近年来，网络入侵与信息泄密事件频发，无论是政府机关还是企事业单位，无论是如学校等教育机构还是如医院等医疗机构，无论是知名人士还是普通大众，都可能遭受黑客入侵和个人信息泄露。而这些事件的背后原因，并不仅仅是技术漏洞或软件弱点，更多的是人性的弱点，比如对安全的无知、缺乏相关的技能、或者粗心大意。根据昆明亭长朗然科技有限公司的一项研究，成功的网络攻击中有85％是通过网络钓鱼发起的，这其中又有90％都是从毫无戒心的员工那里窃取的信息而进行的。因此，越来越多的组织机构通过进行安全知识和技能培训，使员工武装起来，形成一道信息安全保护的“人力防火墙”，以防止由于人员的信息安全意识不足，而带来的无法衡量的严重损失。

信息安全意识培训是对员工进行网络安全最佳实践教育的正式过程。其受众包含所有的信息用户，通常来讲大到一个国家的全体网民，小到企业里的所有员工。其内容涵盖信息安全相关各个领域，重点针对人们的日常工作和个人行为，关注各种可能因个人行为不当或警惕性不强而引发的信息安全隐患或事故。因为目标对象不同，信息安全意识培训内容会以不同的形式及程度来展现，从简洁明了的宣传语，到浅显易懂的安全提示，再到全面具体的安全手册，甚至建立专门针对政府机关、不同行业企事业单位的信息安全知识库，从而满足不同方面和不同层次的需要。

那么，常见的信息安全培训内容都包括哪些呢？通过从信息安全管理角度讲，可以分为三大类：规章制度、安全知识以及安全技能。如下，我们从信息安全实践角度出发，列出信息安全意识的十个内容域：

• 常规安全理论基础：包括信息安全的重要性、信息安全基础理论、通用政策指导、信息系统使用条款、人员信息安全管理等等。
• 场所安全：包括物理环境安全、陌生人入侵防范，办公室安全、桌面清洁、会议文印安全等等。
• 工作站安全：包括个人电脑安全、终端计算安全、恶意软件防范、保持系统更新等等。
• 网络身份保护：包括密码（口令）安全、身份验证、账户管理、访问控制等等。
• 信息情报安全：包括信息分级、等级划分、信息标识、信息存储、数据备份、保密常识、信息废弃、媒体介质安全等等。
• 移动计算安全：包括移动计算终端、WIFI网络安全、在外工作及差旅安全、远程办公及远程访问等等。
• 社会工程学攻击防范：包括网络钓鱼识别与防范、社交诈骗防范、电信诈骗防范等等。
• 知识产权保护：包括知识产权科普、软件安装许可、点对点分享等等。
• 互联网及通信安全：包括互联网安全、社会化网络、社交媒体安全，以及邮件安全、即时通讯安全等等。
• 安全事件报告：包括安全事件的识别、安全事件报告及应急响应等等。

需要补充说明的是，我们细看不同的内容域之间可能会有相互的知识关联，甚至交叉，这是很正常的。当然随着时代的变迁，有的内容域也可以进行合并或拆分，不管如何，这种划分方法是业界较为流行和市场普遍认可的。那么，都有哪些形式实施信息安全意识教育和培训呢？

一、课堂式培训，也称现场培训或面对面培训。通常这种培训包括小组（部门）形式，在会议室，由讲师（安全专员）与学员面对面进行。往往包括入职宣导和专题培训，通常讲师会使用PPT演示，配以案例警示，以简洁明了的方式介绍信息安全意识基本常识。这种培训的效果通常很好，讲师可以在课堂即时与学员互动，对学员关注的问题进行现场答疑。

二、在线电子学习，也称为线上学习、网络培训或eLearning等等。通常会使用在线学习系统平台，其中包括学习内容如电子课件、测试等知识管理模块，学员账户管理模块，以及学习进度报表模块。具体技术工作包括在线学习管理系统的搭建、测试和运维等等。持续的知识内容更新和支持对建立长久可持续的学习文化很重要。通常在线学习和测试，学员可以随时随地安排线上学习计划，适合针对大规模学员的长期的信息安全学习管理。

三、平面媒体宣传，也可以称为纸类宣传或线下非电子宣传等等。当然，材质可能并不限于纸类，但基本上比较接近。这种方式比较适合传统工作环境，特别是那些人员比较集中的制造业和服务业，以及电子化水平比较低的中老年群体。通常包括如下几种：

• 海报宣传画：各类安全宣传海报、张贴画、横幅或板报、易拉宝等，一般在楼梯、橱窗等适当宣传位置进行张贴、悬挂或放置。
• 实用小本子：如将安全知识内容印制到台历、挂历、贴纸、笔记本等小本子上面的各种文化宣传品。
• 宣传彩页及手册：包括页面较少更新频度较高的安全知识折页或单张，以及内容较多的职员信息安全意识手册和期刊。
• 实物宣传品：通常是如鼠标垫、水杯、小挂饰、手机支架等标有信息安全意识信息的文具礼品。

四、电子媒体推广，也可称为多媒体宣传、电子屏或多屏宣传。通常包括知识视频、动画短片、宣传片的创意、拍摄或制作，可在食堂、休息室、接待区等公共场所电子大屏幕上播放；也包括一些电子宣传物如为电脑及手机使用的信息安全知识壁纸、信息安全屏幕保护程序、安全知识布景和微信宣传图文、H5展播、电子期刊等等。电子媒体推广比较适合现代办公环境和熟练使用电脑及手机的年轻人群，此外还有快速和宜于大规模传播的特点，非常适合信息安全动态知识更新。

五、体验式活动，体验式活动结合线上线下，并使用创新的方式，让学员在模拟或真实的环境中体验信息安全威胁、攻击以及防范之道。这种体验式活动一般要求学员现场参与挑战，有很多新的玩儿法，包括：知识竞赛、攻防演习、生存挑战、模拟钓鱼、窃密演示等等。这些活动往往需要精心的知识创新、活动设计和技术支撑准备，一般的课堂式培训讲师缺乏相关的资源，所以通常是专业的信息安全公司来提供。学员参与式和体验式的效果往往非常好，但是也受制于人员、时间、空间的限制，相关的设备设施和技术服务的成本也都比较高。

总之，信息安全意识内容主题有很多，宣传活动形式也很多样，要搞好信息安全意识宣教工作，需要有好的内容，以及好的形式。同时，请牢记，安全意识培训工作不是一次性的项目，而是一个长期的计划，是一个不断改进和发展的过程。最后，不管您需要什么宣教资源，或者有什么好的宣传活动点子想实现，都欢迎联系昆明亭长朗然科技有限公司，让我们一起来探讨和实现。经过多年的实战积累，我们拥有了大量的信息安全意识宣教素材和在线电子学习系统、模拟钓鱼平台等等，可以进行快速微调和立即使用。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

在如今时时刻刻都在线的时代，组织中的每个人都是网络不法分子的攻击或利用目标，都面临着网络入侵或渗透的风险，从入门级员工一直到首席执行官，莫不如此。对此，昆明亭长朗然科技有限公司网络安全研究员董志军说：多年的网络安全历史及最近的网络安全事件表明，遭受网络攻击只是时间早晚问题。当然，组织机构若能够及早发现威胁并采取行动，无疑可以明显地减轻其可能带来的不良影响。通过实施一些网络安全宣传培训和意识教育活动，可以提高员工们的安全防范意识并建立强大的人员防线——人员防火墙。

网络安全泰斗表示：在诸如社交工程学大师等网络安全威胁面前，每位工作人员都很脆弱，组织必须提前教育他们，以使其拥有识别、应对和报告各类网络安全威胁的能力。安全意识培训应从新入职员工开始，并且每年对所有员工进行年度安全意识刷新。通过这些教育培训活动，保持在线安全会变得并不那么困难，用户可以采用一些主动措施来确保不会成为受害者。运气好的话，可以避免大多数可能出现的问题，并且在问题造成实际性的损害之前，加以有效的应对和处理。

当然，从管理角度来讲，培训旨在提升认知，加强沟通，需要有一个大的方向，即方针政策。因此，需要制定安全政策并定期更新，一个关键的原则是制定指导工作的信息安全政策。在组织内部，政策是高级法令，并不意味着依赖于纯技术型解决方案，政策对于获得认可并使员工保持安全轨道至关重要。许多中小企业甚至根本没有安全政策和计划，所以员工们根本不理解信息安全，更不会重视安全，也不会将安全认为是自己的分内工作职责。因此，为了有效地建立制度和维护流程，组织应该有少量的治理和政策。如果没有政策，当安全事件真实发生时，就需要到处去寻找可以指导解决问题的方针。

我们总是听说有在线服务泄露了用户名和密码，或者网站和设备遭到黑客攻击。作为用户，我们往往认为我们只能眼睁睁地等待成为目标。不过话说回来，一点点预防对保护我们的设备和个人数据大有帮助。那么，互联网用户首先应该主动保护自己的安全。未雨绸缪很重要，在遇到问题之前就应该考虑安全问题，而不仅仅是在危机袭来之后。实施如下几个步骤可以帮助我们防范许多安全问题，从而带来更安全的网络生活。

1. 在被感染之前使用防病毒或恶意代码防范软件。人们倾向于在遇到问题后安装防病毒软件，这种亡羊补牢的做法没什么问题，但是更应该成为一种预防措施。在安装了防病毒软件之后，许多问题都可以避免，例如病毒、恶意软件、广告软件、勒索软件，甚至网络钓鱼尝试。但是也不要过于自信，那就是认为安装了防病毒软件之后就可高枕无忧，那是自大！因为很多攻击都可以避过防病毒软件。
   通常来讲，无需担心应该使用哪种类型的防病毒软件，Windows自带的安全中心等解决方案涵盖了所有安全需求，包括恶意软件保护Defender、在线隐私安全、勒索软件保护、防火墙和家长控制等等。如果有预算，其他网络安全厂商的专业安全套件也可以。
2. 使所有的计算设备保持最新状态。由于各种原因，有些人会推迟更新手机或电脑，这无疑是一种不可取的行为，因为大部分技术类的攻击都是利用了未及时获得安全修复的系统或应用。不管什么设备、系统或应用程序，其中许多都会有定期的更新程序，其中包含针对漏洞和攻击的补丁，及时安装它们会使设备和系统难以受到攻击。同样的道理，不要以为安装了安全修复就可以成事大吉，因为新的漏洞总会不断被发现，零日漏洞的概念就是漏洞被发现的当天就被公开使用，在网络连通性和社交媒体如此发达的今天，被网络犯罪分子利用零日漏洞、未公开或未知的漏洞进行攻击，也是有可能的。因此，保持更新状态很重要，此外我们也需要更多的安全管控措施，保持头脑清醒很重要。
3. 为每项服务或系统使用复杂、唯一的密码。密码是通往信息数据的守门员，因此使用强密码是有道理的。年复一年，用户库存中仍然存在最常见的弱密码，包括123456、qwerty甚至password一词。这种弱密码通常是黑客或密码破解程序必试的，使用它们无疑是在将钥匙双手奉上。一个可靠的密码应该至少有八个字符长，并且包括大写字母、数字和符号。密码越复杂，暴力或字典攻击就越不可能猜到。为每项服务使用不同的密码是一个好主意。当然啦，要记住他们不大容易，如果要跟踪和记住的账号和密码太多，可以请尝试使用密码管理器。
4. 尽量避开公共Wi-Fi网络。免费互联网的诱惑，尤其是在数据计划受限的手机上，有时让人难以抗拒。但是在连接到如商场、交通甚至城市公共Wi-Fi之后，往往会带来风险。大多数情况下，这些类型的网络安全性很差，可以被不法分子用来监视使用Wi-Fi的网络流量。蹭网也不是个好主意，网络不法分子可以分享Wi-Fi账户和密码，进而实施网络监听、身份盗窃、广告植入和间谍破坏等不法活动。关于公共无线网络安全性与隐私性差的问题，公众应该不陌生，但是如果手机数据计划紧迫或过于昂贵，在迫不得已，只能使用公共Wi-Fi时，应尽可能使用值得依赖的VPN服务。有了VPN对通讯进行加密，用户的数据就会以一种使间谍活动变得非常困难的方式进行匿名化的保护。
5. 关闭移动设备的一些不必要的接口，除了连接无线耳机和支付，移动设备上的蓝牙和NFC似乎没有太多的使用场景，但是人们通常会开着它们。为了安全起见，请将其关闭。蓝牙协议已发现并修复了多个漏洞，但是其他未被发现的漏洞仍然可能被网络不法分子利用。NFC虽然有很多用途，包括用手机或智能手表代替信用卡进行快捷支付。虽然NFC协议和应用程序相当安全，但是也并非牢靠到无懈可击，在某些条件下，不法分子可以滥用NFC，进而拦截和盗窃财务信息。手机上的定位服务在导航时非常重要，但是有很多应用程序也可以访问同样的位置数据。根据权威部门的评测，不断有发现第三方应用程序会泄露用户的地理位置数据。如果不使用定位服务，请将其关闭，在使用的时候将其打开，非常简单的操作可以获得强大的隐私性。
6. 留意在网上特别是社交媒体上分享的内容。社交网络得以生存是因为人们喜欢分享各种信息，比如照片、文章或短视频。但是这些数据可能以一种并不总是显而易见的方式具有价值。例如，一些用户会分享他们正在海外度假或入住他们最喜欢的美食酒店。那些数据表示他们的房子或公寓目前是空着的，不法分子正好可以破门而入。此外，由于社交媒体的流动性很快，虚假新闻的传播速度也要比真实新闻快。人们很容易意外地分享错误的信息。这可能会导致重大数据泄露，给相关机构或人员带来严重影响，或者触犯网络安全相关法律，给网络社会和自己都惹来麻烦。
7. 社交媒体很发达，在商业领域，电子邮件仍然是电子沟通的常见方式。人们无法控制发送到他们电子邮箱的内容，但是应该控制收到的内容。通常来讲，避免打开来自未知发件人的、不请自来的、奇奇怪怪的电子邮件，直接删除它们。但是有时候这并不总是可行的，对于陌生来源的邮件，人们总是有些好奇心，这可能正是网络不法分子喜欢的“人性的弱点”，网络钓鱼诈骗分子通过钓鱼邮件来窃取人们的身份、数据和金钱。
8. 网络钓鱼威胁无处不在，有人的地方就有江湖，有沟通的渠道就有网络钓鱼。作为社会人，我们最好牢记国家机关、在线电商和金融服务从来不会在电话或即时消息等沟通渠道中，要求我们提供用户名、密码或财务信息。只要记住这一点，就应该能够避免大多数网络钓鱼尝试。此外，我们也要学会对00开头的海外来源、火星文错别字、具有威胁、奉承或特殊紧迫感的信息保持警惕，因为这些往往都利用人性弱点的钓鱼信息特征。防范网络钓鱼，睁大眼睛，不轻信很重要，当然还有很重要的一招，就是永远不要轻信对方所声称的身份，想方设法确认/核实对方身份的真实性，往往能够让不法分子立即原形毕露。

总之，每个人都可以获得上述所有这些技巧，而不仅仅是少数了解操作系统工作原理的高级管理员或IT人员。请记住，所有数据都具有价值，如果用户的数据真的一文不值，就不会有那么多黑客试图窃取它们。对于组织机构来讲，打击网络犯罪的斗争早已开始并长期持续！在此，我们强烈呼吁，不要再浪费时间了，立即行动起来，将员工们的头脑武装起来，在网络战争中，组织一道安全防御的“人力防火墙”，让网络不法分子难以找到可攻下的薄弱之处，进而乖乖而退或不战自降。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com