最近的一项针对信息技术和软件开发人员的调查显示许多公司并没有将应用程序的安全问题放在重要位置。尽管基于常见Web应用的攻击手段如SQL注入，跨站脚本，远程溢出等等早已令网站开发人员头痛不已，近半数（48％）的开发人员表示在过去两年内遭受过黑客攻击或入侵行为，但是有高达74％的受访软件开发人员表示仍然理不清头绪，不知道黑客是如何攻击成功的，也没有足够的信心对付未来的黑客攻击。

不过，好的消息是61％的受访公司表示将增加信息安全方面的预算，特别是65％表示准备加强在应用程序安全方面的投入。

“同全球大型跨国软件公司相比，中国本土化的软件开发公司规模都不算大，往往也只关注在中国本土市场和应用层面，软件开发人员的底层基础理论不扎实，安全知识和技能普遍相对落后，但是在无边界的互联网上，却面临同样级别的安全威胁，这种不平衡的现状越来越影响着中国信息化的进程，并且严重伤害着各家企业在网络上开展的业务。”昆明亭长朗然科技有限公司的企业信息安全市场分析人员James Dong称。

虽然软件开发人员的安全技能缺乏是最重要方面，更深层次的问题是最终用户对安全的无知或漠视，在客户不提出详细安全需求的情况下，开发人员是不会主动为客户的软件增加安全控管功能，直到出现严重的安全问题后才开始进行安全功能的修复。要改变这种现状，只能从加强最终用户的安全意识教育开始，同时加强软件开发人员的安全理论知识和技能培训。

最近电商携程信用卡门让业界对携程旅行网搜集和存储过多客户信用卡信息如CVV等充满质疑和批评，在一开始，携程称其加密保存CVV符合了金融监管及全球行业标准，但最后不得放弃这种错误的认识，承诺立即改正并不再保存CVV。

携程信用卡事件曝光除了在时间点的选择上触动了敏感的互联网金融行业，更有意思的是在竞争领域里的宣传战，携程的铺天盖地的公关响应自不用说，艺龙、去哪儿纷纷乘机或明或暗地利用携程在保护客户信息安全的薄弱之处大作文章。

可以说，官方媒体以及社交媒体的强大攻势让几大信息安全需求驱动力——法规遵循、客户权益、商业竞争、品牌信誉、赢利压力等到了充分的展现，这次携程信用卡门让大中型企业特别是在线电子商务公司充分认识到信息安全工作的重要性，特别是员工们信息安全基础培训的必要性。

关于携程“技术互联网”忽略流程及管理而造成安全事件一说，国内数家著名的大型软件开发公司、IT集成及服务公司也都表示传统上借助计算机网络安全相关的技术措施来保障客户的信息系统和信息数据安全的方法并不充分，信息安全目前面临更多的是解决“人员”安全的问题。特别是软件外包及业务流程外包公司已经准备让全体员工参加基础的安全意识培训，并且对软件市场销售、开发测试和技术支持人员强化关于应用程序安全的专门培训，以便能更好同客户沟通安全的理念、为客户提供更安全可靠的信息系统和让客户更加放心。

通过在线预览了昆明亭长朗然科技有限公司提供的电子培训课程之后，几家公司纷纷称这是很创新的一种学习模式，可以将国际上最领先的信息安全理念和技能在第一时间带到中国，也很方便用户随时随地主动学习。“为国际支付认证我们3个月闯了200多道关卡。”去哪儿网CTO吴永强说，“此次爆发的某旅行网信用卡事件也是其缺少员工培训的一个恶果。”此话真是一针见血地指出员工信息安全意识培训的强烈必要性。

同时，调查也显示大型企业也开始设置专门的网络信息安全管理和技术岗位，信息安全对商业成功的重要性越来越凸显，当然信息安全会越来越受到重视。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频，员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验，便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

QQ: 1767022898

在当今的数字化时代，网络安全已成为各行各业企业关注的重要问题。随着网络攻击威胁的不断增加，企业必须优先考虑建立强大的安全措施，以保护其宝贵的数据和资产。然而，重要的是要记住，网络安全不仅仅是 IT 部门或安全专业人员的责任。企业内的每一名员工都在确保公司信息和系统安全方面发挥着至关重要的作用。

了解不断上升的网络攻击威胁

近年来，网络攻击变得越来越复杂和普遍。黑客利用各种技术和工具来利用公司系统的漏洞，在未经授权的情况下获取敏感信息。特别是勒索软件，已成为企业关注的一个重要问题。这类恶意软件会加密企业的数据，并要求支付赎金才能释放数据。成功的勒索软件攻击可能会造成毁灭性的影响，导致经济损失、声誉受损甚至业务停机。

与此同时，向远程工作的转变为企业的网络安全带来了更多挑战。远程工作环境通常缺乏与传统办公环境相同级别的安全基础设施，因此更容易受到网络攻击。远程工作的员工可能会连接到不安全的网络，或使用未得到充分保护的个人设备，从而为黑客提供了进入公司系统的潜在入口。

在组织内部建立强大的安全文化

要降低网络攻击带来的风险，企业必须投资建设强大的安全文化。这就需要创造一种环境，让网络安全成为共同的责任，让每一位员工都意识到潜在的威胁以及他们在防范威胁中的作用。例如，戴尔科技公司在培训员工识别和报告网络钓鱼攻击方面取得了成功，网络钓鱼攻击是黑客获取未经授权访问的最常用方法之一。

每位员工在确保网络安全方面的责任

维护网络安全是企业内每位员工的责任。虽然 IT 部门和安全专业人员在实施和管理安全措施方面发挥着至关重要的作用，但其他员工也有责任确保公司信息的保密性、完整性和可用性。

• 管理人员、数据保管员和系统所有者：管理人员、数据保管员和系统所有者负责监督企业信息和系统的安全。他们与业务合作伙伴、技术专家、员工和用户合作，共同实施政策、程序和最佳实践。他们了解信息管理中的风险，并努力有效地应对这些风险。他们根据信息对组织任务的重要性对信息进行分类，记录安全计划，并在系统实施和维护过程中应对风险。

• 业务合作伙伴和技术专家：业务合作伙伴与技术专家合作，构建和维护能够安全收集、存储和传输数据的信息系统。他们合作对信息进行分类，识别和处理风险，并在员工、系统用户和供应商中建立如何安全管理信息以及遵守政策和程序的意识。

• 员工：所有员工都有责任遵守组织的信息安全管理政策和程序。这包括粉碎包含受限数据的文件、使用强密码和防病毒软件保护工作站安全，以及向系统所有者报告风险和事故等行动。通过坚持这些做法，员工为组织的整体安全做出了贡献。

• 技术人员：技术人员负责开发、实施和维护信息系统。他们建立服务器、开发代码、管理应用程序、维护网络，并建立安全控制和程序。技术人员实施访问控制，建立管理应用程序代码和网络基础设施变更的良好做法，并通过实施防火墙、入侵检测/防范设备和加密技术来保护网络。

• 供应商：业务合作伙伴通常依赖供应商以具有成本效益的方式提供服务。在合同协议中，系统所有者和业务合作伙伴必须明确规定供应商应如何安全地管理信息。合同协议应包括有关遵守组织政策和程序、信息分类和有效保护信息安全的指导原则。

• 系统用户：系统用户，包括员工和外部人员，有责任了解适用于他们的安全政策和程序。他们应了解系统的适当用途、条款和使用协议、可能与其他方共享其信息的情况，以及如何保护其身份信息。对系统用户来说，创建和维护一个强大的密码以及识别可信赖的网站和电子邮件也是至关重要的。

安全工作中的合作与沟通

维护网络安全需要组织内不同角色之间的协作和沟通。必须建立有效的风险和事故报告渠道，以确保迅速采取行动。定期交流和提高认识计划有助于员工了解最新的安全威胁和最佳实践。通过培养协作和沟通文化，企业可以增强整体安全态势。

实施全面保护的最佳实践

要全面防范网络威胁，企业必须实施涵盖网络安全各个方面的最佳实践。这些实践包括：

• 对信息进行安全分类和记录：组织应了解其信息资产的敏感性和关键性，并对其进行相应分类。通过记录与每个分类级别相关的安全控制和程序，组织可确保采取适当措施保护信息。
• 建立并执行访问控制和流程：访问控制可确保只有经过授权的个人才能访问组织内的特定信息或系统。组织应实施访问控制机制，如最低权限和职责分离，以防止未经授权的访问，并将潜在安全漏洞的影响降至最低。
• 将信息安全管理纳入合同协议：在与供应商或外部合作伙伴合作时，企业应在合同协议中加入相关条款，概述信息安全管理的责任和期望。这可确保供应商也遵守组织的安全政策和程序。
• 对人员进行安全责任和意识教育：员工在维护组织内的安全措施方面发挥着至关重要的作用。他们有责任遵守政策和程序，报告风险和事件，并坚持信息安全的最佳做法。通过保持良好的网络安全卫生习惯，员工可以帮助防止安全漏洞并保护组织的敏感数据。

动画视频是进行意识宣导的一种生动有趣的方法，展示渠道包括使用电视屏幕、网络点播、短视频、企业/公众号推广等方式。昆明亭长朗然科技有限公司创作了海量的安全意识培训内容资源，同时不断地推出新内容，并且提供量身定制的安全教育内容生产服务。我们有千余部计算机网络安全、数据安全、个人信息保护、保密以及合规相关主题的动画视频，以供客户按需求进行适用性的选择。

总之，网络安全是组织内每个人的责任。由于网络攻击的威胁不断上升、勒索软件的影响以及远程工作带来的脆弱性，有必要对信息安全采取积极主动的合作方式。通过了解自己的角色和责任，员工可以为建立强大的安全文化和确保全面防范网络威胁做出贡献。在针对人员的安全培训方面，电子学习非常适合强制性的安全意识课程学习，例如针对新员工的安全培训和年度全体员工的安全意识刷新。随着信息科技的发展，电子学习越来越受到各类企事业单位的青睐。昆明亭长朗然科技有限公司创作了大量的信息安全、秘密保护及合规普法类的标准化电子课件供客户选用。

欢迎有兴趣的朋友联系我们，预览我们的产品作品，体验我们的在线系统。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com