在当今的数字时代，无论受众的安全水平如何，无论是在基于产品的公司、技术解决方案提供商或服务提供商工作（乙方），还是在机关单位或公司企业里工作（甲方），归根结底，人员的问题终究还是人员的问题。技术可以发挥作用，但并非一切都能依赖于技术，从坏人的角度来看，使用该技术的人员是主要目标。通过寻找人类性格、情绪、繁忙的日程等等，不法分子可以找到一些最需要利用的因素——人性的弱点。对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：组织机构中的每位人员都是网络不法分子攻击或利用的目标，所有员工都面临风险，人工智能等技术可以有所帮助，但是人性的弱点最终还是要靠人类自身来解决。当前，网络安全意识已成为确保工作场所安全不可或缺的一部分，这意味着我们应该认真对待并致力于做好安全培训工作。当我们这样做时，也是在为组织提供蓬勃发展和成倍增长的机会。

那么，如何在员工中传播安全意识呢？

首先，需要在员工入职期间引入网络安全。员工入职培训往往是介绍、教导和开始灌输公司价值观、政策和文化的机会，是能给员工留下最深刻印象的关键时刻。网络安全需要作为此入职培训过程的一部分，这样做会给员工留下深刻印象，即网络安全是公司的优先事项，与在入职培训中包含的其他核心业务流程同等重要。网络安全入职培训计划需要全面完整，并且应该介绍和解释网络安全政策中的所有内容。需要浅显易懂，不用太深刻。尽管政策中的某些事情看起来显而易见的，但是一点职场经验都没有的新员工们可能并不这么认为，因此非常有必要对其进行耐心地解释。入职网络安全培训的模式可以使用课堂讲解及互动，这样的沟通效果最佳。

其次，应该至少每年进行一次年度的安全意识刷新，人们每天忙于工作，如果没有得到及时的安全提醒，容易遗忘组织对他们的安全期待。即使在某些方面的网络安全要求会时时影响到员工，但是其他更多方面的要求可能并不被日常关注。安全意识刷新活动就如同持续教育一样，通过终身学习计划，给员工们一种不断充电，保持更新的职场状态。因为安全威胁在不断演变，安全环境和政策也可能每年更新，年度安全刷新应该特别强调这些变化。年度安全意识刷新活动应该选择在业务的淡季，使用eLearning方式最佳，学员可以随时随地参加学习，自主安排优先级完成任务，不耽误日常工作。

最后，最好使用一些安全意识辅助手段，以确保安全政策的落地执行，学以致用才是关键，让员工们学习网络安全是为了让安全方针政策和制度要求能够得到贯彻实施，要让安全意识能够在日常的安全行为中得以体现，进而养成好的安全习惯。通过策划和实施一些定期的意识宣传活动，以及测试审核活动，可以帮助确保安全意识认知指导并转换成人们的日常行为规范和实践。定期的宣传教育活动可以灵活多样，比如使用壁纸、海报、期刊、手册等平面设计物，使用动画、视频、短片、游戏等电子媒体，也可以使用安全巡检、清桌检查、模拟审计等安全行为检查活动，以及测试竞赛、模拟钓鱼、红黑对战等赛事活动。

在内容知识方面，网络安全意识培训计划应包括网络安全政策的要素，例如个人设备法规、电子邮件和计算机密码策略以及可接受的网络访问政策等等。在安全实践方面，要告诉员工们如何遵守政策和正确使用计算资源以确保合规性（包括IT帮助台、人力资源联络、如何访问公司政策等）。如果很容易得到这些可自主查询或问询的信息渠道，有安全相关疑问或顾虑时，员工们知道如何找到相关的信息，这一点非常重要。还有要鼓励员工们通过何种渠道报告安全事件，即使那些事件是由他们自己的错误引起的。建议对自我报告违规行为的员工采取（有限的）特赦政策。了解安全漏洞（薄弱）比斥责不合规的员工要重要得多。

作为其更广泛的安全意识战略的一部分，网络安全团队可以使用网络钓鱼模拟程序，让所有员工暴露在正在进行的模拟网络钓鱼活动中。最好基于最近截获的真实案例，创建逼真的模拟邮件来进行培训练习，以跟上网络犯罪分子不断发展的策略（伎俩）。点击可疑电子邮件的收件人占比（失败率）还可提供组织所面临的风险级别和安全培训需求的宝贵输入。

兵法云：“知己知彼，百战不殆。”了解不法分子使用的手段很重要，通常来讲，在不法分子确定了攻击目标之后，他们会通过社交媒体，如官方网站、招聘、电商平台、微博、公众号、微信、领英、小红书、Facebook、Instagram、Twitter等所有他们可能达到的地方，对他们的目标进行广泛的背景研究，以便了解人们的习惯、喜好，如他们在什么餐馆吃饭 甚至是他们搞过什么团体活动等等。然后，网络罪犯可能会使用这些信息来策划一场令人信服的社会工程活动，例如，一封看似来自CEO最喜欢的西餐厅的诱人促销邮件或一条假冒CEO或新同事的好友添加。只需一次快速的点击，最终用户就可能为灾难性的数据泄露打开大门。

俗话讲“一回生，二回熟，三回一齐局；昨日客，今日友，明日共同宰。”商场中有太多老板做生意都希望有回头客，却经常被熟客骗。网络犯罪分子使用各种社会工程方式（诈骗伎俩）来建立信任，这类基于人性弱点（相信熟人）的骗局非常具有迷惑性，也很有效，通过媒体的披露，我们可以知道商业诈骗时刻都在发生着。这类诈骗很难使用技术型的管控措施来预防，只能从心理方面进行应对，在安全意识课程中，需要不断强调业务交易风险，强调合规运营的重要性。

一项针对中小型的网络安全调查表明：参与者中有33%表示他们从未在工作中接受过网络安全培训或教育。这个问题可以说非常严重，通常在经历了惨痛的安全事件后，管理层才会意识到，需要进行全员安全意识培训。然而，无论是小型企业的首席执行官、IT经理、培训专员，还是负责安全的办公室经理，发动上述的几种安全意识培训，搞起来没什么大问题，可是要搞好搞出成效，能从中受益，并不是一件容易的事情，因为好的培训需要有专业的意识内容或/和讲师资源。

话说回来，社会分工越来越细，专注于核心并实现量产（规模化）是关键的生存和成功要素。那么，如同安全意识教育一样，很多工作并不需要自己动手，在战略选择方面，可以考虑采取外包或对外采购的方式。昆明亭长朗然科技有限公司推出了大量的安全、保密与合规意识宣传教育内容，包括动画视频、平面图片和电子课件资源，涵盖各种主题，包括场所安全、信息分级与保护、网络钓鱼及诈骗防范、密码最佳实践、双因素身份验证、社会工程学、远程工作和物联网安全等等。在形式方面，我们将与您和贵司合作，创建一个量身定制的安全、保密与合规培训计划，不仅满足贵司的安全意识目标，还可以通过让员工们参与在线电子学习培训，节省预算和时间。我们的在线培训课程模块以用户友好的科普语言呈现，课程长短可在45分钟、60分钟、90分钟、或120分钟。欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验在线学习平台以及洽谈采购合作。

越来越多的信息安全高管认识到，对员工的意识培训是抵御网络安全威胁的第一道防线。对此，昆明亭长朗然科技有限公司董志军补充说，近年来，首席信息安全官、网络安全总监和IT安全经理们觉悟得到了提升，如果有更多的钱来改善安全性，那么最好将将它们用于员工的安全培训方面。

网络攻击现状严峻

有针对性的鱼叉式网络钓鱼不仅瞄准了首席执行官、首席财务官、副总裁、人力资源总监等等，甚至也瞄准了安全及保密管理人员，这不是赤裸裸地挑衅么？同时，基于邮件、短信、微信、QQ等消息的威胁往往是当今犯罪分子们使用的最重要攻击媒介。不法分子首先拿下组织机构的员工，以获得该组织机构内部网络的访问权，进而在内网中横向移动，发掘更多宝藏。这就是专业人员们常说的高级可持续性威胁，它的危害很大，防范却是非常之难。通常，只要有一名员工为训练有素的黑客敞开了大门，而一旦黑客通过该员工及其电脑为跳板进入内网，接下来他们就可能潜伏下来，进而会造成无法弥补的伤害。

安全防范存在弱点

最近几年的安全事件使网络安全业界感到震惊。特别是那些具有高安全级别的公司往往都成为黑客的受害者并遭受严重的破坏，何总那些成千上万的中小型企业和机构呢？在当今的业务环境中，IT专家需要了解有关数十种不同设备的所有知识，并且必须正确配置所有设备并使其与整体数据系统的体系结构保持一致。越来越多的重要信息需要得到保护，这对安全能力是一种挑战。

云端数据面临隐患

云技术使人们更容易获得数据，特别是当终端变得越来越移动化之时。但是，云计算也更容易受到网络攻击。这样我们就不得不面对一个新问题，是否应该继续冒险将重要的数据置于云端。世界上该领域最厉害的服务商及专家团队都对云端数据安全的未来充满不确定性。以全球大型云服务商为主要目标的攻击屡屡成功，对涉及的网络安全相关领域提出了更高的发展要求。然而，反威胁情报持续失败的现状令人叹息，其重要原因之一是安全专家始终落后于攻击者几个步子。每个新的安全漏洞都会使网络威胁变得更加复杂。当关键数据遭到破坏时，黑客可以免费获得客户数据、商业机密和知识产权。

人为因素引发关注

培训员工认识网络安全的重要性、了解网络威胁的特征。经过适当培训的员工将拥有基本的安全意识和能力。此外，当前的网络安全学习计划包括行为修正培训，行为修正​概念并不是什么新鲜事物，但是将其应用于信息技术和网络安全环境中，才是防范安全事件的最终措施。对此，董志军举例说：员工们必须了解某些行为是不可接受的，比如访问不良网站，下载破解等恶意软件，点击陌生的链接开启可疑人员发来的文件等等。在培训过程中，需要向员工们展示黑客采用的常见技巧，随着网络攻击的发展，对于如何检测到黑客等安全威胁，是当今网络用户的常识，员工们也必须拥有这方面的能力。

重点针对高危人群

首席执行官、首席财务官、副总裁、人力资源总监等等掌握着更多的信息和权限，自然更容易成为不法分子的目标。比如网络小偷正在不断更新其入侵方法，以令财务人员进行紧急的流程外支付。有效的攻击还包括鱼叉式网络钓鱼，往往都以首席执行官、董事会成员、领导干部秘书等人为目标。因此，组织中的每个人都应该接受网络安全意识培训。全体有权访问组织信息数据的人员，都必须参与网络安全学习计划，这是义务也是权利。

网络安全行动倡议

兵法说：知彼知己，百战不殆；不知彼而知己，一胜一负；不知彼不知己，每战必殆。在涉及网络威胁时，我们必须首先解决人为因素。当全体员工都经过充分培训并了解黑客等攻击者入侵渗透组织机构的多种方式后，必将比黑客领先一步，而不是落后黑客一步。

只需一名职员的无知或大意，就能让黑客等威胁打开那扇网络之门，进而令窃贼进入内部IT网络后对信息资产进行洗劫，并劫走他们想要的一切。提升职工们的网络安全意识，进而保护组织机构的重要信息资产，是一项重要且紧迫的信息安全管理工作。昆明亭长朗然科技有限公司创作了大量的网络安全意识培养的教程内容和素材资源，以帮助客户武装员工们的安全头脑，进而构建成为一道强有力的网络安全防线。如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。