媒体不断曝出有组织机构向黑客支付了大笔勒索软件赎金，这无疑将进一步刺激黑客强化勒索软件的设计开发及升级换代。网络黑产来势汹汹，全民网络安全意识提升迫在眉睫。

勒索软件的成功实施需要多个条件，并不仅仅是简单常规的恶意软件。用网络安全界的术语来讲，其属于高级可持续性威胁APT结合社交工程学、诈骗邮件或消息、钓鱼网站等等。尽管有一些方法可以在一定程度上对加密后的文件进行解密或恢复，但是仍然有很多的受限条件，而且并非黑客使用的公钥算法的漏洞，而是整个勒索软件生效流程中的漏洞，比如网络不可用情况下默认密钥选择的漏洞，以及磁盘加密文件存储方面的漏洞。无疑，技艺高超的黑客可以轻易地修复这些已知的漏洞，进而让恢复变得更难，除非支付赎金。

预防用于救治。分析根源，黑客可以发送一封钓鱼邮件给员工，员工点击开启邮件附件或者恶意网页，便可能让防御力薄弱的计算系统感染勒索软件。昆明亭长朗然科技有限公司网络安全专员董志军称：这看起来似乎过于简单，然而事情就类似这些，在强大的防火墙、防病毒网关和经过加固的服务器面前，黑客自然会选择最容易利用的渠道，就是利用安全意识不足的人员。

终究来讲，安全意识培训是降低未来数据安全风险，抵御勒索软件等安全威胁的最重要安全措施。组织机构让全体职员参与包括勒索软件对抗的网络安全意识培训，让职员们掌握最佳的网络安全实践，是当前工作的重中之重。只有强大的人员防御能力，或称人员防火墙、人力安全盾，才能有效防范新一轮狂暴的勒索软件袭击。

昆明亭长朗然科技有限公司在过去十多年中为数百万名员工提供了安全意识培训。互动式培训方式有助于教授和鼓励员工参与和接纳安全最佳实践。其实对于整个现代人类，也就是全世界网民来讲，网络安全意识培训的提升都有很大的空间和潜力。

我们的网络安全意识培训内容包括但并不限于：

• 为什么网络安全意识对您的组织、员工、承包商和供应商都很重要。
• 员工处理敏感数据的重要性，如何处理好个人数据或个人身份信息。
• 易于理解的安全政策和流程，以及背后原因的解释，让员工更易接受。
• 适用于工作和家庭的网络安全最佳实践。
• 密码安全最佳实践。
• 了解社会工程以及该技术如何被用来操纵员工，导致知识产权失窃、数据安全漏洞、诉讼和其他严重问题。
• 了解安全与我的关系，鼓励参与应对风险。

经过网络安全意识培训，学员可以掌握：

• 勒索软件风险和安全最佳实践
• 网络钓鱼和电子邮件最佳做法
• 处理敏感数据相关的政策和程序
• 安全最佳实践背后的原因
• 网络犯罪威胁
• 使用强密码而不与他人共享密码
• 适用于工作和家庭的网络安全最佳实践
• 社会工程的基础知识以及犯罪分子如何使用这些技术
• 手持设备和笔记本电脑安全使用
• 公共无线网络的风险
• 安全的网络使用和社交媒体的风险
• 身份盗窃风险防范

如果您有兴趣了解更多内容，欢迎联系我们获取更多详情。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

不少单位的信息科技负责人对信息安全管理并不陌生，但信心却并不是很足，这主要是由于IT总监经理们主要负责管理信息系统或信息服务，而保护信息安全不仅仅是IT部门的职责，技术精湛的攻击者可能利用各类渠道渗透进入单位的内部，进而窃取机密信息数据以及从事各类破坏活动。

那到底谁应该为单位的信息安全管理负责呢？显然管理层需要担负管理责任，这不是废话吗？进一步讲，要由单位的一把手，大老板或最高长官负终极责任，而且要由一把手领导挂帅，将责任层层分解，责任分解的一项原则是：“谁主管，谁负责”。

管理层往往要担负的职责很多，当然有更紧要的事务，而且多数总监经理们并不是安全管理方面的专家，所以别指望所有事情都亲历亲为，这就需要信息安全管理协调组织，这个组织也常被称为信息安全管理委员会，成员包括担任委员会主席的单位一把手、各职责业务单元或部门的总监、首席信息安全官或信息安全总监、首席安全官、风险管理部门和审计部门总监、以及各部门负责具体工作事务的安全协调人员。各部门总监经理们的职责是落实信息安全责任制，并对部门的安全管理指标、战略和计划等等进行决策。而各部门的安全协调人员则在部门沟通协调各类具体安全事务的执行，通常他们是即懂部门的业务流程，又懂得基本安全理念，还善于同其它部门、部门内部及部门总监经理们进行沟通的专业人员。首席信息安全官要面对安全管理委员会的所有成员，对上是单位一把手的安全管理智囊，对下是信息安全部门的总监，而更多是作为安全顾问和专家的身份，服务各业务部门的总监经理和安全协调人员们。

信息安全管理属于公司治理的一部分，和业务风险管理以及审计密不可分，所以首席信息安全官还需同风险管理及审计部门的总监经理们建立协调沟通，根据组织的实际情况，明确具体的工作分工和职责，以便各司其职以及协同工作，通常风险管理部门侧重于财务相关的业务控制领域，而审计部门则多会组织和实施各类安全检查或评审。

信息安全并不是虚拟的电子安全，不少信息资产更需要得到实体安全的保护，在不少单位，安全部往往会负责物理场所和财产实物的安全保障，安全部的长官——首席安全官更关注的是实体设施和公司区域以及环境的安全、比如监控、门禁、保安、防盗、安检、巡查、消防等等。实体安全和信息安全保障也息息相关，所以首席信息安全官和首席安全官也应聚在一起，讨论和明确各自的工作范围、分工及协作渠道。

即使有了恰当的分工协作，部分工作仍可能会有交叉点或重复点，这都没有关系，每家组织都是独一无二的，所以在具体的操作实践中没有必要太拘泥于死板的安全论调。某些安全工作职能可以归你，也可以归我，甚至你我可以合并起来，在进行科学划分的时候考虑一下工作的效率、资源的配备以及协作的流程，所以为了组织整体的安全，不要太拘泥于权力范围等或办公室政治，因为组织整体的安全需要所有员工的共同努力，更和所有安全从业人员的协同合作分不开，工作成效显著的安全职能部门也能影响其它的安全职能的工作绩效。

通常，信息安全从业人员都会不断地学习，以便在资质和能力上不断提升。在组织内部，安全总监经理们还需要不断学习和组织业务相关的知识，普通职员们可能不会要求安全专业人员非常熟悉他们的工作内容，但是首席信息安全官如果连一点基本的业务背景知识都没有则会被员工们耻笑，显然在谈及具体的安全事务时也难以被员工们所理解和接受，进而难以发挥领导的魅力，更难成为员工们的安全行为楷模。

不过有时因为时间仓促或影响力有限，首席信息安全官往往并不是业务方面的专家，关于这一点，亭长朗然公司的安全管理咨询顾问James Dong说：因为所有员工往往都会关注和倾听单位高管们的一言一行，所以首席信息安全官可以借助单位一把手或最高领导层的示范和表率作用。由于一把手对单位的信息安全负终极职责，也能更好把握企业安全文化的方向，所以更应该在员工们面前展示对保障业务安全的承诺、宣讲信息安全对组织成功的重要性、以及为保障商业安全员工们在日常具体工作中需注意的安全事项等等。

首席信息安全官还应该更多借力各业务部门的安全协调人员，信息安全方针政策的落实、安全行动计划的实施、信息安全标准和流程的执行都要靠这些安全协调人员来在各部门推动，所以，加强对安全协调人员的领导和管理，定期召开信息安全座谈会或协调会、提供必要的安全管理技能培训、通过现场检查和走访调研等方式帮助安全协调人员在部门内部实施信息安全管理体系。

信息安全协调是一项耗时耗力的重要工作，工作比较辛苦，这是由于安全协调人员们要面对大量部门同事的不安全意识和行为，又没有管理权。不过这些安全协调工作职位是对部门总监经理负责，各部门的安全职责归各部门总监经理，所以具体的安全事务需总监经理们来拍板实施，安全协调人员则是部门总监经理的安全智囊和地勤人员，当然在安全专业上的问题则应该更多向首席信息安全官寻求帮助。

为了减少各部门信息安全协调人员的重复工作和节约单位资源，首席信息安全官则应该考虑实施针对全体员工的安全意识培训计划，统一部署各类安全控管措施和安全工作流程，通过信息安全协调人员来帮助发现和解决安全工作中的具体问题。

当员工们看到最高层的领导在信息安全方面的决心，接受了单位统一的而且足够的安全认知教育，收到了部门总监经理对安全具体工作的指示，并且通过部门安全协调人员解决了心中的安全疑虑之后，他们定会表现出积极向上的安全风貌和安全行为。

总结说：信息安全管理工作重在组织与领导，而在组织与领导工作之中最重要的是安全沟通协调，针对全员的安全意识培训又是安全沟通协调工作的重中之重。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频，员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验，便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

QQ: 1767022898