近几年，“临时工”、“合同工”等等开始红遍大江南北。诡异的是，多数时候“临时工”已非还是劳动力市场上的用词，它越来越多的成为一些重大安全事故中的“替罪羊”或“挡箭牌”。

尽管社区论坛、自由博客及社交网络等等仍然被舆论监督部门严格把控，但是或多或少给普通大众在公共社会问题上的“起哄”机会；创新的科技不仅掌握在权力机关，也进入了大众的手中，这让居心不良的家伙们在行恶之时多少有些顾虑和收敛。

危机来临之时，公关高人们第一时间想到降低损失，这是再自然不过的。舆论需要一个责任人，“一把手”如何都难逃其咎，但是又不可能无论大小甚事都怪罪到“一把手”，再说“一把手”并非多数安全事故的直接造成者或参与者。

人非圣人，孰能无过？为了照顾大局，公关高人们往往不得不找出“临时工”来担当“常委”，而媒体要联系这些“常委”的时候，则会被告知：已被辞退。

不过，如果一味拿“临时工”当安全事故的缓冲剂，并不一定会百试不爽，原因不仅仅由于法律法规和相关监管审计系统越来越严格，办公室内外的政治斗争也是关键因素。

其实抛开用于权力制衡也有利于良性竞争的职场政治因素不谈，安全事故越来越成为各主任经理们业绩考核的关键指标。虽然将安全事故的终极责任归于主管领导可能有些残酷，但是也有其积极的一面，便是安全能够得到最高领导层的必要重视，因为只有高层重视了安全之后，下属中低层员工方可将安全当回事儿，安全工作方可得到必要的落实。

从科学发展观上来讲，安全事故并非可以完全杜绝，在信息安全领域，中央各部委的相关监管和指导文件也都特别提到信息安全事件，往往并没有刻意提出如何处理信息安全事件的责任人，但是却无一例外地强调安全事故报告和响应流程，因为中央政府及相关部委明白：终极的责任可能并非在下级单位或某位领导，不过对信息安全事故的刻意忽视、隐瞒甚至夸大等等不但不利于一盘大棋，更会令中央和地方多级受损。

而要降低信息安全事故损失的关键动作看起来很简单却不一家能够做到——及时发现安全事故的隐患或苗头，并且报告给适当的安全响应机构和人员。难做到的原因也很简单：可能不知道要报告安全事故，“临时工”们可能根本不会意识到安全事故或持观望心态，员工们可能会认为与自己无关，或想自作主张低调处理；中层领导可能在忙于别的事务，或不想因安全事故而被上级责难……

不少机关或公司并非需要对公众直接负责，所以在出现信息安全事故之后，也不用媒体掺合，只需依据标准的流程将事故划分为合适的等级并且汇报给相关的监管机构和人员。出现信息安全事故，可能是一个人造成的，但是却需要大批人参与事件的响应之中。如果是黑客搞得破坏，我们谴责黑客并进行内部修复；如果怀疑是商业间谍，我们可以报警并诉诸法律；如果是内部员工不经意犯错，我们要加强安全意识教育；如果是第三方员工如“临时工”恶意为之，我们更要加强教育和惩戒。

虽然临时工与正式工相比，素质、法律观念上还是有差距的，但是我们不能只在信息安全事件之后方才注意到强化安全意识教育，也不能只给正式员工适当的安全意识教育，而忽视“临时工”。

虽然“临时工”可能对组织机构的归属感和认同度不够，他们对公司安全环境的熟悉程度不比正式员工，感受企业安全文化的熏陶也不够深入，但是我们不能否认“临时工”对组织信息安全成功的贡献度和重要性。

我们要张开怀抱，如同会提供特别的“转正”政策让“临时工”好好表现一样，我们也需要在信息安全方面教育、感化和激励他们。

“临时工”、“合同工”、“实习生”、“外包岗”等等不是“替罪”的代名词，但是由于战略的需要，他们客观存在，甚至他们也的确更容易带来安全事故。解决之道并非设置更多的人为障碍和阶层对立，对立不如对话，管理好信息安全事件，降低损失，从对“临时工”的信息安全意识教育开始。

不管一家公司是否完全触网，或者有严格的内外网隔离政策，安全意识培训都是不可忽视的重要组成部分，其被重视程度也越来越高。——一家业界标竿公司的信息安全总监如是说。

从多重防御、木桶理论等观点可以看出信息安全专员们往往都是完美主义者。安全意识教育是让信息安全方针政策、制度规范、标准流程以及安全技术方案、控管措施和产品等等被人们理解的必须经历的有效沟通途径。

很多的安全相关法规制度和策略流程不能被有效落实和执行，关键的问题在于它们只停留在“纸面”上，被束之高阁或只被专业的安全从业人员所知晓，显然不能期望通过起草、签署和发布一项规范、设置生效期便能获得用户的理解和支持。

业界很多非专职安全的泛IT从业人员可能只认为安全是一些麻烦的事儿，在业务流程或软件应用中加入一些安全控制措施即可。也有“技术控”类的安全技术人员会认为总有应对各类安全问题的解决方法，多部署一些安全控管系统，总会让安全水平提升起来。实际上在实施安全技术方案的时候，才发现要解决的安全问题远不是表面的那一些，深层次的安全管理问题会逐渐暴露或发掘出来。同时受新上线安全系统影响的用户也总是想办法忽略、躲避甚至穿越这些安全系统。IT团队需要改变头痛医头、脚痛医脚的方法，而从全面的体系构建和用户服务体验等层面开始采用正确的安全解决方案。

传统的安全意识培训关注的重点是知识的灌输，包括安全规章制度和相关的安全应用技能等等。不管通过通过课堂教学方式、设置安全教育展板标语还是发放各类安全培训资料，都企图让员工们了解其需要掌握的安全知识。这实际上是错误的出发点，安全意识的目标拿捏的不够精准，因为安全意识的核心目标应该改变员工们的安全行为和习惯，安全知识只有被应用于实际工作中才算有价值。所以安全管理负责人员以及安全意识培训人员应该经常问一问：如何才能让做正确的事情，让这些成为员工们的默认安全行为，进而演变成公司信息安全文化的一部分。

讨论到安全意识教育的效果，重点在改变员工们的安全行为。同业界专业的信息安全意识服务机构昆明亭长朗然科技有限公司进行合作，信息安全团队将新入职员工分组纳入安全行为变革计划。一批“经典组”仍然按照旧有的体系实施安全意识培训；另一批“实验组”采用新式的安全意识教育理念和方案。从入职面试时便开始追踪两组员工的安全行为，一直到他们参加入职安全培训和执行日常的工作任务。

“实验组”着重采用鼓励手段，培训内容立求简单有趣易行，安全培训关注点也是较为普及性的课题：比如关于密码的选择和使用、钓鱼防范、物理访问控制安全等等。培训鼓励学员通过企业安全论坛、博客、课堂、邮箱、留言簿、讨论会等等渠道正面表达自己的意见，学员不会因为错误的观点和言论而受到惩罚，反而会得到由于积极参与辩论而获得安全意识方面的纠正和启发。

通过在重点阶段对两组的考核评估对比，安全意识项目团队发现“实验组”的成员无论在安全意识的“知识”层面，还是在安全行为的“习惯”层面都远远超出“经典组”，具体的考评手段除了安全意识知识技能测试、钓鱼邮件攻击测试、社交工程电话攻击测试、尾随渗透测试、办公室可疑探测攻击、垃圾桶机要文件搜集，也包括桌面安全检查结果统计分析、人为原因造成的安全事故统计分析、安全意识认知与行为统一性分析、安全系统体验指数及服务满意度分析等等。

举例讲：安全意识教育团队设置了邮件列表来发布钓鱼报警信息，“实验组”成员的参与回复率是“经典组”的三倍；用于反钓鱼意识测试的钓鱼邮件只有“经典组”中的成员“中招”——点击了测试链接或回复邮件泄露了机密信息；而从防垃圾邮件举报邮箱及反垃圾系统分析，“实验组”举报的未成功过滤的钓鱼邮件数量是“经典组”的五十余倍！

在办公室物理安全方面，安全团队也不时选择一名“可疑”员工，不要他（她）佩戴工卡，尝试尾随其他员工，看看多少员工会注意到这件事并且采取正确的工卡询问及指引行动。这名“可疑”员工也会在办公区域“贼头贼脑”地尝试搜集和窃取各类信息资产，包括获取员工桌面的信息设备和机密文档，潜入会议室、文印室等地点搜集重要信息……通常能够意识到安全问题并且提出质疑和询问的是“实验组”的员工们，不过“经典组”的员工在经历过一次之后也开始变得警觉起来。

参与此次项目的昆明亭长朗然科技有限公司安全意识交付专家James Dong说：安全管理负责团队不能为了完成培训任务而进行安全培训，而是要着眼于建立企业安全文化。对个体员工的安全意识认知水平和安全行为进行建档、打分和跟踪，勇于采用创新手段并不断重复运行和保持持续改进，安全意识教育才会更加有效。