近年来，针对各类型机构，不法分子实施了大量的网络攻击，包括身份盗窃和传播破坏性恶意软件，这些攻击带来了严重的风险。犯罪分子通过窃取用户名、密码和电子邮箱，并使用该用户身份标识对系统进行身份验证或窃取系统访问权限。每种系统权限的失窃都会带来不同的风险，从利用账户信息进行进一步的商业财务欺诈、知识产权等敏感信息盗窃，到使用员工身份访问内部系统进行系统破坏或修改、或对机构的内部数据进行篡改或损毁。对此，昆明亭长朗然科技有限公司网络安全研究员董志军称：其实，我们从大量安全事件的调查响应情况来看，追查到底，类似机密信息失窃、钱财被骗走等等的根本原因往往都是账户被黑客入侵了，或者系统由于感染了病毒、木马等恶意软件而被黑客远程操控了。当然，我们不排除某些系统在设计和开发方面存在安全弱点，被技艺高超的黑客发现而利用。不过，由于所谓的“零日漏洞”所造成的安全事故其实非常少，大部分由于系统软件或应用程序的安全弱点所造成的安全事故，还是由于管理员或用户们没有及时安装安全更新（补丁）的原因。

因此，各类型的组织机构需要使用科学的技术方法，从而减轻各种信息技术风险，这些技术包括持续的信息安全风险评估、安全监控、定期对关键系统的控制措施实施测试、以及为员工提供安全意识和培训计划。

传统上，组织机构依靠IT专家来专门处理网络安全问题，不过这个“技术保障安全”的时代已经结束，在新时期，网络安全上升到管理层面，管理层必须采取必要的措施，以确保在网络攻击后迅速恢复、重启和维护机构的运营。

那么，该如何减轻风险？董志军表示：组织机构应设计多层安全控制措施，以建立多道安全防线，并考虑诸如下列的行动步骤：

信息安全风险评估。组织机构应该持续进行安全性的评估，以应对新出现的和不断发展的威胁。识别、确定、分级并评估关键系统的风险，重点在于识别出包括对各种控制系统以及其他安全和防欺诈措施的应用程序的威胁。第三方服务提供商也应接受对其安全控制措施的定期测试，并有责任和义务在出现安全问题时提交安全事件报告。

安全监控、预防和风险处置。组织机构应首先建立基准环境，以使其能够检测异常行为，并监视防护和检测系统，以及随后的防火墙访问控制系统。同时，还应根据需要进行渗透测试和漏洞扫描，并迅速管理漏洞。

访问权限管理控制。为了降低风险，组织机构应限制特权用户账号的数量，并定期进行审核以确保访问权限适合工作职能的需要。同时，应该为不活动的账号建立严格的到期期限，并为基于Web的网络应用设立多因素协议身份验证规则。此外，提供用于远程访问系统的安全连接并设置默认密码的修改策略和密码的使用期限策略也将有所帮助。

关键系统的控制。组织机构应定期检查和测试关键系统的适当控制措施（例如访问控制、职责分离和欺诈检测系统），并在必要时将结果报告给高级管理层和董事会。传输和存储中的数据都应进行加密，并且在超过尝试次数阈值后限制并锁定对关键系统的登录。

安全意识和培训。在整个组织机构范围内，进行定期的和强制性的信息安全意识培训，包括如何识别和防止成功的网络钓鱼企图。要让员工们理解并接受信息安全要求，需确保安全意识培训能够反映员工们的安全角色和职责。

参与安全情报信息共享。由于威胁和手法可能会快速变化，因此参加诸如安全前线之类的博客、论坛、公众号等威胁情报发布渠道，组织机构可以提高识别攻击手法并成功缓解新型网络攻击的能力。

在此要补充声明，组织机构应特别注意破坏性恶意软件的危害，员工下载附件、连接外部驱动器或访问受感染的网站都可能会将破坏性恶意软件引入系统。组织机构的管理人员应维持足够的业务连续性计划流程，以确保在涉及破坏性恶意软件的网络攻击后，组织机构的业务能够快速恢复、重启和维护。

如果组织机构或其关键服务提供商成为此类网络攻击的受害者，则组织机构应制定适当的流程来恢复数据和业务运营，并解决网络功能重建和数据恢复的问题。这应该包括保护离线数据备份不受破坏性恶意软件攻击的能力。

总之，数十年来，尽管信息技术自身不断演变并带来了各种新的变化，但是信息安全管理手法无甚新招。尽管如此，仍然有不少信息安全人员以及管理层对这些知之甚少，所以有必要再次回顾这些信息安全管理的科学方法，从风险管理的角度实施关键的安全管控措施。话说回来，对于很多网络安全专业人员来讲，动动嘴皮容易，道理也很容易懂，然而，真正能做好安全管理工作落实的，却总是那么的稀少。如果您对本文所倡导的信息安全科学管理方法有意见或建议，欢迎不要客气地联系我们。如果您有安全意识和培训方面的需求或想法，更欢迎您联系我们，洽谈业务合作机会。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

公司是否应该花钱对员工们进行安全意识培训呢？在信息安全业界，尽管多数安全管理方面的专家都赞成进行安全意识培训的必要性，但是仍然不时有极个别的反对声音，认为对最终用户进行安全培训是在浪费时间，而且那些培训费用完全可以用在其它的地方。

我们今天就来讨论一下这个在海内外仍然存在少量争议的课题。

首先，我们谈一件安全投资是否有必要，得有一个预期的收益，也需拿出可以进行衡量的可行性标准，并据此测量安全投入是否达到了最初的设想目标，即所谓的安全投资回报ROI。不过，在广泛的计算机网络信息安全领域，尚无可以借鉴的广为接受的投资回报算法，因为想量化安全事故可能带来的潜在损失和安全投入所能挽回的潜在损失是一件不可能的事情。即使在风险管理领域，有些计算公式，类似风险=漏洞*威胁*影响*概率之类的公式，不过这些也只是停在安全理论层面，根本不能被最佳信息安全实践操作所理会和采纳，所以成熟的安全风险评估和管理通常采用定性的分析方法。正因为如此，否定对员工们进行安全意识培训的必要性，明显是站不住脚的，就如同某些安全专家建议用户不要安装杀毒软件一样荒谬。

其次，对安全意识培训持反对意见者可能会质疑安全意识培训的成效，的确安全意识培训不像安装配置企业防火墙一样，设置了一条规则之后便可立即看出效果。安全意识培训的对象是人员，而人员则是信息安全要素中最复杂的最脆弱的一环。企图通过安全意识培训让员工们都成为信息安全方面的模范遵循者，简直就如同在地上画个圈，让人站在里面不要出来到处乱走一样。但据此来说信息安全意识培训无用也太不负责任，信息安全意识培训本身只是一种安全理念和技能的沟通方式，即使主动发布信息的一方，通常是安全意识培训讲师发出了正确的安全讯息，安全意识的接收者也可能不接收、不理解或不认可。这并不是安全意识培训本身的失败，而是尚需更多安全管理措施来配合。就如同购买了价格昂贵的防火墙，规则配置上却缺乏适当的安全策略标准指引，或者防火墙管理员偷懒，随意配置允许任意源随意访问任意目标一样。有些现成的方法可以帮助衡量安全意识培训的成效，比如在培训前后通过信息安全基础测试来了解员工们对安全理念的掌握情况，通常经过培训之后员工们对信息安全的认知都会有所提升。

再者，安全意识培训的反对者会认为安全意识很难影响安全行为，的确，人们对某些事物的认知和行为可能并不一致。昆明亭长朗然科技有限公司的安全咨询顾问James Dong举例说：几乎所有的城镇人口都会从小就被教育遵守交通规则，但是仍然随处可见闯红灯和穿越马路的情景，我们能否认说交通安全意识教育不能改变交通安全行为么？当然不能，违反交通安全规则的自有他们的“道理”，比如认为交通灯不够灵活、穿越马路较近更节省时间等等。我们可以肯定的是，这些人在违反交通安全规则的时候，多数知道自己的行为是在违反，假想我们不教育人们遵守安全交规，那世界会混乱成什么样子？要让安全意识和安全行为有效关联起来，需要的是激励措施，奖励积极向上的安全行为，处罚恶劣的不安全行为，自然而然便能建立起“知行合一”的安全合规文化，但看新交规实施以来的威慑作用便知一二。

最后，安全意识培训的反对者会认为这些资金和人力的投入可以通过其它安全控管来获取更好的效果，说这些的往往是些急于推销安全技术产品的厂商，我们不排除很多安全问题可以通过形形色色的技术控管方式来解决，比如防止用户有意或无意犯错。我们不得不说的是这些安全控制技术都需要人员来操控和使用，它们要发挥效用的最大假设前提是人们的理解和支持，不通过安全意识培训，如何获得理解和支持呢？此外，老人们常说“淹死的人通常都是会游泳的”，不屑于安全意识提升的技术专家们，冒险精神可嘉，但较安全技能并不是很高超的普通用户更可能成为安全事故的发动者或受害者。