关注网络攻击趋势的人们大都了解，近年来，钓鱼攻击、网络勒索、金融欺诈等类型的攻击不断上升，而传统的技术性入侵反倒处于下降的趋势。这说明黑客们的节操越来越低下，他们比创业者参会见VC还要急躁、还要功利——想快套钱、再套钱……

在这种状态下，网络犯罪分子们不再仅仅满足于利用系统的安全漏洞，而是开始利用系统后面的人类的弱点。这就让传统的基于技术的安全防范手段越来越显得不足，大多数企业开始努力全方位的提升防御水平，以阻止或减少攻击带来的损失。昆明亭长朗然科技有限公司互联网安全分析员董志军说：随着网络犯罪等威胁环境的变化，企业级客户也开始认识到安全问题不再是信息技术问题，更多是管理的问题、是人员的问题。越来越多的首席安全官、首席信息官、首席风险官等等大头儿都开始注重针对人员进行投资，包括强化安全人员的能力，以及持续开展针对员工层的安全意识培训计划。

毋庸置疑，没有充足的安全资源是无法搞好安全的，安全专业人员也需要不断提升自己，以保证能够跟上时代发展的上步伐，能够掌握最新的威胁趋势。这里我所讲的的威胁趋势，要远远超出技术层面的“威胁预警”，那只是些漏洞列表而已。即使将它们包装上大数据、人工智能等等概念，也是不充足的，原因是安全管理水平跟不上，成为短板，再强的技术产品部署也不会成功，至少不能发挥应有的效力。

对信息安全作业流程和规章制度的培训

安全是一项平衡，不可能倾其所有投入到安全里面，也就是说，我们不能像保卫国家领导人那样，为企业的所有人员都配备足够的安全保障。同样，我们也要优化安全资源配置，将有限的安全资源投放到可以获得最大收益的地方。如果您还没有部署防病毒、防火墙这些基本的安全系统，我劝您先部署它们。接下来，该做的不是上更多更昂贵的技术系统，而是建立和改进内部的信息安全作业流程和管理制度，比如补丁修复流程、漏洞扫描流程、终端安全检查流程、信息资产管理制度、安全意识培训制度等等，并确保这些流程和制度得以落地和实施——通过定期的检查、审计和报告。

当然，要实施比较全面的信息安全管理体系那更好，这就需要更多的工作，定期的沟通、协调和培训必不可少，因为一项新的或变化着的作业流程和规章制度，总有它的背景、目标、过程、结果和控制点，这都需要不同角色人员的参与。由此可见，对信息安全作业流程和规章制度的持续性培训是改进信息安全工作的重点。

对网络信息安全技术系统上线的培训

在我的职业生涯中，我看到太多IT部门部署的网络安全系统，在项目完成验收后便扯下来，放到一边的情景。昆明亭长朗然科技有限公司董志军说：这无疑是一种不好公开说的失败，但并不能怪网络安全系统本身不够好，失败的原因在运维和支持的不到位，推翻一个旧体系，建立一个新体系不难，难在运行一个新体系。运维人员往往不像项目实施人员那样能深入了解网络安全系统维护工作的重要意义和操作实践，他们需要获得足够的培训。

还有一点，受新系统影响的用户，如果不理解不接受，那敌对起来，新系统肯定不玩完，也不能充分发挥效力。所以呢，对受影响的用户，也需很多安全技术产品方面的教育培训，就比如安装了终端安全控制软件，您得让用户从内心认可和接受，不然人家很容易明里暗里不支持的，不是卸载禁用，就是找借口说这东西不好，影响工作。

如何制定持续的信息安全意识培训计划

想借购买信息安全意识教育培训内容来改进信息安全管理体系水平的想法比较普遍，这没有什么大错，但却是本末倒置，就比如一家组织想提升内部管理水平，于是买了一车管理书籍放那儿一样，这是方法不对。正确的方法是让安全意识培训计划配合公司的信息安全管理的整体状态和目标，如果不讲安全意识目标，就来战略——选择安全意识宣教产品和服务，让战略实施来促进虚无的目标，那不正是本末倒置嘛！可能您觉得没有那么夸张，只是目标没有那么清晰地被定义出来而已，这个说法可以理解，所以我说过，这样也没有什么大错。但是话说回来，每家组织机构的业务目标、IT环境、业务和安全风险各不相同，抛开这些因素，选择通用型的安全培训内容，显然不是那么合身和适用。

要合身适用，还是得与内部业务流程、与信息环境、与安全制度等结合起来，构建内容，当然这需要较多人力物力，大型公司将这些信息安全意识的内容创作工作外包，是不错的资源配置方式，这就比如去店子里量身定制一套唐装或西服。另一种战略选择方案则是在海量的内容中选择适合自己的，这种方式就像在多个店子里多挑选试穿，也能找到适合自身的。

定期、持续、持续、持续进行信息安全意识教育

做信息安全管理体系ISMS的，有套方法简称PDCA，戴明环，不断改进信息安全意识培训其实并不算是进行持续培训的目标，目标当然是与时俱进，配合公司的信息安全管理、IT与业务风险管理等等。

全球商业态势、信息科技环境、网络威胁、攻击手段在持续演变，信息安全意识教育也得持续地进行，可以根据特殊的安全威胁或事件，进行不定期的信息安全意识沟通。同时，不要忘了，信息安全意识教育培训不是一次性的项目建设，而应该成为一个可不断重复进行和改进的安全流程。将安全意识教育定期（Regular）地进行下去，就成了规章（Regulation），多有内涵的英文单词。

昆明亭长朗然科技有限公司为多家跨国机构创作了“量身定制”式的信息安全意识教育内容资源，获得了一致的肯定和好评。我们也有创作大量模块化的信息安全意识宣教素材，包括动画视频、卡通漫画、知识讲解、互动游戏、课件模块等等，这些宣教素材也被多家国内外知名机构选用，这些客户将有限的安全预算科学地分配和使用，获得了信息安全意识宣教方面的最大收益。

如果您对这个话题有兴趣，或者有需求，都欢迎您通过电话、微信、邮件等来联系我们，洽谈业务合作。即使您只是想来电聊一聊，或者想索取一些简单的教程资源，也是很欢迎的。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

教育关系到国家的未来，在保障国家政治安全方面，网络安全与保密教育的战略地位是“国之大际”。深入贯彻总体国家安全观，落实教育优先发展战略、加快推进教育现代化，需努力提升教育行业网络安全保密工作的保障力、融合力和战斗力。

教育为国为民，因此要坚持把安全与保密工作放到贯彻总体国家安全观的大局中去定位、思考、部署、落实，不断提高教育行业网络安全与保密工作的保障能力。突出维护政治安全，坚决落实意识形态责任制，牢牢把握关键环节和重要时间节点，化解风险隐患，切实担负起维护国家安全和利益的重大政治责任。主动适应总体国家安全观要求，突出抓好国家安全教育，深化构建的国家安全教育体系，构筑维护国家安全的坚固思想防线。

简单说，教育产业搞网络安全与保密意识的这个盘子很大，国家非常重视，市场经济利益也很可观。对此，昆明亭长朗然科技有限公司安全与保密宣教服务部董志军表示：教育需要安全与保密，安全与保密更需要教育。

为适应时代发展变化的需要，教育的改革发展需要更高质量的安全保密工作保驾护航。教育部门坚持在服务教育的战略全局中统一谋划和推动安全保密工作，进一步增强网络安全与信息保密管理的规范性、科学性，进一步提高保密服务的主动性、精准性，全过程参与、全流程管理、全方位服务。落实教育优先发展战略、加快推进教育现代化，需努力提升教育保密工作的保障力、融合力和战斗力。

从上层看，国家教育部积极配合各大部委，如工信部、公安部、网信办、保密局等，积极落实国家法规中关于网络安全与信息保密的教育工作要求，认真贯彻《网安法》、《保密法》《反间法》、《国安法》等，加快教育安全与保密管理制度建设，将安全与保密规定细化到每个环节、每个岗位，形成既适应教育工作实际又与国家法规相衔接的制度规范体系，让习惯适应制度，使制度成为习惯，推进网络安全与保密规范管理。为教育系统日常安全保密管理、高校军工科研保密管理、教育考试保密工作等提供实操指南，

从中层看，教育部门各机关、单位、高校定期举办网络安全与保密意识培训班。深入开展网络安全专业人员道德教育及涉密人员保密教育，组织开展网络安全与保密教育实训平台学习培训。通过身边案例警示教育、知识竞答、网络安全与保密讲座等形式，深入开展全员安全保密教育。推动包括网络安全、间谍防范、保密教育在内的国家安全教育纳入国民教育体系，构建完善的国家安全教育内容体系，组织编研国家安全教育教材，改进教育教学活动，确保总体国家安全观入脑入心。

总之，在加强教育保密工作的实践和探索中，要注意夯实制度建设，抓好贯彻落实，加强宣传教育，做实监督检查，深化人才培养。这是教育系统做好安全与保密工作的基本经验。切实推动教育安全与保密工作取得新的更大成绩。

谈了这么多，教育系统内外对网络安全与保密教育相关产品和服务的需求非常巨大，这是关系未来的大事业，也是网络安全与保密教育行业的大市场。昆明亭长朗然科技有限公司为教育行业贡献了大量的网络安全与信息保密相关的教育培训资源，包括警示案例动画视频、知识与试题库、互动教学模块儿等等，数百万教职工、高校及中小学的学生们从中获得收益，在这过程中，也间接地为国家的未来发展及社会安全稳定的战略贡献了点点力量。欢迎有兴趣了解更多的教育系统、网安系统、保密系统人员联系我们，洽谈业务合作。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898