关心、热爱生活的人们应该能够体会到，与多年前相比。当下国内工业制品价格低廉，但农产品和人力却很昂贵，这表明我们进入了十足的工商业现代化时代。同样的道理也适用于企业，员工是所有现代企业的核心，正因为如此，他们也必将成为网络罪犯的主要目标，进而致使网络攻击日渐普遍。

那么，如何应对网络犯罪呢？在信息时代，职员是组织中最重要的资产，“人员”是信息安全的核心要素之一，与另两个关键要素“技术”和“流程”密不可分，确保最终用户人员掌握最新的网络安全知识是必不可少的。威胁形势在不断发展，公司的防御方法也应如此。

训练有素的员工是确保组织安全的第一道防线，有效的内部安全意识计划将加强防御计划。如何强化人员安全防线呢？信息安全意识业界达成了一个共识，尽管仍然有一些质疑甚至反对的意见，但总体上认为：应该强化安全意识培训，同时实施网络钓鱼模拟。

究其原因，无外乎是网络钓鱼已经变得非常复杂，难以察觉，因为犯罪分子已经找到了使他们的邮件和消息尽可能以假乱真的方法，并不断在创新。网络钓鱼模拟测试员工如何应对现实生活中的网络钓鱼攻击。进而使我们可以跟踪哪些员工点击了网络钓鱼邮件或消息、谁泄露了他们的密码、谁忽略了该邮件或消息以及谁报告了该安全隐患事件。

那么，该如何强化安全意识培训呢？ 昆明亭长朗然科技有限公司网络安全研究员董志军称：很多聪明的信息安全从业人员一拍脑袋，就创作了一些培训大纲，然后找来一些培训素材，我不反对这样做，但这不够科学。科学的方法是我们应该更全面地了解公司的人员安全意识状况和潜在风险，找出那些可能是组织中最薄弱环节的员工，因为成功转变他们可以让其成为其最强大的安全防护前线，进而制定出科学合适的安全意识培训战略。

如何实施网络钓鱼模拟呢？我们接触过各类型的网络安全机构，有很多有经验的人员对此表示悲观，特别是在政府机关和由政府控股的公司，人们怕把握不好产生误解闹出事来，怕高管被钓鱼之后惹出麻烦。我们反思，这不仅仅是沟通的问题，也是文化和政治的问题，所以比较难办。往往比较积极实施网络钓鱼的是外企，在外企透明坦率的企业文化中，即使在钓鱼模拟中上了钩，也不是多么丢人的事儿，更不会受到什么人格侮辱或惩罚。网络钓鱼模拟其实和真实的钓鱼只差在授权和道德，有了适当的授权，就不会怕被钓鱼的人员反咬一口称是不被信任、商业间谍、窃取机密、侵犯隐私权、搞办公室政治等等的大帽子。

具体的方法有两种，一种是使用自动化的网络钓鱼脚本，另一种是使用集成的平台，有一些商业公司专门开发有网络钓鱼模拟系统，这些系统也有自助或开源的版本。两种方式各有优劣，通常自动化的网络钓鱼脚本定制性较强，性能好，但是需要一些编程方面的知识。集成的平台往往是Web界面，可以发现员工的曝光表明需要培训的地方。一旦检测到学习差距，就向最易受影响的用户提供互动教育视频。模拟网络钓鱼测试增强了基于视频的培训，所有这些都侧重于最终用户的安全意识。集成的平台功能往往比较强，也需要花些时间熟悉界面操作和各种功能，基本上可以监控正在进行的进度并在组织级别可视化指标，以展示整体的安全状况，尽管有人对这些数字指标心存疑问。

我们推荐客户使用成熟的网络钓鱼模拟服务，通过模拟网络钓鱼攻击和安全意识培训活动来补充一些数据，以教育员工，使其成为应对网络犯罪的最佳防线。我们的推荐的方法只需简单几步。

首先，在安全意识方面，通过使用易于理解、简短且具有视觉吸引力的培训视频，并配以在线测验，以验证员工对培训内容的吸取和掌握情况。

接下来，安排较长时间段内随机发送模拟的钓鱼攻击，以防止员工互相警告他们收到了网上诱骗电子邮件。这样可以更好地衡量员工的意识。

最后，不断改进，通过构建、导入和编辑目标员工组，以包含在网络钓鱼模拟和培训活动中。根据反馈的情况，向特定的组发送不同的有针对性的安全意识推广系列活动。

昆明亭长朗然科技有限公司是国内信息安全意识培训和网络钓鱼模拟服务的领航者，我们的服务被多家世界五百强公司采用，并获得了大量的好评。欢迎有兴趣的客户及合作伙伴联系我们，洽谈业务合作。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

如下是一封钓鱼测试邮件的样本，您认为如果员工们收到类似的邮件，会点击链接么？点击链接后会输入账号和密码吗？

在取得成功、走向辉煌的过程中，我们必须有一个个明确的目标，一切以结果为导向。营销团队通常会拿此进行队员励志，成功学专家更是将此奉为圭臬。因为涉及信息安全，特别是用户意识和培训，所以在安全意识领域也应思考有一个明确的目标和导向。

是否要将所有人员培训到最高级别，以便他们可以成为安全解决方案的一部分呢？也许可以通过政策和技术控制用户的行为来使企业获得成功？也许只是审核人员检查安全意识培训相关制度和记录？昆明亭长朗然科技有限公司安全意识专员董志军说：观察安全意识和培训计划的无数方法和可能的结果，无论是否完成，都归结为一件事：改变行为。

有许多企业正在进行网络安全培训，但他们没有什么可以展示的。当然，培训记录通过了审计检查，但人们仍在点击恶意链接，打开可疑的邮件附件，并堕落于社会工程师几十年来未翻新的老套骗术。我们可以在几乎所有的安全评估项目中都看到了社会工程学的影子。网络钓鱼邮件太容易成功了，通常会有三成左右的用户打开附件或点击邮件中的链接，并在出现提示时输入其网络登录账户和密码。这是一个简单而又令人不安的漏洞，然而每天都会发生在世界各地，当然也包括您所在的工作单位。

现行安全意识计划是否能带来安全行为的改变

安全意识计划应该专注于正确的事情，以行为变化为核心，这有助于实现总体安全目标，防止正在做的事情偏离目标，走入歧途。具体有哪些奇葩的偏颇的做法呢？其实在特定的企业文化中的表现各不相同，有拿数据来说话的机构，喜欢搞“深入、公正和持续”的安全评估，进而发现可以带来改进的一些事情。问题是这些IT安全团队“既是运动员、又是裁判员”，他们发起的安全评估通常不是深入的、无偏见的或持续的，因此用户必定“不服”，对安全挑战会持续存在。改变的行为往往不是安全，而是如何搞调查评估和工作表现等等这一些文书工作和政治工作。

有的安全意识和培训计划纯粹就是无脑的跟随，这种找花钱路子的案例有很多。您有没有想过：强迫更多令人头脑麻木的课堂会议或视频会让更多人加入安全措施吗？有没有更有创意的方法，例如采购外部的专业培训服务呢？询问用户他们想要学习什么以及他们想学习它们的方式。IT和安全专员千万不要自以为很了解用户，圈子以外的很多聪明人都可以提供很好的反馈，要提高基层用户的安全性。这并不是在内容和形式方面投大众好，试问，用户们真的喜欢微信观看大片进行学习吗？您得到的真实答案可能让人意外，人们觉得安全培训的内容似乎和自己无关，更不想花费自己的私人时间来学习如何保护公司/单位的信息安全。如果这种错误的认识得不到改观，改变安全行为简直就是痴人说梦了。

很多安全管理者笃信通过惩戒措施会加强员工的安全自律。董志军说：尽管看起来很奇怪，但在受到纪律处分方面，成年员工与年幼的孩子并没有什么不同。如果他们要从错误中吸取教训，他们不应该被责骂和尴尬，而是需要了解为什么他们不应该做他们所做的事情以及他们下次如何更好地处理事情。话虽这么说，相反，在现实中，我们可以看到太多员工因为被恐吓而误解退缩、被指责而冷漠泄气、或被惩罚而心生积怨，进而消极地逃避、抵抗、甚至突破各类安全规章和要求。这当然是改变了员工的安全行为，但是方向却是相反的。

尽快做出必要的改变

无论是商业领域还是个人生活方面，信息安全都是您可以关注和赢得关注的方面。员工安全意识计划需要建立起来才能获得成功。在理想的世界中，这意味着他们甚至没有机会做出安全决策。安全方面技术控制可以帮助解决这个问题，但很有限。最终，在面临安全威胁和问题时，员工将自己拥有重要的安全选择权。您当前的意识和培训工作是否会引导他们走上正确的道路？在仔细检查自己的安全意识计划之前，没人能够知道。

请认识到安全意识和培训工作的核心成果是改变受众的安全行为。只有让合适的、专业的人员参与设定期望，然后方可尽一切努力达到目标，当然并随着时间的推移，目标需要不断修正和抬升。这种PDCA方法，与尽量减少与员工相关的安全风险的方法相同，而且它是被证明科学而有效的。

简要结论

安全意识计划要如何改变安全行为，引导受众参与的积极性是首要任务，这并非靠制作精良的安全宣教大片或者抡起安全事件惩戒的胡萝卜加大棒就可以实现的，要让受众理解安全文化精髓，他们才能认可和接受信息安全方针政策，以及我们发出的安全要求和指令，进而在工作、生活、学习中重复实践安全，进而养成良好的安全行为习惯。

昆明亭长朗然科技有限公司根据不同组织机构的安全文化，以及人员群体的不同特性，量身定制适合的安全意识教育计划，并提供相关安全宣教活动的顾问和实施服务，欢迎有需要的客户或伙伴们联系我们，洽谈合作。当然，如果您对文中的这个话题有兴趣或者有自己的观点看法，欢迎联系作者董志军，以进一步深入探讨。

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：[email protected]
QQ：1767022898