众所周知，人为错误是目前网络攻击的最大原因。当组织面临网络威胁时，如果员工从未接受过适当的培训以了解如何处理威胁，就不能责怪他们。这也就意味着，在与科技技术交互时，人类很容易出错，在网络安全方面，仅仅一次错误的点击都有可能是有害甚至致命的。对此，昆明亭长朗然科技有限公司网络安全研究员董志军补充说：有调查显示十分之九的网络事故是人为错误的结果，组织机构的第一道网络防线是受过适当教育的工作人员，我们也可以将其视为人类防火墙。通常情况下，成功的网络入侵或钓鱼攻击是组织没有对其员工进行适当安全意识培训的结果，仅此一点，组织机构就应该为员工提供更多的网络安全意识认知及最佳实践方面的培训。

当然，确保安全防范技术保障措施到位仍然很重要。但是也需认识的技术的局限，环顾当前大部分的入侵行为，威胁者利用的更多是人性的弱点，并非系统的漏洞。正常来讲，兵来将挡，水来土掩，有漏洞（弱点）修复即可。麻烦的是人性的弱点可不是简单地安装修复程序就可以的，想要克服人性的弱点，要困难的多。更为麻烦的是，许多职场员工并没有意识到他们有多么脆弱，也没有意识到他们可以产生多大的影响，无论是消极的还是积极的。没有多少职场人士会觉得自己在网络安全方面很笨，或者至少需要加强学习来填补知识空缺或人类本性方面的弱点。

尽管客观问题和困难是存在的，我们仍然可以做一些事情，以确保员工们能够跟上网络安全的步伐。虽然在传统上，网络安全看起来像是一个特定于IT的问题，不过其越来越像技术、人员和管理的问题，这就使其不再局限于特定的IT技术，更应该是整个组织安全文化的优先事项。谈到网络安全，经历过几十年的IT基础建设及应用开发的热潮之后，最薄弱的环节已经不再是软件或硬件，不再是技术和流程，而是数据和人员。研究表明，通过为员工提供正确的网络意识培训，可以显着减少数据泄露等安全威胁。然而，现实情况是，大多数组织机构，包括机关单位和公司企业，并不具备设置和执行全面培训的专业知识。他们错误地以为，网上找一些网络安全PPT素材，PS一些图片配上文字形成海报及壁纸，或者使用一些公开的网络安全宣传视频，就可以搞得有声有色。的确，有声有色并不难，难的是有效，难的是证明有效。

可以通过运行网络钓鱼模拟来测试员工对网络钓鱼邮件的辨识能力，以确定薄弱环节所在。员工们能够发现网络钓鱼邮件吗？模拟钓鱼能够给出答案，据调查，最终用户打开网络钓鱼邮件的比例高达30%，因此最终用户通常是诈骗行为者最容易成功利用的薄弱。最好的证明方式当然还需要对比，在最近的一项研究中，那些只运行网络钓鱼模拟（没有伴随安全培训）的组织中，用户点击恶意网站的平均率为36%，然而，在那些将安全培训与网络钓鱼模拟相结合的组织中，点击率下降到13%，这还不到前者的一半。此外，在进行了持续的安全意识培训的组织中，被发现的网络钓鱼模拟链接的点击率降低至2%。

组织要知道，并非所有员工都是一样的，对网络安全的基本理解可能会有所不同。尽管网络安全知识并非一刀切，但是可以根据部门量身定制培训，使其更具相关性和成功性。如果组织决定运行网络钓鱼模拟，显示测试的统计结果可能是吸引员工并让他们意识到风险的一个好方法。人们在摔倒过之后，才会知道走路是要小心。通过模拟的网络钓鱼，也可以让员工们获得类似的教训，以便他们在面临真实的网络钓鱼时，知道要注意些什么。

通常，从技术上来讲，成功的网络入侵行为源自于某位员工的账号被盗。然而，网络犯罪分子可以通过多种方式使用网络钓鱼，进而盗取人员的账号和权限，更不幸的是，这些攻击不断发展，变得更加复杂且更难以检测。仅此一点，了解威胁的趋势和演变，非常重要。因此请记住，安全意识培训是一个持续的过程。毕竟，培训和教育需要随着时间的推移保持一致才能改变行为。如同每个月都有软件的更新一样，也需持续不断地对员工们进行适当的安全意识培训和更新，来抵御大多数新型威胁和花样变换不同的攻击方式。网络攻击花费了威胁者们很多钱，防范网络威胁，也占用了大量的IT资源，不仅用来解决问题，也包括重建和恢复系统的开支。在这些花费里面，最经济有效的，最划算的，可能就是安全意识培训，因为其修复的是人为错误方面的漏洞，而当今员工和组织面临的最大网络安全威胁之一就是利用人为错误的网络钓鱼。

安全威胁态势不断深化，网络治理法规不断出台，合规遵从性成为各类型组织机构的重要工作。即使依据法规要求，制定了最好的安全政策和操作流程，如果没有员工们的理解和认可，也可能很难让其遵守。如果能衡量员工们对网络安全措施的了解程度，就可以奖励那些遵循最佳实践的人员，奖励的结果可能会刺激其他员工也这样做。通过奖励负责任的网络安全行为，可以帮助塑造企业安全文化，安全应该是企业文化的一部分，因此需要时间，并且应该经常重复安全培训和奖励。衡量的方法，可以包括模拟钓鱼结果、安全巡查以及安全测试，通常来讲，在线培训模块包括考试评估功能，以测试员工的现有知识，并确保培训针对他们的特定知识差距进行量身定制。

如果组织决定实施员工安全意识培训计划，那么确保随着时间的推移，能够有效减少用户的人为错误。前期可以考虑一个高风险环境，如在研发部门、工厂或仓库，定期进行安全意识培训活动。同样，网络安全培训应该持续进行，特别是因为各种类型的攻击在不断发展。在形式和内容方面，也需要创新，量身定制是比较高级的方案，可以结合视频和互动材料，以及进修模块，帮助员工们将网络安全放在重要地位。每个模块都以测试结束，只有在评估成功后才能通过课程的学习，最终获得课程学习证书。学习证书是一种知识认可和精神奖励，有利于刺激员工们的安全行为和实践。

网络钓鱼威胁越来越严重，说“安全始于意识”一点都不夸张。通过修复人为错误来应对网络威胁，防范安全事件，已经是当下各类型组织非常紧迫的任务。使用昆明亭长朗然科技有限公司的在线安全意识培训平台，组织机构可以快速发起在线安全意识培训计划，学员们可以随时随地通过电脑、手机、平板等访问在线培训模块，涵盖的安全意识主题包括网络钓鱼、社会工程学、密码安全、计算设备保护、在外工作与远程工作、数据保护和社交媒体使用等等。欢迎有兴趣的客户及行业合作伙伴联系我们，体验我们的平台以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

引言：数字时代的隐形威胁

想象一下，一座坚固的城堡，高耸的城墙、坚固的铁门，似乎无懈可击。然而，城堡的防御体系中，最脆弱的往往不是城墙，而是城堡内部的守卫。在当今这个高度互联的数字世界里，网络安全如同守护城堡的守卫。我们投入大量资金和技术，构建防火墙、入侵检测系统，却常常忽略了最关键的因素——人。

网络安全并非仅仅是技术问题，它与人类行为息息相关。数据泄露、系统瘫痪，往往源于员工的疏忽、误判，甚至是被精心设计的网络钓鱼陷阱所诱惑。因此，构建一个真正强大的网络安全体系，必须将“人”放在核心位置，从根本上降低人为错误的风险。本文将深入探讨人为错误在网络安全中的作用，并介绍如何构建一个以人为本的网络安全体系，让每一位员工都成为网络安全的坚强堡垒。

一、人为错误：网络安全隐患的根源

为什么说人为错误是数据泄露的主要原因？这并非危言耸听，而是基于大量的实际案例和统计数据得出的结论。员工的疏忽大意，往往是攻击者利用漏洞的绝佳机会。以下是一些常见的导致人为错误的场景：

• 共享设置不当： 员工可能无意中将包含敏感信息的文档、文件夹与无关人员共享，例如通过电子邮件、云存储服务或文件共享工具。这就像把城堡的钥匙随意放置在城墙外，任由他人取用。
• 网络钓鱼的陷阱： 网络钓鱼攻击利用伪造的电子邮件、短信或网站，诱骗员工点击恶意链接、下载恶意附件，从而窃取用户名、密码、银行账号等敏感信息。这就像攻击者伪装成友军，试图引诱守卫打开城门。
• 不安全的 Wi-Fi： 在公共场所使用不安全的 Wi-Fi 网络，容易让攻击者通过中间人攻击窃取数据。这就像在城堡外使用开放的通道，让敌人可以轻易地窥探内部情况。
• 远程办公的疏忽： 远程办公虽然带来了灵活性，但也可能导致员工放松警惕，例如在不安全的设备上处理敏感数据，或者在不安全的网络环境下进行工作。这就像城堡的守卫在休息时放松警惕，给敌人创造了入侵的机会。

这些场景看似微不足道，但它们累积起来，却可能导致严重的后果，给组织带来巨大的经济损失和声誉损害。

二、以人为本的网络安全：构建坚固的防线

以人为本的网络安全方法，认识到人类是网络安全体系中最脆弱的环节，也是最强大的力量。它并非仅仅依靠技术手段，更重要的是通过教育、培训和激励，培养员工的安全意识和责任感。以下是一些关键的实践方法：

1. 定期培训与测试：打造安全意识的基石

• 每月安全时事通讯： 定期向员工发送安全时事通讯，介绍最新的网络安全威胁、攻击手法和防护技巧。这就像定期对守卫进行战术演练，让他们了解最新的战况和应对方法。
• 模拟网络钓鱼测试： 定期组织模拟网络钓鱼攻击，测试员工的安全意识。如果员工轻易点击虚假链接或下载恶意附件，则需要加强针对性的安全培训。这就像模拟敌人的进攻，检验城堡的防御体系是否有效。
• 安全知识竞赛： 通过举办安全知识竞赛，激发员工的学习兴趣，提高安全意识。这就像鼓励守卫积极参与训练，提高战斗力。

2. 最小权限原则：限制风险的有效手段

• 最小特权模型： 为员工分配最少的权限，只允许他们执行工作职责所需的权限。这就像只允许守卫在特定的区域巡逻，避免他们随意进出城堡。
• 单点登录 (SSO) 和多重身份验证 (MFA)： 使用 SSO 和 MFA，确保用户身份的真实性，防止未经授权的访问。这就像设置多重门禁系统，确保只有授权人员才能进入城堡。
• 身份驱动安全性： 监控非典型用户行为，及时发现和响应安全威胁。这就像设置监控系统，及时发现异常活动，并采取相应的措施。

3. 数据安全防护：保护信息资产的根本

• 数据加密： 使用加密技术，保护数据在静态和传输过程中的安全。这就像对城堡中的重要文件进行加密，防止敌人窃取。
• 访问控制： 实施严格的访问控制策略，限制对敏感数据的访问权限。这就像限制对城堡内部区域的访问权限，只有授权人员才能进入。
• 数据备份与恢复： 定期备份数据，并建立完善的数据恢复机制，以应对数据丢失或损坏的情况。这就像建立城堡的备用通道，以应对突发情况。

4. 移动设备与应用程序安全：扩展安全边界

• 移动设备管理 (MDM)： 使用 MDM 工具，管理和保护员工的移动设备，确保其符合安全标准。这就像对城堡外围的区域进行监控，防止敌人从侧翼进攻。
• 应用程序安全扫描： 定期对应用程序进行安全扫描，发现并修复安全漏洞。这就像对城堡的墙壁进行检查，及时修复裂缝。

5. 教育与意识提升：构建安全文化的基石

• 网络安全在线学习： 提供各种形式的网络安全在线学习资源，包括电子课程、动画视频、互动游戏等，帮助员工了解信息安全知识。这就像对守卫进行系统性的安全培训，让他们掌握最新的战术和技能。
• 安全意识活动： 组织安全意识活动，例如安全讲座、安全竞赛、安全主题海报设计等，提高员工的安全意识。这就像组织城堡的庆祝活动，增强守卫的凝聚力。
• 安全文化建设： 营造积极的安全文化，鼓励员工主动报告安全问题，并对安全行为给予奖励。这就像建立良好的团队氛围，鼓励守卫互相帮助，共同维护城堡的安全。

三、案例分析：从实践中汲取经验

案例一：某金融机构的钓鱼攻击应对

某大型金融机构在一次模拟网络钓鱼测试中，发现有大量员工轻易点击了伪造的登录链接，导致部分员工的账户信息泄露。通过事后分析，发现员工对网络钓鱼的防范意识不足，缺乏识别虚假链接的经验。

解决方案：

• 加强网络钓鱼防范培训： 针对性地开展网络钓鱼防范培训，讲解网络钓鱼的常见手法、识别技巧和应对措施。
• 模拟钓鱼演练： 定期组织模拟钓鱼演练，让员工在实践中学习识别和应对网络钓鱼攻击。
• 强化安全意识宣传： 通过各种渠道，例如安全时事通讯、安全海报、安全视频等，持续强化员工的安全意识。

案例二：某制造业企业的远程办公安全风险

某制造业企业在疫情期间大量采用远程办公模式，但由于员工使用的设备安全防护不足，导致部分员工的电脑被恶意软件感染，从而威胁到企业的数据安全。

解决方案：

• 制定远程办公安全规范： 制定详细的远程办公安全规范，明确员工使用的设备安全要求、网络安全要求和数据安全要求。
• 部署远程访问安全工具： 部署 VPN、终端安全软件等远程访问安全工具，保护员工的设备和数据安全。
• 加强远程办公安全培训： 针对远程办公安全风险，开展专项培训，提高员工的远程办公安全意识。

案例三：某电商平台的员工共享设置漏洞

某电商平台发现部分员工在共享商品信息时，设置了过于开放的共享权限，导致敏感信息被未经授权的用户访问。

解决方案：

• 优化共享权限管理： 优化共享权限管理系统，限制员工共享信息的权限范围，确保只有授权人员才能访问敏感信息。
• 加强权限管理培训： 针对权限管理，开展专项培训，讲解权限管理的重要性、方法和技巧。
• 定期进行权限审计： 定期进行权限审计，检查员工的共享设置是否符合安全规范，及时纠正错误设置。

四、结语：安全无小事，防患于未然

构建以人为本的网络安全体系，并非一蹴而就，而是一个持续改进的过程。我们需要不断学习新的安全知识，不断提升员工的安全意识，不断完善安全管理制度，才能构建一个坚固的安全堡垒，保护组织的数据、系统和声誉。

记住，网络安全不是一个人的责任，而是每个人的责任。让我们携手努力，共同构建一个安全、可靠的数字世界！

昆明亭长朗然科技有限公司是您值得信赖的信息安全合作伙伴。我们专注于提供定制化的信息安全意识培训，帮助您的企业构建强大的安全防线。我们提供模拟钓鱼邮件、安全意识视频、互动式培训等多种形式的培训课程，满足不同企业的需求。如果您希望了解更多关于如何提升组织机构的安全水平，欢迎随时联系我们，我们将竭诚为您提供专业的咨询和服务。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898