近年来，针对职员们“人性弱点”的网络攻击越来越猖獗，最流行的莫过于网络钓鱼邮件，就连知名大学的学生和教职工也大量沦陷于网络钓鱼攻击测试活动之下。这无疑是网络安全圈内的一个又一个炸弹，这些组织机构都部署了大量的网络安全控制、监管和审计设备，尽管如此，用户在IT安全意识方面的薄弱还是让人们有些汗颜。对此，昆明亭长朗然科技有限公司网络安全专员董志军称：二十年前，网络安全的主要工作还停留在设备的铺设期，主要网络威胁还是病毒以及黑客，网络钓鱼刚刚进入人们的视野，很多CIO和信息安全总监级的人物对此都还没有概念，知名黑客 Kevin Mitnick 因为开始使用“社会工程学”骗术的方式，前后进出监狱三次，还出了一本书，反欺骗的艺术 The Art of Deception，尽管这已经是非常前沿的预警，然而很多机构并没有意识到问题的严重性——当强大的外部威胁冲击内部弱点时，“固若金汤”的安全措施，将变得“不堪一击”。

而针对大学教授千万级的转账诈骗，以及针对电网公司CFO的千万级的转账诈骗，都暴露于媒体之后，近几年，人们开始警醒电信诈骗这个问题，同时犯罪分子也越来越狡猾，太多具有持久意义的警示故事了，它们强调了对机构内外所有人进行安全意识培训的重要性。

最终用户的天真可能导致代价高昂的安全事件，这凸显了安全意识培训的重要性。不久前，国务院某机构的负责人收到了一封声称来自组织部门的电子邮件，它看起来完全正常，并要求他核实一些信息。那位领导开始依照要求填写并提交内容，然后突然意识到他将敏感的涉密信息数据直接发送给了网络犯罪分子。

在没有电话也没有网络的时代，骗子可以伪装成某某领导的亲戚朋友，到处行骗，骗个大官当也都不是什么难事。而如今，电话和社交网络这么普及，骗子行骗的成本非常低，可以轻松实现大规模化群发诈骗消息。基本上，人们需要用脑子思考，我们不希望人们不能随便轻信，对于电子邮件，不可随意点击链接，不能轻易开启邮件附件。

不得不说，点击这些东西是人类的基本本能，有时它们非常吸引人，特别是如果它们具有一定的社会背景的话。因此，利用社会热点话题的诈骗消息，往往很容易成功。而社会工程学骗子会研究目标机构，通过媒体搜索等等，找出该机构正在进行的一些活动，并定制化相关的诈骗消息，这样做，无疑会让员工们对消息真假难辨，进而轻易上钩。利用快递信息进行的诈骗也几乎就是这个招数，当人们发现购物信息正确时，几乎相信该事情是真实的。如果担心收不到货，钱财两失，那正中了诈骗分子的圈套。其实，明白人不管那么多，快递丢了，您重新发嘛！退款？直接通过平台退嘛！问题就是明白人不多，傻傻的网购者却不少。对于如机关单位和公司企业等类型的组织机构来讲，员工们的IT安全水平和意识，也是类似的，厉害的没几个。

因此，我们需要帮助用户们避免“陷阱”消息，在防范电信诈骗方面，有防诈APP可用，警示人们境外来电是可疑的。对于员工们呢？无疑需要从一个基本的、温和的安全宣传活动开始，发起基本安全意识培训必不可少。可以制定了一项多管齐下的IT安全意识战略，优先考虑所有员工的持续学习。 首先，新员工通过基于视频的在线课程，了解安全政策和最佳实践，审查并签署可接受的网络使用政策。其此，需要对员工们进行定期的安全意识考核，可以通过在线电子学习的方式，也可以使用竞赛活动的方式。当然，安全团队还通过内部沟通频道、微信企业号和内部通讯月刊，分享相关的安全意识教育内容。当然，可以设计更高阶一些的模拟网络钓鱼活动，或者使用更低级一些的桌面壁纸或屏保。我们不建议使用海报、手册等印刷品，那些物资不够环保，在移动工作时代，效果也不够好。

说到安全意识培训的效果，在信息爆炸的时代，单向的图文甚至动画视频对于用户的意识留存，越来越无力，增加互动就显得非常重要。如果受制于空间场地的不足，比如有分支机构有疫情影响等等，可以搞线上竞赛活动激发用户们的参与度，比如信息安全征稿、在线安全答题拼比等等，成本低，覆盖广。当与最终用户互动时，希望他们从经验中学习，感觉良好，需要认真设计线上活动。通常来讲，在经历几次活动之后，人们会真正开始享受识别可疑消息，这同时还能增强全体职员的士气。

即使员工们对信息安全越来越有信心，安全意识培训负责人也不可高枕无忧。持续的IT安全意识培训的价值远远超过了在新员工入职培训期间提供的典型一次性培训。一方面，安全意识培训材料需要不断更新，不能总是吃一个菜，那样营养不充分。另外，也需要有新的玩法，比如移动工作流行时，有些员工喜欢在手机上打开了这些电子邮件，这时，就可以考虑使用一套新的针对移动设备的安全意识培训方案。

安全意识活动的报表及报告非常重要，这也是我们建议使用电子学习系统、在线测试系统和模拟钓鱼系统的原因之一。没有衡量就没有绩效，多少人员参训？完成学习的情况如何？通过测试的情况如何？哪些知识领域不被大家掌握？网络钓鱼模拟的点击量下降了还是上升了？具体数字怎么样？这些都可以是考核点和改进点，也可以是安全培训团队的工作绩效证明。

不管如何，我们要注意安全意识培训的持续重要性，即使用户精明程度在不断提高，也必须持续进行强化培训。人们往往会忘记并回到他们的旧习惯，所以需要不断地这样做，比如：每月一次小型培训，每季度一次中型测试，每年一次大型活动。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

最近，一家网络安全意识软件公司披露说，他们的模拟网络钓鱼模板设计被黑客利用，对一家知名的IT外包公司发起了攻击。该公司首席执行官称：该黑客“使用他们自己的代码和服务器来下载和复制模拟网络钓鱼模板，作为攻击的一部分，以实施攻击”。

稍后，在媒体面前，为了撇清干系，该首席执行官又补充道，“除了使用模板设计之外，没有证据表明黑客使用了我公司的模拟钓鱼软件产品。”

近些年，网络安全界出现了一个新的产品和服务，就是模拟网络钓鱼。对此，昆明亭长朗然科技有限公司网络安全培训专员董志军表示：这个产品在海外很受企业界欢迎，但是在国内则由于合规性以及敏感性，在关键基础设施行业并没有多少成功的使用，其它竞争性行业往往没有多少网络安全预算，所以很多人并不知晓。说起它的原理，其实就是针对终端用户进行渗透攻击测试。就是像不法分子那样，对目标人员进行社交工程诈骗或网络钓鱼攻击，看他们会不会上钩，并以此来进行安全意识教育。

这其中就会使用到内容模板，这模板就如同电信诈骗中的“话术”一样，是设计来好使“合法用户可以让他们的同事和客户暴露于逼真但模拟的网络钓鱼和社会工程攻击”。比如，针对不同的目标，要编出合适的有针对性的场景“脚本”、虚假网站登录页面以及钓鱼消息模板等等。

但是，这种模拟攻击往往会过滤掉敏感的信息，比如将用户的密码（部分）进行掩盖。真实的不法分子则不会这样，他们显然从“正派”的“网络安全意识软件公司”受到了一些模板创意的启发。从某种意义上讲，这就是正派的安全公司在教唆邪恶的犯罪分子。如同在网络提供网络入侵方法教程一样，您可以自辩说只有人们懂得如何攻击，才能更好了解如何防范，但事实是很多不法分子只拿来用于攻击比他们弱的受害者。所以，在一些努力保护弱者的社会治理环境下，这些渗透攻击相关的培训服务往往被禁止。对此，阿里巴巴集团的安全专员们也有类似的同感和困惑，一些新型的骗局，如果及时公布的话，不法分子往往领悟得更快，结果保护大部分用户免受新型威胁的理想没能实现，反而让更多的“安全弱智”用户成为精明的犯罪分子的受害者。

这种事情不是个案，其实在泛安全行业，很多安全公司和从业者都“唯恐天下不乱”，因为只有乱了才需要治，才会有更多的钱财投入。笔者曾经就职过多家国内外安全公司，经常会有老板经理们私下表示，应该对潜在客户发起黑客攻击，以让其受“教训”之后花钱采购相关安全保护产品和技术服务。

在公共安全及国家安全领域，警匪一家亲，双面间谍的情况很普遍，只是有的可能比较轻微，或者没有被人们发觉。警匪往往有一定的默契，安全人员并不会把犯罪分子赶尽杀绝，以免落得个“鸟尽弓藏、兔死狗烹”的下场，甚至还会纵容、鼓励甚至赞助和参与一些犯罪活动。当然，人民的眼睛是雪亮的，很多人会发现或怀疑自己无辜地受到了保护者的侵害，责骂那些无良的安保者“监守自盗”是没用的，那该如何应对呢？对此，董志军强调：没有别的方法，只有自己强大起来。

不要认为，我们每个人都有自己的使命，并非安全方面的专家。其实普通人只要掌握一些常规的安全防范技能，在国家和社会力量的保护下，就可以轻松应对绝大部分不良的安全“砖家”和不法分子。不要以阿里的个别情况来给自家找无为的借口，阿里是个世界性的大平台，他的绝大部分用户并非自家的员工，甚至还有很多犯罪分子混在用户之中。

一次成功的安全入侵背后，都有大量的安全弱点，做安全应急响应久了，见得多了，就会同意这简直是个真理性的法则。而那些安全弱点，往往都源于人们安全意识的缺乏和安全技能的薄弱。要么人们无知，要么人们违规，不管如何这都表明人们需要足够的安全意识培训。

我们不能仅仅依靠防病毒、防垃圾、防火墙或硬件防御设备。董志军强调说：人是很复杂的动物，当您的网络安全供应商和不法分子沆瀣一气之时，当不法分子从安全服务商那里寻找针对终端人员的入侵灵感之时，您该静心思考，是时候让您的终端用户强大起来了。

昆明亭长朗然科技有限公司多年来从事信息安全意识宣教，我们可以帮助各类型的客户对其员工进行信息安全意识宣教活动，不管您有任何的相关疑问或需求，都欢迎联系我们，共同探讨让用户变得强大，变得更安全、更聪明之道。我们也欢迎业界精英与我们携手并进，合作共赢。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898