“红衣教主”的周大炮，曾经提出过“大安全”的提法，翻了其提到的内容，应该主要涉及到了两块，一是安全生态的建立，意思就是安全行业不要再囿于自身狭窄的事业范围，面要扩大，路要更宽，责任感要提升；二是安全行业不仅仅是打打杀杀，不仅要治标，还要治本，要从意识上提高。从这块，不由的觉得有点想法谈谈。

什么是安全意识？眼观天下，现在挂着做安全意识的公司零零散散的还是有不少的，各家基本上套路相同，方法不同而已，在国外Gartner分析报告，针对这块也有专门的“Security Awareness”方向的分析报告，仔细看看，其实出发点还是存在差异，国内的安全意识主要目的通过直观手段，让用户买服务，买东西，充当一个babysitter或bodyguard的角色，我告诉你why，然后你交给我do that即可；国外依据Gartner的说法，这个安全意识可能不仅是show肌肉，更多的是要在被服务对象中形成可扎根的东西，让其从骨子里形成一种本能的意识。结合个人的感觉，可能国情不同，国内外安全的打法和套路一致存在差异，所以安全意识这玩意可能还真没法用一个标准进行衡量，但是，回到教主谈到的内容，对“安全意识”这个东西还有点想法。

一、安全意识肯定要治病救人

这个点毋庸多说，对于已经问题累累或刚出现的服务对象来说，安全意识从已经发生事情现象回溯让其明白其发生的问题在哪以及与其相关的原因，从不知所措到知其然，这个相当于花钱买教训，通过真切的感受明白信息/网络/数据等安全措施的缺失、安全体系的缺失、安全意识的缺失将会带来什么样的更严重的问题；

二、安全意识更要惩前毖后

除了治病救人，安全意识承担的重要职责中坚阶段是要防患于未然，不能治了病吃了药就不管了，因为，这只能治了一时的伤，没法杜绝未来的病。所以，发挥被服务对象主体的主观能动性和自主自觉性，将安全标准，方法，工具等基本安全意识让其IT专门人员掌握，应该是将安全威胁消灭在萌芽阶段的基本防护措施，而不是简单的部署几台设备，安装几个高大上的软件，编写几个只有“自己人”看得懂的文档。虽然有人可能会问，这么一弄，谁还买安全的东西？反过来想，如果总是在低端的状态重复买卖，被服务对象一直没有这种安全意识，他又能知道需要什么东西呢？只有具备了基本安全意识的被服务对象，才能更能针对性和有效地促进安全整体的发展，反过来推动和带动安全体系的迅速推进。更何况现状是安全这个非高频的行业已经被治完病就走的模式带的原来原有自high的状态了。

三、安全意识最终全民意识

国家的网络安全周，其实挺好的，虽然现在真正关注的民众还没有那么多。其实这种形式和方式，和安全意识的惩前毖后是一脉相承的，即，从小范围的安全意识建立，到全民的安全意识的建立，这种模式才是信息安全产业最终的发展态势。试想，一个民众都不了解的行业，最终能有更广阔的发展天地么，那是不可能的，生病知道打针吃药，那是因为有本能的意识，信息安全意识一样，只有民众从骨子里觉得这是一件关乎自己的必需品时，才能形成以全民为基础的安全大生态！这种生态下，专业安全公司/机构/部门发挥其精专的特长，民众反过来通过其安全意识激发的有效反馈形成正向反馈和推动，更好促进安全行业的质的飞跃，另一方面可以更好挤压暗行业的空间。

安全意识前期肯定是众多服务对象最不愿意投入的方向，看不见摸不着，都在人脑子里，但是换个思路想，如果尝试着将服务对象从仅仅是用户的方面进行调整，让其至少成为自己老师的话，这时候可能会出现不一样的场景，他可能只是个小学老师，但是他至少能更好的服务其所在工作环境，同时，安全企业作为更专业的大学老师，会把更新的成果传授给他，这样形成传帮带的形态，而不仅仅是做一个生意，而是建立一种教学相长的态势，从而达到安全意思状态的不断自我提升，而不是简单的售卖产品和服务。