安全培训

防病毒理念并非深入人心

admin

自从厉害的黑客制造出电脑病毒的那一天起,防病毒产业就没有消停过,在计算终端方面,不仅适用于各类操作系统的单机版产品不断问世,越来越多的附加安全功能使防病毒软件变身为互联网安全套件。企业用户更是钟爱有强大管理功能的网络版软件,针对各类服务器和网络应用系统的特别版本也深受喜爱,因为它们能够携手终端防病毒,共同建立更为全面的防毒体系。移动互联网和云计算时代,面向移动设备的防病毒产品更是在进行信息安全界市场重新洗牌,基于云杀毒的创新技术和应用可以节约终端的宝贵计算资源……

不过,人们早已经不在关注某款防病毒的功效如何,以及有什么神奇的领先技术,如今厂商再夸夸其谈防病毒软件整合了多少个核心杀毒引擎,有何种神奇的识别未知病毒的能力,人们只会笑而不答,心中暗想:吹牛吹破天有什么意义?防病毒就防病毒,几亿国人都在用免费的绿色产品,网络版也都开始不要钱了……

安装了防病毒之后的故事则更为悲摧,让机器越跑越慢不说,最麻烦的是查杀不了电脑中的病毒,却造成了机密资料外泄甚至招致黑客诈骗。更有许多用户报怨防病毒程序毁坏了不少辛辛苦苦制作的文档,使之无法恢复,而安装了防病毒软件之后一些主要的应用软件失灵或无法正常使用更是家常便饭。

还有一项和国情密切相关的是大量的家庭和个人用户并不愿在操作系统和主流应用软件上面花钱,他们宁可随大众去观看一些充斥着广告的免费视频、或通过傻瓜式的导航网站去凑凑热闹,也不愿有独立的思维和行动去探索互联网,更不会使用简单的操作来收藏钟爱的站点,可以说这是一群又懒惰又蠢笨的网民。黑客不断挖掘着软件系统的安全漏洞,安装安全补丁超越防病毒软件成为保障终端安全的必备工作,利欲熏心的软件厂商才不愿保护盗版软件使用者,他们在软件更新过程中设置正版校验,让这些网民的最基本的安全需求无法得到满足,企图来逼迫他们购买正版。在正常的商业环境之下,消费者可以选择花钱买正版,或转而使用具有竞争性的替代产品,然而这是一片未开化的世外桃园,几个没有正面思维的程序员想借助拯救世人的契机发大财,他们开发出了一种升级功能,可以帮助盗版用户越过微软更新时的正版校验而实现补丁的顺利安装,最终让纯朴的网民上了他们的当,并且帮助软件程序员们组建了巨大的僵尸网络,并且由屌丝华丽变身为高富帅。

软件程序员们想让这些纯朴的网民们永远沉迷其中而便永久免费利用他们的计算资源为自己生财,所以不会告诉他们真相,便让这些网民一直不舍得丢弃用了近十年的XP系统,进一步造成IT消费萎缩,严重影响了信息产业的健康发展,国际大型IT厂商纷纷裁员便是例证。

不过,尽管水火两重天,劣币驱赶良币,那一批软件程序员们不断扩大着自己的队伍,他们要建立一个强大的产业链条,以便能巩固和强化自己的利益,抢占互联网入口是保障广告收入来源的第一战略,于是接二连三的出现了各种网络浏览器,有不少软件程序员们也看到了移动互联网的来临,甚至打起了做手机的主意,他们并不是想真心做手机,而是想通过软件控制手机终端。

再回到防病毒,实际上安全行业内的人都知道,多数防病毒软件就是个界面,核心技术如引擎和病毒代码都由世界上少数几家所维护和控制。未掌握核心技术的厂家有两条关键战略:一是加强市场宣传,二是加强技术服务,实施这两条战略的结果就是吸引和绑住用户。

太多悲摧的防病毒故事使稍有些安全意识的人们开始觉醒,他们果断放弃了各类防病毒软件,而让电脑“裸奔”,“裸奔”总比被人挟持要好吧!不过“裸奔”的代价是隐私没有保护,人们已经不在乎什么隐私了,他们情愿把电脑当成游戏机,心想电脑上的东西都来自互联网,也应该归属于互联网,如果黑客足够厉害,都可以来玩儿,只要我不用电脑来跑钱,谁能偷走我的帐户?

安全专家可能对此不赞同,在他们眼中,无论如何防病毒是最基本的安全保障,除非你是技术极客。这些安全专家没有经历过被“挟持”的灾难,也没有太多悲摧的故事,所以理解不了这些行为也罢了。安全专家的想法也有些道理:上网的过程实际上是各类文件流向终端电脑的过程,这些文件中可能有些是不安全的,需要被过滤,不管是邮件附件还是网页插件。

的确,防病毒虽然有其不足之外,会产生漏网之鱼,也可能会错杀误杀,更可能有假冒的防病毒软件——真正的电脑“挟持”者,但是无论如何防病毒软件能够提供最基本的安全保障,它的不足是否能成为禁用或卸载防病毒软件的借口呢?相信不少组织内的信息安全管理人员会遇到这类事情。员工们对防病毒的理解和认识可能大相径庭,安全管理人员需要做的是无非是提高认识,统一思想,而要实现这点,唯有通过有效的安全意识培训。

相信通过适当的安全意识培训之后,安全管理人员在应对员工企图卸载防病毒软件等不安全行为时,也更能更加胸有成竹;而防病毒理念并非深入人心,那些屡教不改的员工,无非是信息安全思想认识没有达到组织统一要求,自然需要更多的关于信息安全基础知识理论的学习和安全意识思想上的帮助。

“看你这安全认识水平,要不要参加一下安全意识培训班啊?”员工们在实际工作中碰到安全问题时经常说着。而负责安全管理的总监经理们见了面总是寒喧:“你那边病毒还泛滥么?员工安全培训最近搞得怎么样啦?”“最近玩什么哪?有什么安全管理方面的创新吗?”“海报那玩艺儿我们几年前就用腻味了,现在已经用了电子学习课件了呢。”

应对报复社会型的枪手安全巡逻永远不够

admin

校园枪击案、广场枪击案,影院枪击案等等不仅仅发生在枪支泛滥的美国,自杀式炸弹袭击也不仅是中东战乱国家的专利,以周克华为代表的银行枪击案更是令人防不胜防。

出于美好的愿望,人们不愿深究这些恶性案件发生的真实原因,而官员们为了政绩也往往乐意将恶性事故淡化处理。不过,再严厉的新闻管制也面临社交通讯日益普及带来的冲击,如今,官员们多数都明白了,想“捂”住恶性事故远不如及时正确的响应更能为政绩加分。

然而,再具有爆炸性的新闻也是有时效的,在媒体和大众议论一段时间之后相关事故会进入关注的疲劳期,大众是健忘的,官员们深知这些,便利用舆论宣传工具转移大众的关注目标。

当安全恶性事故位于舆论焦点的时候,整个社会在进行大反思,结果往往是中央政府出台紧急而临时的安全应对政策,调拨相关的人力物力用于安全防范。举例讲,恶性枪击案之后,公众对公共场所的安全不满,安全保卫相关职能便趁机叫苦,以便获得更多的社会资源,压力之下,政府便调拨更多的资源,派驻了更多的警力以及安保力量到公共场所进行安全巡逻,于是大众开始在警惕之中稍感放心。

再厉害的犯罪分子在这敏感的时间点也会有所顾虑和收敛,安全巡逻相对长一段时间,自然没有获得什么明显的成绩,然而大众是健忘的,慢慢也放松了警惕,同时安全巡逻力量也逐渐弱化,相关的资源投放可能回收、减少或被挪为它用。结果就是隔三差五,报复社会型的枪击案又上演了,更多的社会资源又投放到了安全保障领域,新一轮的周而复始又开始了……

这显然是不断上演的一个个社会悲剧,无辜的人们被枪杀,或许他们的家人朋友在责难政府安全保障不力的时候,更多反省了紧急情况的自保之道。虽然说成为枪手来泄愤的靶子甚至人质的平民百姓和疯狂的枪手无冤无仇,但是了解紧急情况之下的正确应对之道,平民百姓仍有捡回一条命以及降低社会整体损失的可能性。

举例讲,抢劫银行及珠宝店的枪手往往并不愿意乱杀无辜,但是对于可能阻碍其抢劫行为的,则不会有一点手软,所以,在劫匪眼皮之下,即使你的妈妈打电话来或憋出尿来或蜜蜂飞到你的鼻子上,都要强忍住表现乖乖的,不要在劫匪面前表现出任何小动作或小聪明,特别是要让劫匪能够明显看到你的手,以防止其误认为你要去掏武器或报警先给你一枪。

而如果乱杀无辜的枪手进入了你的写字楼,你获得通知,此时还有时间应对,则不该出门逃生,而应立即关闭门窗,并尽可能用坚固的物体抵挡以防止枪手轻易破门窗而入,然后躲避在室内相对安全的地带,并且保持安静,如果情况允许,可立即报警寻求帮助。

而当判断几无从恶匪手下生存之可能时,则应避免无为的牺牲,应拼死猛力一击,以求重创恶匪,或能捡回一条命,或至少令恶匪损失严重,同时亦利于拯救他人。

实际上,上述只是一小部分应对之策,类似的正确应对方法还有许多,我们不是说不需要安全巡逻,安全巡逻力量貌似永远不够,而这些社会安全资源投入的收效可能并非如人意。亭长朗然公司的安全观察员James Dong说:如果人人都有足够的安全防范意识,人人皆兵,则无需令太多社会安全资源进入闲置状态,反而更能保护大众的生命财产安全,也能令疯狂的广场狙击手们有所收敛。

要想人人拥有足够的安全防范意识,无非需要加强安全意识教育培训,以防止人们的“健忘”,还需定期进行必要的应急演练,不论是通过精心设计的真实的互动式培训课件,还是身临其境般的场景模拟演习,都是最好的安全意识教育手段。