动式电子课程、教学小游戏、考题及线上测试平台等等。我们有少量的安全意识培训内容资源可供客户选购。同时，我们积极理解客户的业务目标和安全需求，在此基础上开始定制化创作和交付安全意识培训内容。欢迎联系我们洽谈业务合作事宜。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898