淺談安全意識-從周鴻禕提到「大安全」想到的

近期，冠名以「紅衣教主」的周大炮，提出了「大安全」的提法，翻了其提到的內容，應該主要涉及到了兩塊，一是安全生態的建立，意思就是安全行業不要再囿於自身狹窄的事業範圍，面要擴大，路要更寬，責任感要提升；二是安全行業不僅僅是打打殺殺，不僅要治標，還要治本，要從意識上提高。從這塊，不由的覺得有點想法談談。

什麼是安全意識？眼觀天下，現在掛著做安全意識的公司零零散散的還是有不少的，各家基本上套路相同，方法不同而已，在國外Gartner分析報告，針對這塊也有專門的「Security Awareness」方向的分析報告，仔細看看，其實出發點還是存在差異，國內的安全意識主要目的通過直觀手段，讓用戶買服務，買東西，充當一個babysitter或bodyguard的角色，我告訴你why，然後你交給我do that即可；國外依據Gartner的說法，這個安全意識可能不僅是show肌肉，更多的是要在被服務對象中形成可紮根的東西，讓其從骨子裡形成一種本能的意識。結合個人的感覺，可能國情不同，國內外安全的打法和套路一致存在差異，所以安全意識這玩意可能還真沒法用一個標準進行衡量，但是，回到教主談到的內容，對「安全意識」這個東西還有點想法。

一、安全意識肯定要治病救人

這個點毋庸多說，對於已經問題累累或剛出現的服務對象來說，安全意識從已經發生事情現象回溯讓其明白其發生的問題在哪以及與其相關的原因，從不知所措到知其然，這個相當於花錢買教訓，通過真切的感受明白信息/網路/數據等安全措施的缺失、安全體系的缺失、安全意識的缺失將會帶來什麼樣的更嚴重的問題；

二、安全意識更要懲前毖後

除了治病救人，安全意識承擔的重要職責中堅階段是要防患於未然，不能治了病吃了葯就不管了，因為，這隻能治了一時的傷，沒法杜絕未來的病。所以，發揮被服務對象主體的主觀能動性和自主自覺性，將安全標準，方法，工具等基本安全意識讓其IT專門人員掌握，應該是將安全威脅消滅在萌芽階段的基本防護措施，而不是簡單的部署幾台設備，安裝幾個高大上的軟體，編寫幾個只有「自己人」看得懂的文檔。雖然有人可能會問，這麼一弄，誰還買安全的東西？反過來想，如果總是在低端的狀態重複買賣，被服務對象一直沒有這種安全意識，他又能知道需要什麼東西呢？只有具備了基本安全意識的被服務對象，才能更能針對性和有效地促進安全整體的發展，反過來推動和帶動安全體系的迅速推進。更何況現狀是安全這個非高頻的行業已經被治完病就走的模式帶的原來原有自high的狀態了。

三、安全意識最終全民意識

國家的網路安全周，其實挺好的，雖然現在真正關注的民眾還沒有那麼多。其實這種形式和方式，和安全意識的懲前毖後是一脈相承的，即，從小範圍的安全意識建立，到全民的安全意識的建立，這種模式才是信息安全產業最終的發展態勢。試想，一個民眾都不了解的行業，最終能有更廣闊的發展天地么，那是不可能的，生病知道打針吃藥，那是因為有本能的意識，信息安全意識一樣，只有民眾從骨子裡覺得這是一件關乎自己的必需品時，才能形成以全民為基礎的安全大生態！這種生態下，專業安全公司/機構/部門發揮其精專的特長，民眾反過來通過其安全意識激發的有效反饋形成正向反饋和推動，更好促進安全行業的質的飛躍，另一方面可以更好擠壓暗行業的空間。

安全意識前期肯定是眾多服務對象最不願意投入的方向，看不見摸不著，都在人腦子裡，但是換個思路想，如果嘗試著將服務對象從僅僅是用戶的方面進行調整，讓其至少成為自己老師的話，這時候可能會出現不一樣的場景，他可能只是個小學老師，但是他至少能更好的服務其所在工作環境，同時，安全企業作為更專業的大學老師，會把更新的成果傳授給他，這樣形成傳幫帶的形態，而不僅僅是做一個生意，而是建立一種教學相長的態勢，從而達到安全意思狀態的不斷自我提升，而不是簡單的售賣產品和服務。