网络风险是当今人们无法逃避的话题，小到针对个人的网络诈骗，中到针对组织的网络入侵，大到针对国家的网络战争，在各个层面，各种角色的人们对网络风险的理解各有不同。对此，昆明亭长朗然科技有限公司网络安全研究专员董志军表示：当今社会及可见的未来，网络应用越来越普及，网络风险总是随之而来、挥之不去。网络安全关乎国家安全、社会稳定和人民利益，因此，我们必须把网络风险纳入到更大的风险管控框架体系，不能简单的局限于传统的技术领域。

既然要从更广阔的视野更大的格局中看待网络风险，我们就需要明确风险应对的职责，再不能单单只是信息科技部门的份内事情。传统上，基于技术风险的系统设备安全和信息数据保护，是首席信息官或首席信息安全官们的职责。然而，整体的组织业务风险与安全，通常在于组织治理框架之下，归属董事会的职责。网络风险应该被视为组织风险或商业风险的新形式，这样就不局限于IT的范畴了。

在风险应对之前，需要选择一个合适的风险管控框架，类似等级保护和ISO、COSO等等这些通用框架虽然有些局限和偏重，但是可以参考和借鉴。使用这些方法来评估当前的风险，通过自查的方式来找到差距，是了解网络风险现状的关键。当然，如果内部资源不足，聘请独立的第三方评估机构，特别是受国家重点监管的行业，更需要引入有评测资质的第三方机构来帮忙，通常来讲，第三方评估机构能够发现组织内部觉察不出来的风险隐患。董事会对风险管控很在意，定期的会议上，网络风险的管控议题，包括风险管理的现状、目标、计划等等一定得讨论和汇报。

有了董事会和高层的重视和支持，网络风险应对计划将被分解成具体的工作任务，不要以为零碎的控管措施拼合起来就能达到总体的应对目标，风险应对需要全面、有机的沟通领会，即建立网络风险应对文化。通常从科学的角度来讲，大多数的网络风险难于彻底消除，只能通过一定的安全管控措施来降低到可接受的水平。无论采取什么样的行动，什么样的举措，记得不是花大价钱，从根本上彻底消除，而是在组织整体风险管控层面，进行综合有机的管控。如果不了解风险管理的精神，缺乏风险应对的文化，就盲目采取安全行动，相关的举措可能会带来新的更严重的问题和风险隐患。

建立网络风险应对文化需要从网络安全意识入手，安全意识计划不仅仅应该包含网络安全工作实践、安全政策方针等等方面的员工教育，还应包含风险管理的基础理念、知识和技能。很多组织在网络安全方面投入巨资，特别是在安全技术方面，而员工们对此却毫不知情，造成配合方面的脱节，甚至引发对安全技术的误解、躲避甚至抵抗。网络风险教育计划还应该包括合规、保密（隐私保护）、以及网络钓鱼（社交工程）等领域的培训宣导。网络安全与私密保护相关的法规要求会越来越严格，违法是一项最大的网络风险。同时，电信诈骗和网络钓鱼往往利用的是人性的弱点，很难从技术方面完全防范，所以也是一项顽固的网络风险。

只有持续不断坚持不懈的网络安全意识宣教才能在组织内建立起风险文化，不断提醒非常重要，通过安全检查活动，明确说明不安全的状态、行动中蕴含的安全风险是建立安全文化的关键技巧。职工们知晓什么情况有危险，该做什么或怎么做才能纠正和防范风险，需要长时间的理念熏陶和习惯培养。记住：仅仅靠向受众提供网络安全意识培训内容，并不一定会让受众理解并接受，受众的行为也不一定会因此而改变。这就需要强调测试、监督、检查、衡量和改进方法的必要。只宣讲，不考核，受众可能根本没收到或没理解。不监督、不检查，就不知道受众是否真正认可和接受。

要在风险应对方面有所成效，必须认识到人为风险，包括有意的恶意破坏或无意的大意失误，都需要组织建立并不断改进网络风险文化，需要让员工们知晓在各种情况下应该怎样做才是正确的。只有员工们拥有了网络风险意识，才会在实际工作中发挥主观能动性，才会全力将网络风险应对工作“拧成一股绳”。网络安全公司通常会觉得找几个黑客级的技术高手，挖一些安全方面的天才少年，建立一个应急响应团队，就表示拥有了强大的安全能力，可以应对组织所主要面对的网络风险。这明显是一种对网络风险没有清晰认识的误区，网络风险分布于组织的各个角落，不仅针对高阶团队和高价值的信息系统及数据，也针对全体员工。因此，要应对网络风险，需要广泛发动群众，不能只靠个人英雄主义和VIP保护主义。

昆明亭长朗然科技有限公司致力于帮助提升全民的安全意识水平，我们帮助各类型的组织机构策划、组织和实施安全意识宣教活动，我们提供多种形式的安全宣教素材内容，欢迎有兴趣和需要的单位和个人联系我们，洽谈采购与合作事宜。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

在缺乏全面的网络安全培训的情况下，网络威胁可能在几秒钟内对组织造成严重的破坏，进而对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成危害。为什么这么夸张呢？昆明亭长朗然科技有限公司网络安全管理员董志军说：这是因为从漏洞的发现到它被恶意利用的时间越来越短。尽管各类信息系统的开发商、服务商和运营者越来越重视安全漏洞管理，网络运营者也部署了大量的技术防范和应对措施，但是由于管理和人员方面的漏洞，令技术措施无法发挥充分的效力，进而无法拥有全面的能力来应对网络威胁。

如果您关注网络安全新闻和数字，每周都有令人大开眼界的安全事件发生，不明真相的门外汉总以为是被入侵的一方网络安全实力太弱，其实，十之八九那些受害者都不是技术不如人的原因造成的对抗失败。让我们更深入地了解一些吧！

96%的员工都认为个人的便利高于工作单位的安全

根据云计算公司亚马逊对全球千余名全职办公人员的最新匿名调查，有96％的人承认做了至少一项可能严重威胁其工作单位网络安全的行为。员工承认的一些危险行为包括：

• 自动在工作设备上保存工作密码，以免重复输入（94％）
• 将工作文档发送到私人邮箱中（89％）
• 将工作文档保存到桌面上（86％）
• 离开公司后访问公司文件（49％）

此外，可能还有其他未报告的或未引起注意的危险行为。报告总结说：在存储和共享数据以及保存密码时，员工优先考虑个人便利而不是安全规范。

85％的公职人员遭遇过网络安全问题

根据腾讯、阿里、百度和360团队的一项最新的综合大数据研究，85%的机关单位公职人员都经历了某种形式的网络攻击。

那么，通常网络攻击的起始点是什么呢？出人意料的是网络钓鱼夺得鳌头，占58％；其次是计算机病毒，占48％。该项研究还发现：来自省（自治区、直辖市）级的公职人员遭受攻击的可能性是区县级公职人员的两倍。中央部委和集团总部的公职人员遭受网络攻击的可能性最高，因此，公职人员需要加强安全保密意识，必须接受及时的网络安全培训，以保护好工作单位，减轻安全风险。

网络安全培训是最好的防御

不可否认的是在国内，如腾讯、阿里、华为、百度、奇安信、启明星辰、天融信、安恒、蓝盾等等拥有业界领先的网络安全人才，因此可以将高超的网络安全技术化为简单易用的网络安全产品或服务。对一家组织机构来讲，建立和执行基本的安全性最佳做法广为人知，并没有什么高深的学问。但是懂得如何做，有相关的技术资源并不足够。互联网大鳄及网络安全公司自身都会遭受规模巨大的网络攻击，并受到严重的破坏，何况并没掌握专业技能的组织机构呢！

那么，该如何让工作单位积极应对网络威胁呢？

答案很简单，强化管理能力和安全制度的执行力，一方面，能让网络安全技术措施真正的发挥效力，让那些网络安全设备和服务运作起来，而不再是上线之后慢慢退出使用，再换新，再退出使用；另一方面，能让工作人员的安全能力强大起来，当人人拥有了应对网络威胁所需的防范意识和技能，并且能够认真对待安全要求，严守网络安全规章制度，那么网络钓鱼、计算机病毒等等就很难利用最终用户的人性弱点和计算终端的安全漏洞。

网络安全意识教育与培训已经被列入法规的强制性要求，以及国家、行业的标准。包括公司企业和机关单位在内的各类型组织机构，都应该积极建立网络安全培训计划，重点对管理人员和新入职人员进行培训，网络安全年度培训也应纳入总体培训计划，以确保不断了解并能够利用最新的网络安全技术。切记：培训技术专业人员以便其能够驾驭技术控制措施，是很有必要的能力提升工作，更必要的是培训管理人员和最终用户。专业技术人员的能力提升需要在安全技术实战中锻炼，最终用户的安全意识也需要在日常工作中培养，这一切都少不了安全管理的手段和坚持不懈的安全运行。

昆明亭长朗然科技有限公司拥有业界资深的网络安全管理团队，我们将数十年的网络安全工作经验进行提炼，创作出大量的网络安全培训课程，有助于帮助所有组织机构的工作人员加强安全意识，提升安全技能。同时，我们使用在线培训系统，以节省培训管理人员的时间和金钱。这些网络安全培训不仅有助于保护组织机构的信息及系统，对于所有职场工作人员来说也是难得的宝贵机会，因为领会到网络安全管理理念和基本方法，更容易晋升到管理岗位，获得更多职业向上发展的空间。

如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898