当下，网络犯罪正在成为各类型组织机构不得不面对的一个主要问题。在过去五年中，网络不法分子对企业机构的攻击数量翻了两番，因此，各类型的组织机构需要寻找创新的方法来加强网络安全防御。对此，昆明亭长朗然科技有限公司网络安全教务专员董志军表示：权威调查表明，在所有成功的网络攻击中，有80％以上是员工们在不知不觉中提供了信息的结果。如何解释这种情况呢？原因在于随着网络和系统变得越来越难以突破，网络犯罪分子越来越多地将员工作为攻击目标或跳板，因为员工们是网络犯罪分子进入企业网络并窃取敏感数据的最佳利用者。

可以这么说，网络犯罪分子和组织机构都在争取员工们，组织机构在强化员工们的网络安全防范意识和技能，这对于组织机构的安全运作至关重要。网络不法分子却希望目标机构的员工们个个都是白痴，希望人们没有一点保持公司网络和信息系统安全所需的信息和知识。可惜的事情是，几乎一半的网络信息安全领袖们承认，尽管与员工相关的安全事件数量大幅增加，但他们并没有实施员工安全意识培训计划，或者他们的安全意识培训活动远远不足以应对狡猾的网络犯罪分子。

那么，如何能够有效地提高网络安全防御能力呢？现在我们从战略层面向您分享如下三招：

1.制定有效的安全策略

将安全性纳入到组织的文化中，以确保所有员工都了解网络安全的重要性以及数据泄露和安全事件可能产生的深远影响。人为错误仍然是造成网络攻击的首要原因，网络犯罪分子迅速利用员工们网络安全意识的缺乏状况，来发动有针对性的攻击。组织机构应制定全面的安全策略，以便保护好敏感数据、积极应战网络威胁并确保组织的声誉完好。

2.保持防御措施的更新

除非组织具有彻底和连续的方式来监视网络安全合规性，否则安全策略可能变得毫无用处。安全形势在不断变化和发展，组织机构需要积极应对，因此，成功的关键在于对员工进行持续培训以确保他们能够对最新的安全威胁做出适当的响应。

3.安全意识培训

有效的安全意识培训对于赋能员工们识别不断增长的网络安全威胁并做出适当的应对至关重要。组织机构各个级别的所有员工都应接受此类安全意识培训，以确保他们具备识别攻击所需的安全知识和技能。当然，网络安全意识培训应具有足够的吸引力和信息量，以确保员工们了解组织机构对他们的要求，以及他们在保护组织敏感数据方面的重要角色和职责。

基本的网络安全意识培训将涵盖如下内容：

• 对员工进行面对的网络威胁教育
• 提高对信息系统和数据敏感性的认识
• 确保员工们遵守网络安全政策和制度规范
• 提供有关如何避免钓鱼邮件和其他欺诈手段的信息
• 培训有关密码、办公室安全及移动计算安全最佳实践指南
• 建立和不断改进倡导安全、保密与合规性的内部文化

昆明亭长朗然科技有限公司专注于帮助各类型组织机构建立针对全员的安全意识培训架构和体系，欢迎有兴趣和有需要的客户及行业合作伙伴联系我们，洽谈安全意识方面的合作。

在IT专业人员特别是技术极客眼中，传授人人皆知的安全意识，把安全道理和知识用大白话，让没读过书的人听懂，没什么挑战，一点儿技术含量都没有。对此，昆明亭长朗然科技有限公司网络安全专员董志军表示：信息安全技术专员们往往以为技术可以改变世界，这在早年，还有些道理。可是现今，这种说法的正确率降低了，信息技术已经普及到各类人群，甚至老年人都会使用智能手机，以及各种APP应用。当然，随着这些移动计算设备和APP应用的渗透，安全保障措施也越来越强大。然而，仍然有各种各样的原因，让众多用户成为网络不法行为的受害者，同时，造就了一批又不批的网络不法分子。

显然，在广大群众接受了领先的信息技术产品和服务之时，他们缺乏与之匹配的安全能力，包括最基础的信息安全知识和技能，这就形成了信息安全意识方面的差距，这种差距对某些群体或个体来讲，简单就是无法填充的“鸿沟”。因此，安全意识并不容易，相反却是真的很难。在相关部门、媒体和厂商主导的舆论宣传中，恐吓和说教的比较多，很少有基于经验的指导。

信息安全是一个状态，更是一个过程，组织机构会在整体过程中逐步建立和加强自身的安全体系。简单说：安全是一个旅程而不是一个目的地。尽管信息安全流程有许多策略和活动，但是我们可以将它们全部分为三个不同的阶段——预防、检测和响应。

对于一家组织机构来讲，除非员工了解他们在保护敏感数据和保护关键资源方面的角色和责任，否则世界上最好的安全技术无法提供充足的帮助。这样讲并不是否定技术控管措施的价值，更不是打脸技术专员。信息安全是一套管理体系，包括人员、流程和技术，流程涉及到法规、制度、政策、标准、实践和指导等等，人员与流程密切相关，必须培训员工，使其能够识别威胁和避免风险。

安全策略只有在员工接受过适当培训的情况下才会奏效。因此，提供信息安全意识培训的重要性不容小觑。意识计划的目标不仅仅是让员工了解潜在的安全威胁以及他们可以采取哪些措施来预防这些威胁。更大的目标应该是改变组织的文化，认识到安全的重要性，并获得最终用户的认可，作为抵御安全威胁的额外防御层。

要让员工准备好协助保护组织的信息安全，远远比找个老年人聊一聊网络安全要广泛和复杂的多。信息安全过程的最终目标是保护信息的三个独特属性，即：机密性、完整性和可用性。有些初入职场的新人，对这几个术语都是一头雾水，似乎没有必要展开更多。实际上，这种理论化的东西，却也是最基础的，入门必须的，因为很多问题和解决方案，都可以围绕这些基本术语展开。

• 机密性——信息不泄露给非授权用户、实体或过程，或供其利用的特性。简言之：信息只能由授权查看的人员查看。
• 完整性——信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。简单说：信息不得损坏、降级或修改。
• 可用性——可授权实体或用户访问并按要求使用信息的特性。一句话：信息必须在授权人员需要时提供给他们。

攻击以多种方式危害系统，这些方式会影响上述属性。对机密性的攻击将是未经授权的信息披露。对完整性的攻击将是信息的破坏或损坏，对可用性的攻击将是中断或拒绝服务。

如果专业人员这样和用户培训讲解信息安全，那路子虽然对，但是不够“亲民”，因为其缺少实例。

信息安全意识方面的专员，则通过以下方式宣传这些属性：

• 机密性——信息不泄露给非授权用户、实体或过程，或供其利用的特性。例如：支付密码及验证码等不泄露，如果泄露了，机密性就受到了破坏。。
• 完整性——信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。例如：交易数额是正确一致的，如果不一致，那交易就陷入混乱，完整性就受到破坏。
• 可用性——可授权实体或用户访问并按要求使用信息的特性。例如：交易时不会突然说系统故障或正在维护，如果遭遇黑客攻击或断电，那就是可用性受到破坏。

组织机构通过适当的安全措施，包含技术措施和流程措施，可以成功地保护这些属性。在事件发生前进行适当的规划将大大降低攻击的风险，并大大提高在发生攻击时及时有效地检测和响应的能力。

理想情况下，安全意识计划负责人员需要向以下部门寻求帮助，以建立安全意识计划和宏伟目标。

• 人力资源
• 安全保密
• 信息科技
• 沟通宣传
• 法务合规

一旦有了这些团队，需要有一个很棒的故事和动力让他们参与项目计划。例如：由人力资源培训专员对现有的培训资源内容进行洞察。沟通宣传专员梳理沟通流程，以便积极融入而不是束缚员工。信息科技部门，特别是帮助台专员将确定如何直接与员工沟通，使用什么样的语言措施，以及需要哪些知识材料；此外他们还将解决电子邮件中涉及的技术问题。法务合规专员则负责对培训承包商和顾问人员的合同进行审核。

一旦制定好计划，剩下的就是得到员工的认可，工作重点就可以转向确保他们获得保护业务安全所需的必要信息。有效的安全意识计划应包括对特定威胁类型的教育，包括但不限于如下主题：

• 恶意软件
• 社会工程
• 网络钓鱼
• 物理场所
• 计算设备
• 网络应用
• 信息保密
• 数据备份
• 邮件安全
• 社交媒体
• 在外工作
• 法规遵从

一个好的信息安全意识计划突出信息安全的重要性，并以简单而有效的方式介绍信息安全政策和程序，以便员工能够理解这些政策并了解安全作业程序，进而在工作场所遵循的有关网络安全、数据保护相关的政策和做法。

总之，员工们需要了解保护客户和同事信息的价值以及他们在保护信息安全方面的作用，还需要对其他风险以及如何在网上做出良好判断有基本的了解。培训员工是取得信息安全成功的关键要素，这不是一件简单的事情，需要专业的安全意识计划、可量化的目标和可行的科学方法，需要有一个团队来实施，也需要优质的资源内容。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。