党风政风影响民风，自习总书记挂帅中央网络安全和信息化领导小组组长一来，国家高层不断采取创新的网络信息安全动作，各级政府机构以及企业单位纷纷开始学习中央和上级精神，并着手制定相关网络安全规划和落实工作要求。

我们看到，即使是非体制内的专业人士，也为这些频频出台的网络信息安全政策叫好。旁观者的叫好并非是为了拍国家领导人马屁，或者可以由此沾得一些利益。

厉行节约整治奢侈之风吹得正劲，吃喝玩乐、形象工程、政绩工程可是不敢搞了。对政治风向很敏感的官员自然不会放弃创造“软”政绩的好机会，建个公园搞些绿化的这些不痛不痒的工作虽然没啥风险，也能带来一些群众的好评，却引不起上级领导和组织部门的兴趣。要创新，从网络安全和信息化入手无疑是个突破点，这不仅能关联到信息化、物联网、云计算、大数据产业发展，更能伸长到互联网产业、科技创新、新媒体、文化传播等等领域。

要利用好这个网络信息安全的大好机遇，在新产业革命中做出卓越的成绩，一举建立一个领先的地位，往往并不容易。昆明亭长朗然科技有限公司的信息安全行业观察员董志军称：中国目前的大环境在改善，但仍然缺乏实实在在做事情的人，特别是在一个庞大的官僚系统中，平平庸庸混日子的人占多数，能够“各司其职”的往往都是标兵。所以，就目前的政府网络信息安全态势看，就像在拥护的车站被人挤着前进一样，想有一番能够引起上级和中央的认可的突出作为是很不易的，当然想无所事事拉拉后退也是很困难的。

那如何能够短平快地创造一些不同的网络信息安全政绩亮点呢？除了仔细研究和充分利用地方特色之外，就是从信息安全的边缘领域找一些突破点，将其做大做强做到充分的竞争力。关于地方特色的发挥、包装和展示方面，各地均有卖点和鼓吹之处，外人都是外行，无法说三道四，但是你有的他人没有，他人有的你没有，无法进行比较，也不会给竞争力加上多少得分。倒是在信息安全管理的边缘领域，空间很大且竞争不够充分，所以完全有将其无限放大的可能性，通过将这方面的优势发挥到极致，进而至少能在评比和竞争中拔得一个头筹。

我要说的信息安全管理边缘领域，实际上只是中国的“边缘”，并非绝对的“边缘”，相反，却是西方发达国家特别是网络安全强国的“热点”。这个网络信息安全的边缘领域到底是什么呢？是信息安全意识教育，这真正是开启民智的“软”工作，同时又是保障网络信息安全的“硬”通货。为什么这么说呢？信息安全意识教育，不仅帮忙沟通网络信息安全政策、战略、规划、设计与当地民众，更能沟通网络信息安全技术产品、管理服务、体系架构与操作人员。信息安全意识教育，还是提升民众网络信息安全素质、建立信息安全领先文化、做好信息安全宣传工作、营造意识形态安全的重要举措。

为什么网络信息安全意识被不断提及，却难得见到很好的落实呢？因为人们不知道如何做才能搞得有声有色，即使在发达的京沪地区，相关的网络信息安全教育活动也举办得差强人意。深层次的原因何在呢？亭长朗然董志军说：表面上看，在于安全意识宣传方面的优秀作品不足，而优秀作品不足的主要原因在于知识产权保护力度的不足。昆明亭长朗然科技有限公司借助“开源”以及“众筹”模式，成功开启了网络信息安全意识作品从创意到设计到制作到发布的产业链合作新框架，让信息安全优秀作品不断得到催生的同时，知识产权问题也得到合理有效的解决。

欢迎有意向的人员和我们联系，探讨无限的合作机会及空间。您也可以在线体验一下我们的信息安全文化宣传站点，或者访问我们的信息安全文化资源库，以便了解更多。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

大人警示小孩要注意什么，小孩儿都会理解并照做吗？答案并非如此，实际上，在公司信息安全管理领域，也是这样。

公司信息安全管理团队通常会强化对员工们进行必要的信息安全意识教育，但是很多安全管理者发现效果可能并不如意。即便是那些在信息安全意识推广活动中投入了漂亮的安全信息提示贴、精美的员工安全手册或有趣的FLASH故事动画，问题何在呢？昆明亭长朗然科技有限公司安全意识顾问董志军最近和一位信息安全总临聊起这个话题，如下是他的一些简单自述。

这家公司每年都有数万的信息安全意识培训预算，安全意识活动也搞得有声有色，但是员工们的安全行为却仍然不见大的改观。在接到咨询电话后，我和这位信息安全总监约好一早九点见面。

我向其询问了一些简单的信息安全管理方面的实践，了解到虽然公司的新入职员工需要参加全面的信息安全意识教育课程学习，全体员工也会被要求每年度定期刷新信息安全知识，但是对未遵守信息安全相关要求的行为，却没有任何的惩罚。我又问起了学员的信息安全课程参训率和在线考试的通过情况，几乎是100％的好。

我同他开玩笑说：“您觉得这是信息安全政策沟通不到位，还是执行力不到位呢？”对方苦笑回答：“开放包容充满人性化是我们公司的文化，我们很少会对员工进行惩罚，即使有安全事故，也会更多的反思公司方面的问题。”

这真是家伟大的科技公司，和日本台湾的苛刻管理模式大不相同，公司的业绩却是响当当，员工工作起来却很随意，上午10点半了，还可以看到衣衫不整的员工姗姗来迟。科技界竞争激烈，我有些怀疑这么懒散的员工们是否拥有必须具备的信息安全保密基础理念，以防范商业间谍和竞争者们来窃密。

我把我的怀疑讲了出来，信息安全总监微笑着说：你那边不是提供信息安全意识方面的渗透测试服务嘛！你来扮演个社工黑客，玩一玩诈骗电话和钓鱼邮件吧！我说：这正是我来拜访的目的啊！

于是我们就开始了一项信息安全意识模拟入侵项目，在简单而正式地签定保密协议以及授权书之后，我获得了包括姓名、工号、部门、电话号码和邮箱的员工通讯录、标准软件清单、信息系统名称以及登录界面截图。在简单熟悉了公司的IT环境之后，我便开始了入侵准备工作，我的设备包括一个内部分机号码，一部手机卡，一台位于互联网上的电脑和一台连接到公司内部的个人电脑，我的目标随机抽取五名员工，通过黑客手段，来获得他们的系统帐户和密码。

要说我已经连接到了公司内部网络，要发起一些基于网络层面的入侵嗅探简直太轻易。但是这种方法被信息安全总监禁止了，我也不想让人们以为我只是个技术极客，我需要向人们展示更大的可能性。五名员工已经随机选好，我打算假冒成IT/FI/HR等服务部门通过内线来套取他们的帐户和密码；假冒成客户、社保局、公安局和电信运营商工作人员通过外部手机来套取公司信息，我还伪造了一封钓鱼邮件，并且仿制了两个钓鱼网站。

现在让我说一说我的成绩吧！通过内线，我成功地拿下了两名员工；而通过外线，我只获得了一点皮毛信息；不过配合使用钓鱼邮件以及网站，我获得了所有人的帐户和密码！

当我把成绩展示给信息安全总监的时候，他瞪大了眼睛，忽然赞叹地说：我们太需要你的帮忙了！我们需要更多的员工来亲身体验！接着他把那五名员工叫了过去，向他们说明了这次钓鱼活动，展示了获取的帐户和密码，提醒他们注意信息安全，并要求他们回去立即改掉密码。

我插了一句说：应该鼓励这些同事将亲身的安全经历分享出来。信息安全总监说：这主意太好！亲身体验并且分享经验是最好的教材！

大人告诉小孩该怎么做，小孩儿没有照做，却在亲身经历了错误之后，改过了。通过信息安全意识模拟攻击测试，我们可以让这种错误的代价降至最低。欢迎联系我们，以获得安全意识渗透测试服务的更多内容。