传统上，不法分子使用电信诈骗手法针对网银用户，比如架设一个用于套取密码的假冒网站，通过海量发送“您的账户需要验证”、“点击链接领取退款”等诈骗短信，来吸引缺乏警惕或粗心大意的用户上钩。经过银行、公安、电信等多部门的联合反制，包括意识宣教、诈骗监测以及转账限制等手段，近年来这种骗术明显少了许多。不过，从人民银行一名工作人员那里得知，最近几大国有银行遭遇了新型的网络攻击，具体情况是很多用户的身份信息，包括姓名、支付卡号码、身份证号码、手机号码、密码等等被不法分子通过含有恶意软件的假冒网银APP给窃取了。

几大国有银行立即采取排查行动，及时通报受影响的用户，提醒其立即修改密码。令人意外的是，“官方”银行发出的不少提醒消息，包括电话和短信，大部分都被智能手机判定为“疑似”诈骗。即使接到电话或短信，很多用户也把其当是诈骗，并采取了立即删除短信、挂掉电话或与对方进行调侃等行为。从这类事件我们可以看出，网络安全问题的核心已经从技术问题转移到人为问题，而人为因素是非常复杂的，解决起来要比预想中的困难很多。

回顾很多网络安全入侵，包括近年来让各类机构损失惨重的勒索软件泛滥之源，都是包括操作系统在内的应用程序没有得到及时的漏洞修补，进而被勒索软件利用。然而，继续深挖会发现，应用程序的安全补丁没有得到及时安装，是因为对该工作负责的人员比如用户和IT管理员出现了疏忽大意。而且，很多机构的数据被加密之后损失惨重，因为他们没有行之有效的数据备份程序，更别谈什么高可靠性、灾备、业务持续性和灾难恢复计划了。对此，昆明亭长朗然科技有限公司网络安全管理专员董志军说：网络安全需要稳健可靠的技术控制措施，更需要行之有效的管理控制措施。有很多技术方案听起来很简单，做起来也不难，然而大规模的数据泄露和损毁事件却经常发生，网络安全问题仍然不时登上头条新闻。问题何在呢？再多的技术解决方案，没有人员参与工作流程的执行，就没有真正的实效。因此，网络安全本质上更多的是管理问题和人为问题，必须从管理的角度，从人员的角度加以考量和解决。

比如，针对桌面型终端设备，有些机构使用自动化的安全补丁修复方法，以便以最快速度安装安全修复程序，但最终用户却并不及时点击安装，更不愿在工作时间重启电脑，这就造成了一定的时间差，给“零日漏洞”攻击带来机会。问题不在技术，而在于管理流程的缺失和人员安全意识的不足。而针对重要的信息系统如服务器等，补丁修复的流程可能包含测试、备份、回滚预案、审批等等控制点，管理员和审批领导如果正好不在岗，或者稍一懈怠，等流程还没跑完，已经给“零日漏洞”攻击带来了巨大的时间窗口机会。重要的信息系统稳定可靠是第一位的，打补丁是重要的变更，相关的控制要严格，这是可以理解和认可的。但是安全漏洞也得及时修复，不然系统的稳定可靠也会受到影响，这两个问题看似矛盾，实则非常统一。解决之道是根据漏洞的紧要级别，设置修复相关工作流程的时间限制。这个道理很简单，操作起来却还需要很多系统管理员、IT经理和最终用户们强化规范操作意识、安全意识，并谨慎对待。

让我们再想一想，从技术操作来讲，安装应用程序的补丁，就运行一两个命令，或者点击“安装”、“重启”按钮而已，而在管理和人为因素方面来说，问题就很复杂。补丁有没有能够及时安装，问题不在技术，而在管理和人员。让我们跳出“应用程序”补丁的范围，从更广阔的“安全漏洞”来看，各行各业各种机构都会有各种安全漏洞，如果被恶意（有意）利用，甚至只是无意的失误，都可能带来严重的灾难，造成巨大的损失。在安全漏洞面前，人们可能无知或忽视，可能选择视而不见或者躲避绕行。而为安全负责的管理者必须做出行动，制定强有力的管理措施，推进安全漏洞的发现、报告和修复行动，提升人们的安全意识和觉悟，让人们重视并谨慎对待安全，进而改变人们的安全行为。

建立可靠的网络安全管理流程，让安全制度和规范成为可重复性的运维工作，是网络安全工作的关键。如果一家机构经常测试和上线各式各样的网络安全系统或设备，那无疑是管理失败的或者借机搞钱腐败的。在网络安全的人为因素方面，要让人们拥有基本的网络安全知识不难，要纠正人们的粗心大意，要让人们拥有足够的安全敏感度，可不容易。需要在安全意识方面不断加强，培养用户良好的网络安全行为习惯。对此，董志军补充说：我们应该有足够的信心，人们既然能够养成外出关家门的习惯，也必然可以养成离开座位清桌锁屏的习惯，以及看到安全补丁修复的提示，就立即安装并配合重启的习惯。

总之，在网络安全领域，技术措施必不可少。同时，技术的创新解决不了复杂的管理问题和人为问题。在当下，组织机构应该从管理和人员因素入手，一步步解决网络安全问题。昆明亭长朗然科技有限公司专注于帮助各类型的客户加强对职工们的安全意识提升工作，我们理解客户面对的网络安全管理问题和人为问题，通过我们的作品和服务，帮助客户提升网络安全价值。欢迎有兴趣的客户及合作伙伴联系我们，预览作品和进行商务采购。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

不少机关单位的高层领导，甚至网络安全负责人员，都有一种假设，就是只要拥有足够强大的技术防护措施，就可以高枕无忧。比如：使用网关、邮件、桌面等多重防病毒体系，就可拒计算机病毒于门外；使用防火墙和入侵检测与防御系统的报警和切断方案，就可以自动发现和阻止潜在的黑客攻击；使用动态的和足够大的带宽，可以让分布式拒绝服务攻击者望而却步……对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：如果网络安全工程师这样认为，我觉得可以谅解，毕竟这些技术管控和工程师们的日常工作密切相关。但是，高层领导和网络安全负责人员也这样认为，就显得不正常。因为不管防御系统的架构设计多么完美，日常防御的运营维护多么专业，没有一套至上而下的管理体系和制度规范，单靠提升技术方面的防御能力，就如同缺乏智慧头脑的一介武夫，缺乏正气，容易走偏，也就是进入武侠剧中“走火入魔”的状态。

那么，如何建立网络安全方面的“正气”呢？要了解网络安全在组织中的重要性，以及保障网络安全的常规方法论，在“大图景”之下，不至于剑走偏锋，也不至于被少数利欲熏心的网络安全厂商洗脑制约，或被厂商潜藏于监管机关中的代理人忽悠蒙骗。对此，董志军补充说：各类型的组织机构都不得不强化网络安全工作，特别是政府机关单位和关键信息基础设施行业，在网络安全法等相关法规的要求之下，不得不实施各种网络安全举措。搞好网络安全工作，这本身是一件有利于组织机构，亦有利于国家和人民的好事儿。但是就是有少数部门和机构、小团伙及个人，为了自己的利益，曲解网络安全法的精神，滥用法律为自己谋利。比如，借助自己的专业资质和能力，把几百块成本的网络安全设备，卖到几万甚至几十万、几百万。再比如，把一件很简单的安全评估、检测和审查工作神化，动辄索取几十万的“通关”报酬。当然，有既得利益人群会说：向国家机关单位多要些钱有什么大不了？钱不就是要“取之于民、还之于民、用之于民”么！问题是钱真正的“用之于民”了吗？还有那么多要靠自己艰难挣钱的组织机构特别是中小企业如何负担得了昂贵的网络安全呢！如果大量的民间企业网络“不安全”，那整个国家能获得“网络安全”吗？

了解了国家层面的网络问题症结所在，也就知晓该如何在组织层面进行应对，最重要的一步当然是加强网络安全管治方面的学习，国家有通过“网络安全宣传周”搞大规模的网络安全扫盲和普法活动，但是主要是针对普通百姓的，关于如何搞好网络安全管理则非常缺乏，因此不要指望太多。您可能会说，国家有发布相关的信息安全、网络安全标准和指南，多部委及监管机关也有发起指令，按照指令行事就好。您这么说大的方向没错，按照类似信息安全管理要求或等级保护管理要求等等国标行事，自然是走在正确的方向。

不过，不要以为大方向对，就不会再走偏。需知，某些标准和指南也是厂商的利益体现。简单说，很多厂商为了自身的利益，为了多卖些产品或服务，在国家标准起草时，就积极参与相关工作，而那些标准化机构中的一些工作人员，不排除有被其收买的。并不是说国家标准会推荐一些厂商的产品或服务，而是要实现国家标准中有的相关安全控管目标，最快捷的方式就是采购那些产品或服务。这虽然有些绕，但不是一回事儿，堂堂大国还是很光明正义的。但是世界之大，难免会有些钻营之徒，影响国标，在国标中弄一些苛刻的过分的，甚至没有必要的安全要求出来。虽然那些苛刻的过分的安全要求对于网络安全来说有一定的促进性，但是在全局层面，也是在浪费国家和社会资源呀。况且，如果在某方面的安全控管过力，往往会带来反作用力，过犹不及，同时，让另外的方面欠缺，造成一种不稳定的失衡局面，并形成不被注意的安全漏洞。更为恐怖的是，在网络安全防御方面，过度自信的危险性很高，还不如一点儿都不自信。

那么，如何让包含领导干部或企业高管在内的所有职工在网络安全方面保持谨慎呢？一些简单的方法包括在领导干部会议、公司会议中讨论网络安全文化建设，向全体职工发送网络安全消息，在内部传递网络安全信息，以提升网络安全意识。整个组织机构中的人员都应该接受定制化的安全意识培训。当然，应该从高层领导层开始，高层以及高层的助理往往是网络安全的高危人群，应该从网络安全认知研讨、行动养成计划、个人网络安全模拟以及技能实践演练等多个方面多头并举。对于技术人员来讲，培训应该包括特殊技能的培训，比如如何加固系统平台，如何侦测不合乎要求的终端，如何制定切实可行的安全策略等等。对于网络安全管理人员来讲，培训应该包括如何制定安全方针政策，如何对标进行合规自检和整改措施，如何对一般员工进行网络安全意识培育，以及促进安全制度的落实并推进组织安全文化的构建。

政府机关单位的网络安全做法虽然有些低效，但是值得公司企业参考借鉴，从经济性角度讲，网络安全管控措施过于细化不划算，使用更为简单的安全方案往往是最有效也最实惠的。不要迷信于自动化的技术措施，人工智能永远落后于不法分子利用“人性弱点”发起的社会工程学攻击。要加强整体组织层面的全体动员以应对网络安全问题，团队协作迅速响应才是致胜的关键。当然，政府机关单位必须善于利用外部资源，因为网络安全水平差距太大，请专业的网络安全服务公司或网络安全公安机关帮忙，方能拥有可与外界威胁抗衡的网络安全实力。

定期评估检查网络安全控管措施的有效性非常必要，在领导干部及管理层会议上强调网络安全，分派安全沟通议程是在对高管层赋能，而针对全体职员的网络安全教育工作是在加强沟通与凝聚，以强化终端安全及人员安全，以“人民战争”的正义态势，形成全面的网络安全防护体系。昆明亭长朗然科技有限公司推出了专门针对职场工作人员的网络安全与信息保密意识课程，以帮助各类型的组织机构建立有正气的网络安全文化和网络安全工作氛围，欢迎有需要的客户或伙伴们联系我们，洽谈合作。当然，如果您对文中的这个话题有兴趣或者有自己的观点看法，欢迎联系我们，以进一步深入探讨。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898