在过去十年里，网络信息安全产业得到蓬勃发展，我们看到整个行业已经成熟到被广泛接受的地步，即将安全的心态和习惯融入组织的文化中。尽管如此，我们仍然看到太多的安全领导者陷入“该做什么”以及“怎么做”的陷阱。

为了探寻信息安全管理之道，笔者从乙方换到乙方，再从乙方换到甲方，又从甲方换到甲方，旋而再从甲方换到乙方，经过一番职场“挪腾”，终于自己创立了专注于安全意识和行为改变的小事业，我可以向您保证这个行业没有什么深不可测的传奇人物，更没有振聋发聩的传奇理论，以及无比厉害的科技装备。

都是在国家登记注册的企业，都是在党领导和管治下的机构，都是爹妈生下的血肉之身，企业与企业之间，人与人之间的差别其实并不大。人们对安全“该做什么”以及“怎么做”的误解和纷争，终究逃不出所在的人脉圈子，以及所在企业和职位带来的认知限制，当然出于对自身利益的诠释与包装，不少“明白人”会故意对安全“真理”进行一定的扭曲。

对大多数甲方客户来讲，当面临乙方设备厂商与咨询服务商时，最典型的一项争议便是采购安全设备重要，还是加强安全制度管理重要？当甲方客户说要坚持对员工进行安全意识培训时，乙方不满意了，他们极力掩饰着内心的着急，表面上表示出不屑：安全的最高境界是透明的好像不存在，因此还是不要打扰用户的好，再说培训用户那事儿没点技术含量，没什么价值。这时候，甲方客户可不傻，当然尽管其对于安全培训的“技术含量”与“价值”的看法有差异，往往也不会失去基本的社交礼仪，毫不留情地给乙方厂商怼回去，而是委婉地推脱或谢绝。乙方厂商一看对方不感冒，暗暗后悔自己失言或太冒进了，不过，事已至此，也只能礼貌地遗憾地离场。

千万不要以为事情就此告一段落了，乙方厂商人员不愿甲方客户的这个培训需求“肥水流了外人田”，便找来自己以往的兄弟乙方培训服务人员，与之私下分享了这道好菜。乙方安全培训服务人员登门拜访甲方客户了，在简单寒暄之后，切入正题：是要培训安全知识，还是安全技能？一句话点中了甲方客户的要害，争议又出现了，不过这次争议不是在乙方，而在甲方内部。甲方内部的技术派，当然觉得安全技术至上，除了强化安全从业人员的技能之外，还应强化最终用户的技术能力，以应对各种如病毒和黑客等安全威胁；而甲方的管理派，往往并不是技术极客，觉得技术很重要，但更重要的是要让最终用户理解安全基本知识，进而遵守安全管理要求。

先让我们放下争执，安全意识培训是所有安全计划的必要组成部分，通常也是安全计划中最薄弱的环节之一，因为安全教育往往很难坚持进行，造成这种情况的原因有很多。比如培训计划不够充分，没有明确定义教育框架，或者开展的次数太少。无论原因是什么，安全意识失败都会导致网络信息安全漏洞。难怪首席安全官（CSO）、信息安全官（CISO）和其他IT决策者们都在积极寻找更有效的安全意识计划。

问题的根源可能不在于安全意识培训计划，而是您的员工不了解他们正在使用的业务信息所面临的安全威胁。我们都希望能够使用技术来解决安全问题，来节省人力和提升效率。对某些人如网络黑客来说，这简直是真理。他们喜欢深入研究各种软件和硬件，以使他们更容易识别出什么时候工作不正常或漏洞可能存在于何地。这种技术人员经常在IT或安全部门中不难找到。

但对于大多数企业来说，我们与科技的互动并不会超出实际的用途。没有那么多无聊的人去折腾各类信息系统，去发掘漏洞赢得赏金。不过，也有一些令人惊讶的可笑的事情，就是有不少用户竟然认为云计算“实际上是在天空中”、大数据就是一个接近无穷大的的数字、黑客和网络犯罪只存在于影视作品之中。这让网络安全与信息化领导们颇为惊讶。随着数字化转型的出现，强调业务技术意识以及安全意识培训变得更加重要和紧迫。随着物联网（IoT）在工作场所无处不在，人们必须了解它们如何既能使组织受益又增加网络和数据的风险。

显然，在科技如物联网技术进步的过程中，用户对物联网的认识严重不足，它是什么，它在网络上的位置，以及它所连接的一切。如果您的员工无法识别该基本信息，您必然会遭到基于物联网的网络攻击。我们要做的，不仅仅是上系统，上安全，更需要对用户进行科技与安全的知识科普。

安全意识培训应该教会员工如何识别潜在的威胁，防止或减轻网络事件。但是，如果您不了解您所保护的技术，则很难将安全培训付诸行动。这导致网络安全最佳实践漏洞，可能导致数据泄露、勒索软件攻击甚至共享特权访问信息。换句话说，如果您的用户不知道他们正在保护什么，那么保持安全是非常困难的。

当然了解技术的好处也会超越了安全性。当员工熟悉他们使用的技术时，他们的生产力和效率会提高。他们的求助呼声会下降，因为他们更擅长使用软件和硬件，不仅可以解决问题，还可以找出新的捷径。

在安全意识培训中添加业务技术意识培训将一举多得。员工将了解他们每天使用的业务工具以及网络安全行为如何影响技术的生产。当他们看到技术和安全性如何协同工作时，组织内的整体网络安全工作将得到改进，安全培训也将更具洞察力。

只要有人的地方就有江湖，就有网络安全威胁，不要以为使用人工智能安全技术就可以解决人类江湖中的纷争，原因在于“道高一尺、魔高一丈”，安全威胁永远在进化，人工智能永远处于研究学习的落后状态。

再有，所有新科技最终是要人来使用的，因此，不应该在安全意识培训活动中忽视掉技术部分，也不能假设所有员工都拥有相同的知识库。首席安全官、信息安全官和IT决策者应为组织内的每位员工制定基准，以了解他们知道什么以及他们需要知道什么。这可以直接纳入每个安全培训模块，问题与特定技术直接相关，也可以是根据他们的工作岗位、他们使用的科技工具以及每个员工如何使用它们的方式为特定部门设计简单调查问卷。

传统上安全教育一方面侧重于针对专业人员的技能教育，以及针对非专业人员的意识培训和行为指导。但是，如果用户不能真正了解应用程序或硬件的运行方式，就无法知道他们的行为是否会增加风险。让用户知晓关于云计算、大数据是什么以及它的安全性如何受到影响的基本知识，以及物联网有哪些设备以及物联网成为安全问题的原因，可以大大提高员工的安全意识和技术娴熟度。

所以，信息安全知识重要还是技能重要呢？它们是不能分家的，安全专业技术人员需要了解必要的管理和意识知识，而用户除了基本的安全常识之外，也还要掌握基础的技术能力，不仅是为了防止闹笑话，更是为了提升工作绩效与安全防范能力。

昆明亭长朗然科技有限公司帮助各类型的客户提升员工的安全素养，包括对员工进行安全知识和技能培训，我们的方法是创作量身定制的培训内容，以及使用领先的在线培训系统。欢迎有兴趣了解更多详情的客户，以及合作伙伴联系我们，洽谈业务合作。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

对比中外信息安全意识宣教内容，发现一个有意思的现象：关于网络骗局，西方国家有很多专业性的词汇，并且详细解释不同名称的骗局之间的差别。而中国除了“钓鱼”、“诈骗”之外，几乎没有什么对应的专业名称。

反思一下，从计算机病毒的命名方法开始，中国就一直是西方强国的追随者，如同西医一样，西方强国讲科学，为什么在人员安全领域，很多学术方面的新词引进不来呢？分析原因，昆明亭长朗然科技有限公司网络安全分析师董志军说：如同中医中的疾病名称数量远不如西医多一样，万“骗”不离其宗，在国人眼中，反正都是骗，没必要给不同的骗术取名以区分。

这不见得就完全是一种文化落后，举例讲，病人在看病的时候，问医生是什么病，如果被告知一个拗口的疾病名称，那病人的心理负担可能会加重。当然，病人可以花更多时间和精力去各种渠道了解相关疾病的真相。同样，在网络攻击和网络诈骗领域，很多专业新名词也会让一些非专业人士懵逼，不过笔者认为这不应该是在信息安全意识领域止步，不引进西方强国定义的很多名词的理由。就如同一个老师想：这些都是笨孩子，不要给他们新知。

这种“落后”，原因在于保守的传统，化解方法其实很简单，一方面要积极开放，通过引进西方强国的新知，另一方面要果断摈弃落后的传统，也是常说的传统文化中的糟粕。

说到传统文化中的糟粕，不仅仅是愚忠愚孝和封建迷信，更应该注意“语言腐败”，张维迎教授对这点有深刻的阐述。笔者最近看到近几年信息安全保密领域里有一些新词，比如“轮渡”和“摆渡”，这两个词其实是一个意思，正如同一条大河阻隔了河两岸百姓的生活，但老渔民为方便乡亲们的生活，利用渔船在两岸“轮渡”或“摆渡”接送人过河。当然，这是善意的，计算机领域的“轮渡”或“摆渡”攻击却是恶意的，但原理与之类似。

政府机构、军队、银行金融、能源电力等关键部门的信息系统，首要的防护措施便是隔离，内部网络与外部网络之间实行严格的物理隔离。但是泄密事件仍时常发生，这是什么原因呢？就是因为“轮渡”或“摆渡”攻击。这词的发明是多么的生动形象呀！我们不得不叹服造词者深厚的传统文化底蕴。

造词者对“轮渡”或“摆渡”攻击给出了如下案例描述、步骤讲解，以及防范之道：

攻击的实例

张某，某大学知名教授。其白天使用办公电脑工作，晚上使用个人电脑上互联网查阅资料。为了方便工作，其用U盘将互联网资料拷贝到办公电脑，并将办公电脑中未完成的工作拷贝到个人电脑，造成办公电脑内几百份涉密资料泄露到互联网上。事后，张某受到严重的行政和党纪处分。

典型攻击步骤

“轮渡”或“摆渡”攻击利用移动载体比如U盘作为“渡船”，达到间接从内部网络中秘密窃取文件、资料的目的。

1. 黑客首先攻击该涉密人员连接互联网的私人计算机，在该计算机中植入木马。
2. 当涉密人员在私人计算机上使用U盘拷贝资料时，木马将自身打包存储到U盘内。
3. 该涉密人员将U盘插入内网计算机，木马将自身拷贝到内网计算机。
4. 木马窃取内网计算机中的文件、资料并存储到U盘中。
5. 当涉密人员再次将U盘插入到私人计算机上时，木马将从内网中窃取的文件、资料拷贝到私人计算机中。
6. 涉密人员使用私人计算机上网时，涉密文件、资料被发送到互联网上。

这样，通过U盘这个“渡船”，在“轮渡”或“摆渡”木马的控制下，就完成了内部网络与互联网之间的“轮渡”或“摆渡”攻击。

攻击的防范

“轮渡”或“摆渡”木马与正常软件没有本质的区别，杀毒软件也无能为力，普通用户更加难以防范。U盘等移动载体在摆渡攻击中承担重要角色，因此，禁止在两个信息系统之间交叉使用移动载体，已成为最重要的安全保密规定。

关于信息安全保密文化的反思

前述部分看上去比较科学严谨吧？不要高兴太早，因为在两个系统之间有交换数据的需求！接下来，各种奇葩的保密产品、技术和管控制度就出台了，当然，伴随而来的是各种企图突破或超过这些保密控制措施的奇怪招数。比如，不让交叉使用移动存储载体，那我用条网线或无线收发器连接成局域网行不行？不要混合内外网？用个单向数据传输设备行不行？

这些解决问题的方法简单说总是拿一个新东西来补救一个旧东西，真是让人啼笑皆非。董志军说：通过使用似是而非的“新词”来推动信息安全保密“改革”工作，真是在当前环境下的一种无奈之举。不过这正体现了我们很多组织机构信息安全文化的“落后”，不承认落后不行，只有认识到落后了，才能奋起直追向强者学习。那么，请我们仔细分析问题的根源，木马怎么来！电脑本身不安全！涉密人员使用电脑的行为不安全！为什么会这样？公私不分！工作用计算机没有得到必要的安全加固！涉密人员的信息安全意识缺乏，计算机安全操作技术不过关！

说到底，很多涉密机构的信息安全保密管理人员不懂基本的计算机安全原理、技术和方法，即使有一些懂的，也没能让涉密人员掌握必要的信息安全保密知识和技能。

人太傻，只好使用技术控管措施、更多的保密产品和更多的保密检查，花钱事小，效果不佳，泄密失密频发，违纪人员被一波一波整肃，信息安全保密工作岗也受到牵连才真正事大。当然，事后也还要来点模板式的总结，比如“此事泄密事件暴露了部分涉密人员保密观念淡薄、信息技术知识特别是网络安全防范知识欠缺、单位网络管理不规范等问题。”

国内很多机构保密人员“人浮于事”，其实那些信息安全保密人员都是聪明人，只是聪明才智得不到发挥。为什么呢？表面上看是事儿太多，忙不过来，只有拆东墙补西墙般救火。其实是信息安全保密文化的落后使然，您一个人再能干，在那个环境下，也是不足够的。因为信息安全保密工作是全员性的，至少要让所有涉密人员都变强大。

当所有涉密人员都在信息安全保密意识方面强大了，信息安全文化便真正建立起来，失密泄密事件即使发生，局势也会在控制之下，失泄密责任清晰明了，信息安全保密工作人员自然不会因工作不到位而受影响。

如何把信息安全保密从业人员的知识理念和安全技能传输给其他涉密人员呢？昆明亭长朗然科技有限公司创作了数百部信息安全保密教育视频课程以及宣传图片，数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识，不仅保护好了自己，也给所在工作单位带来了安全收益，形成了一道强有力的安全人员防线，对建立良好的信息安全保密文化进到了良好的促进作用。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系，洽谈业务合作。

昆明亭长朗然科技有限公司

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：[email protected]
QQ：1767022898