在上个世纪60年代，Warren Moore是一个在一家服装公司IT部门工作的年轻人。一次，Moore纯粹出于好玩，在他们公司的IBM大型主机上编写了一些代码，使得他可以匿名向同事发送信息。可是他的恶作剧却造成了严重的后果——匿名信息被插入了一份销售预测报告中，而这份报告是要送交给公司副总裁的。

“很幸运，我并没有被解雇”，40多年后，Moore回忆道。他现在已经成为一家咨询公司的信息安全顾问了。Moore补充道：“虽然我保住了工作，这件事情却让我注意到计算机的信息安全问题，那家服装公司也注意到了这个问题——它们给员工们提供了控制计算机的机会。”对于那家服装公司而言，Moore事件是一件好事，使得它们走在了时代的前沿——在IT技术还没有普遍应用时，就开始对员工进行系统安全方面的培训。而即使在四十年后的今天，众多的公司依然缺乏对员工进行系统安全方面的培训，公司也缺乏相应的安全保障制度。

公司缺乏安全培训
NetIQ是一家安全和系统管理方面的公司，Chris Pick是该公司负责市场策略的副总裁，他同时还是Human Firewall的创始人之一。Pick的观点与本文主题不谋而合：“人是安全最薄弱的环节。而教育则是第一道防线。”可惜，直到今天遵循这条规则的公司还并不多见。

去年，Human Firewall进行了一项企业安全调查。在参加调查的企业中，有48%的企业从未给他们的员工进行正式的安全培训。而在那些提供了安全培训的企业中，在过去半年中提供类似培训的也只有15%。其他安全顾问公司，也进行了类似的调查，得出相同的结论。在今年3月，美国国家网络安全协会就极力敦促企业增加更多的安全教育培训。

个人电脑用户通常被认为是安全链条上最薄弱的一环。最近一份由Evans Data市场研究公司制作的调查报告显示：25%的受访者认为计算机安全最大的障碍就是用户不遵守公司指定的安全规则，而10%的开发人员认为安全解决方案对于普通用户而言太复杂了。对于公司而言，一个缺乏足够安全知识的员工绝对将会给公司带来巨大的安全损失，即使在技术飞速发展的今天，仅靠技术提供安全保障也是远远不够的。

千里之堤 溃于蚁穴
来自一家名为Westfield Group的金融保险服务公司的IT经理Mike Breth说：“很遗憾，人们在打开E-mail附件时，很少会考虑清楚。每次当收到一封新邮件时，人们总是会忘记过去的教训，重复以前的错误。”这样的事情在公司内部反复出现，最终会让整个公司陷于瘫痪之中。当病毒在公司内部大规模的蔓延时，关闭整个企业的电子邮件系统成为最后的手段，虽然这种措施的代价非常高昂，但它确实惟一行之有效的方法。

“虽然人们使用计算机的时间已经超过40年了，可是大家却很少去关注安全问题。”Moore如是说。虽然越来越多的公司认识到安全问题的重要性以及病毒对企业运作的影响，但是当要求他们增加对员工进行安全教育的投资时，很多企业却不愿意花费这笔钱。虽然反病毒厂商提供了很好的安全解决方案，但是这些方案只能解决技术层面上的问题。对于安全问题的实质——加强对员工安全培训——则不是上述方案所能处理的。

虽然10%~20%的大企业在员工安全培训方面已经采取了一定的举措，但是当我们问及其详细的安全培训计划时，却发现很少有企业有真正完备的培训方案。他们所做的一切就是将企业的安全策略在公司的网站上公布出来，而这就是他们所谓的“安全培训”。

John Thompson，一家安全公司的负责人，长期以来他一直大力提倡公司针对安全问题开发相应的培训项目。Thompson指出，仅仅依靠技术是无法解决公司的安全问题的。“安全是一个过程，技术是这个过程中的一个重要环节，不过技术却不能确保你是安全的”Thompson说道，“举一个最简单的例子，对于房屋而言，与之相配套的安全措施就是门锁。但是，如果你不熟悉锁门的步骤，或者忘记锁门，那么门锁也无法给你的房屋提供任何安全保障。”他还强调，如果公司的预算是固定的，那么最紧迫的任务就是为员工提供安全培训，而不是给每个员工配发公司的安全策略手册或者将之张贴在公司的内部网站上。

正本溯源