网络安全需要完善的系统化的管理，涉及制度、技术和人员等多种要素。网络安全事件的成因有多种，归根结底是安全管理的控管措施不到位。如下，我们将细数造成安全事件的十种常规根本原因，并简要分析和给出整改建议。

1. 缺乏安全策略和程序：制定明确的安全策略和程序有助于确保员工在保护组织资产时了解自己的角色和责任。定期审查和更新安全政策和程序有助于确保它们有效且最新，并获得落地实施。
2. 缺乏安全意识：员工如果不了解组织数据和系统的潜在风险和威胁，就更有可能犯错误或成为网络攻击的受害者。有关网络安全最佳实践的定期培训和教育可以帮助员工了解其在保护组织资产方面的作用的重要性。
3. 缺乏访问控制：访问控制不足可能会导致未经授权的个人访问敏感信息和系统，从而增加网络攻击的风险。通过部署强大的访问控制（例如多因素身份验证）可以帮助防止未经授权的访问并降低违规风险。
4. 过时的软件和系统：使用过时的软件和系统可能会产生可供网络犯罪分子利用的漏洞。定期更新软件和系统有助于确保修补所有已知漏洞，并保护组织的系统免受已知威胁。
5. 网络安全性差：网络安全性差可能会使组织的系统和数据容易受到攻击。通过实施强大的网络安全措施（例如防火墙和入侵检测系统）可以帮助防范外部威胁并防止对组织系统的未经授权的访问。
6. 缺乏事件响应计划：制定应对网络攻击的计划可以帮助组织最大限度地减少漏洞的影响并快速从事件中恢复。制定事件响应计划并定期测试可以帮助确保组织准备好应对网络攻击。
7. 缺乏员工培训：未接受过网络安全最佳实践培训的员工更有可能犯下可能导致违规的错误。这凸显了对员工进行网络安全最佳实践教育以及实施政策和程序以减少人为错误风险的重要性。
8. 缺乏物理安全：物理安全措施，例如锁和警报器，可以帮助保护组织的资产免遭盗窃或损坏。安装和实施强大的物理安全措施有助于防止未经授权访问组织的系统和数据。
9. 缺乏供应商安全：有权访问组织系统和数据的供应商如果没有采取足够的安全措施，可能会带来重大风险。配置和实施强大的供应商安全策略并定期审核供应商安全有助于降低违规风险和减少安全事件。
10. 缺乏事件响应测试：定期测试事件响应计划可以帮助确保组织做好应对网络攻击的准备。测试事件响应计划还可以帮助识别组织响应能力中的任何差距或弱点。

在这其中，人为错误是网络安全事件的一个重要因素。国际商业机器公司和威瑞森公司的研究表明，人为错误分别造成了大约 95% 和 82% 的数据泄露。要修复人为错误，比修复系统以及流程中的弱点，难多了。需要建立整体的网络安全意识教育计划，该通常通过如下多种方式提供：

• 培训视频，提供有关安全威胁、漏洞和响应的信息的在线视频或动画。动画视频是一项普及性无关具体产品的安全意识培训视频系列内容资源，该培训内容适用于各种组织的所有最终用户。动画视频短小精悍，多媒体内容丰富，所有知识点均由资深网络安全专家编写，具有强大的动态图形、故事案例或真实场景，由教学设计师、图形设计师和动画设计师开发。这些培训视频可以集成到组织内部的学习管理系统中，也可以利用组织选择的外部托管学习管理系统进行部署，还可以通过各种电子屏幕、网络沟通平台进行传播。
• 演示文稿，有关网络钓鱼诈骗或社会工程攻击等主题的演示文稿文档。演示文稿适合比较初级的安全意识宣教活动。
• 宣传邮件，定期发送电子邮件，涵盖密码安全或网络钓鱼等重要主题。宣传邮件中可以包含简要的策略文件、当前的威胁形势、行业相关的真实案例、以及宣传图片等。
• 在线学习，使用交互式的电子学习课程，追踪学习进展衡量学习成效。培训模块通过涵盖组织各个级别的员工所需的关键知识培训来解决内部威胁，游戏化互动让用户保持参与，每个模块末尾都有简短的测验来评估学员的理解程度。基于网络的电子课件符合行业SCORM标准，并且可以上传到任何符合SCORM标准的学习管理系统，以用于跟踪和报告目的。员工可以随时随地通过安全意识服务网络培训进行自我教育和继续学习，安全培训负责人员可以随时随地查看学员们的学习进度报表，以了解学员们的安全认知情况并采取必要的推进措施，进而确保组织的网络安全。
• 模拟钓鱼，使用类似黑客的网络钓鱼的手法，主动检测钓鱼识别技能。模拟网络钓鱼攻击使用无害的方式欺骗个人的活动。要谨慎和透明地进行这种类型的模拟，以避免造成不必要的恐慌或混乱。记住，模拟的目的不是欺骗员工，而是教育他们如何识别和避免网络钓鱼诈骗。 确保以透明的方式进行模拟，并为员工提供确保在线安全所需的资源。

昆明亭长朗然科技有限公司创作了海量的安全意识动画视频、电子图片和课程模块。欢迎有兴趣的客户及伙伴联系我们，预览我司的在线课程内容资源，以及体验在线学习平台的功能。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

最终用户的信息安全意识对许多现代组织都很重要，原因包括如下几点：

• 人为错误：最终用户通常是组织安全状况中最薄弱的环节。他们可能在不知不觉中成为网络钓鱼诈骗的受害者、点击恶意链接或无意中泄露敏感信息。信息安全意识培训有助于向最终用户介绍常见的安全威胁和最佳实践，以降低人为错误的风险。
• 数据保护：部分最终用户特别是特权用户可以访问组织内的敏感数据和系统。通过提高对数据保护和安全规范重要性的认识，组织可以帮助防止数据泄露和未经授权的机密信息访问。
• 合规遵循：许多法规和行业标准要求组织向员工提供信息安全意识培训。通过确保最终用户了解自己的责任并了解安全策略和程序，组织可以证明遵守这些法规要求以及行业最佳实践。
• 事件响应：发生安全事件时，最终用户的意识和快速响应有助于减轻影响并防止进一步的损害。对最终用户进行如何识别和报告安全事件的培训可以提高组织内的安全事件响应能力。
• 组织文化：在最终用户中培养安全意识文化可以创建一个更安全的整体环境。当员工了解信息安全最佳实践并积极为维护安全的工作场所做出贡献时，整个组织就会从更强大的安全态势中受益。

总体而言，最终用户的信息安全意识对于组织保护其数据、遵守法规、有效响应安全事件以及在组织内培养安全文化至关重要。然而，放眼全球，有多少组织足够重视并且已经开始对用户实施信息安全意识培训活动了呢？

一个全球信息安全调研报告显示：仍然有近乎三分之一的受访公司的信息安全管理仍处于“待开发”中的混沌状态，有超过半数的公司已经开发出了信息安全管理流程甚至处于相关成熟的阶段。

我们注意到在安全运营比如防病毒、补丁修复、入侵防范以及加密等等方面，只有7%的公司认为自己尚弱，但在安全意识培训和沟通方面，这个数字却达到了29%，并且不同阶段显得经纬分明，30%处于“成熟”及“非常成熟”的比较满意状态，41%处于中等发展状态。这表明，绝大多数全球化公司已经制定出比较详尽的信息安全意识培训和沟通计划，而且信息安全管理从业人员关注的焦点已经不再是传统中的安全技术使用以及日常安全运行及维护，信息安全管理专家们已经开始关注更高层面的信息安全精神问题，以及改进信息安全和进行安全管理方面的创新优化。

报告再次披露了那个老问题——信息安全缺乏熟练的人手，缺乏管理层的认知和支持，信息安全与业务目标及战略保持一致的困难。昆明亭长朗然科技有限公司国际信息安全态势观察员James Dong说：这个老问题一直解决不掉，实际上并不是问题，其实我们需要新的解决之道——强化信息安全意识培训及沟通，打造信息安全群众路线。一旦所有职员都能通过信息安全课程的学习，了解了基础的信息安全知识和掌握了必备的技能，就会实现人人皆兵或全民皆兵的信息安全立体防御体系，信息安全专业人士的缺乏便不在是问题。而管理层对信息安全的认知和支持不足是个伪问题，管理层可能不懂信息安全技术，但他们知道信息安全对于商业成功的重要性，高管可能不知如何管理信息安全，这就需要信息安全专业人员去主动沟通，针对高管，除了信息安全基础知识，还需要十五分钟左右的信息安全管理沟通课程。关于保障业务目标战略及信息安全目标战略的一致性问题，当业务部门的管理层以及所有员工都了解了基本的信息安全知识和相关职责之时，这还是个问题么？因为他们会在日常工作中将信息安全应用到里面，时刻注意着信息安全，而且在有安全问题或需求时会主动联络信息安全管理部门，这才是信息安全管理的“成熟”阶段。

一个利好消息是调查显示10%的信息安全管理人员如CISO、CSO、信息安全总监和经理等等已经直接向CEO汇报，而一年前这个数字是零，这是一个非常积极的变化，信息安全意识培训和沟通将促进信息安全管理人员在职业发展上的晋升！昆明亭长朗然科技有限公司通过提供优质的信息安全意识培训教程资源和量身定制的贴心服务来帮助信息安全管理人员实现宏伟的目标。欢迎对这个话题有兴趣的朋友联系我们，一起探讨合作共赢。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com