网络安全需要从青少年学生抓起，尽管移动社交如群沟通很流行，但是电子邮件具有顽强的生命力，电子邮箱是校园师生必备的工作、学习中的沟通系统，可早通过电子邮件的钓鱼攻击却很常见。近几年针对国内高校的钓鱼攻击不时见诸于媒体，没有被发现或曝光的相信也还不少。如何防范网络钓鱼特别是通过邮件渠道的钓鱼攻击呢？在邮箱系统管理方面，可以加强一些技术防范措施；在人员意识方面，也可以加强一些安全意识教育，同时可以采取一些网络钓鱼测试，让师生们在并不冒险的情况下，参与安全攻击与防御的亲身演练，通过这种互动，以获得全面的钓鱼防御。

不同院校的财政预算各不相同，可以说资源分配非常不均。对此，昆明亭长朗然科技有限公司网络安全专员董志军称：尤其是不少民办高校，财源紧张，通过没有预算购买网络钓鱼测试方面的外部服务。在这种情况下，院校网络安全负责团队可以考虑少花钱甚至不花钱来进行网络钓鱼测试。在实施这些测试时，请注意以下几点：

• 确保遵守所有相关的法律和学校政策。
• 事先获得适当的授权和批准。
• 不要收集或存储实际的敏感信息。
• 测试后及时向参与者解释测试的目的和结果。
• 将测试作为教育的机会，而不是惩罚的手段。

在了解了上述前置合规条件之后，我们需要一些更详细的实施建议。有的院校邮箱管理员可能会说：我就编写一封钓鱼邮件，然后发送给所有人，看谁会回复会上钩，不就这么简单吗？道理上是这样，但是这显然是最简单的方法，不够科学。科学的方法有如下具体实施步骤：

模拟钓鱼邮件：

• 使用现有的电子邮件系统，创建看似合法但实际上是测试用的钓鱼邮件。这些邮件可以模仿常见的钓鱼场景，如要求更新密码、确认账户信息等。
• 设计3-5种不同类型的钓鱼邮件模板，如：
  a) 假冒IT部门要求更新密码
  b) 模仿学校财务处发送的奖学金通知
  c) 伪装成学校图书馆的逾期通知
• 使用类似学校官方邮箱的发件人地址(如：[email protected])
• 在邮件中加入学校logo和正确的联系信息，增加真实性
• 创建一个跟踪系统，记录邮件的打开率和链接点击率

开发简单的网页：

• 创建模仿学校官方网站或常用服务(如学生管理系统)的简单网页。这些页面可以用来收集用户的登录尝试，但不要实际存储任何敏感信息。
• 使用HTML和CSS复制学校官方登录页面的外观
• 添加虚假的登录表单，但不要实际处理或存储输入的凭据
• 设置服务器日志以记录访问次数和IP地址(注意遵守隐私政策)
• 在页面底部添加小字提示”这是一个安全意识测试”

使用开源工具：

• 有一些开源的网络钓鱼测试工具，如Gophish或Social-Engineer Toolkit (SET)，可以帮助您进行基本的钓鱼模拟。
• 安装Gophish在本地服务器上：
  a) 创建钓鱼活动
  b) 导入目标用户列表(教职工和学生)
  c) 设计邮件模板和登陆页面
  d) 调度发送时间和监控结果
• 使用Social-Engineer Toolkit (SET)进行更高级的测试：
  a) 创建自定义攻击向量
  b) 生成恶意文件(仅用于测试，不含实际恶意代码)

追踪链接：

• 在邮件中使用可追踪的短链接，以监测有多少人点击了可疑链接。
• 使用类似服务创建短链接
• 在不同类型的通信中使用不同的短链接(邮件、短信、社交媒体等)
• 分析点击率、地理位置和设备类型等数据

报告机制：

• 设置一个简单的系统，让用户可以轻松报告可疑的邮件或链接。这不仅可以测试用户的警惕性，还能培养他们主动报告的习惯。
• 创建一个简单的web表单或专用邮箱用于报告可疑活动
• 设计一个奖励系统，鼓励积极报告
• 开发一个仪表板，实时显示报告数量和类型

培训后测试：

• 在进行基本的网络安全培训后，立即进行钓鱼测试，以评估培训的效果。
• 设计一个简短的在线培训课程(15-20分钟)
• 在培训后立即发送钓鱼测试邮件
• 比较培训前后的测试结果，评估培训效果

分阶段测试：

考虑将测试分为不同的难度级别，从简单明显的钓鱼尝试开始，逐步增加复杂性。

第一阶段(简单)：

• 明显的拼写错误
• 不匹配的URL
• 紧急要求立即行动

第二阶段(中等)：

• 模仿真实服务的精细钓鱼页面
• 利用当前事件或学校新闻作为诱饵

第三阶段(高级)：

• 定向攻击(针对特定部门或个人)
• 多步骤钓鱼(例如先发送准备性邮件，再发送钓鱼链接)

实施建议：

1. 成立一个跨部门团队，包括IT、人力资源和法律部门的代表。
2. 制定明确的测试目标和成功指标。
3. 创建一个详细的测试时间表，避开敏感时期(如考试周)。
4. 准备全面的通信计划，包括如何向参与者解释测试结果。
5. 设置一个安全的环境来存储和分析测试数据。
6. 制定应对计划，以防测试引起意外反应或问题。

请记住，整个过程的目的是教育和提高安全意识，而不是惩罚。确保所有的测试活动都符合道德标准，并获得学校管理层的明确批准。

最后要说的是，传统上编写软件程序比较累人，耗费人力资源较多，现在有了人工智能的加持，稍稍有些软件背景知识的人员，都可以轻松编程、开发网站或使用开源系统进行改进，这样可以快速自主轻松地完成很多此前很麻烦的工作。相比于商业产品和服务来讲，可控性、可调性和保密性都要强很多。因为很多商业级的产品功能其实都没有必要，甚至大多数根本用不上，此外，很多应用都使用的是托管类的云端服务，保密性并不十分值得信赖。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构提升员工们的信息安全意识，我们有创作大量的安全意识教程资源，如动画视频和电子课件，也开发了很多快捷的安全意识培训、考试平台、互动系统和钓鱼测试软件等等，欢迎有兴趣的朋友联系我们，预览我们的作品和体验我们的软件。

昆明亭长朗然科技有限公司

• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

日本人做事情比较严谨，可以说一丝不苟，在信息（情报）安全方面也是如此。不过也有一个问题，就是多数日商的内部工作气氛比较沉闷，领导批评和训斥下属做事不力的情景时有发生。当碰到信息安全工作中的问题时，那批评也很严厉。昆明亭长朗然科技有限公司信息安全教育培训顾问董志军说：我就亲眼看过上司当着厂商人员的面，狠狠批评下属的事情。其实缘由就是芝麻粒大一件事——EICAR病毒测试文件引起了防病毒安全报警，但是领导却这么不给脸面，也实在是让我们觉得汗颜。

在信息安全管理方面，严格要求不是什么坏事儿，特别对于靠品质管理来赢得市场竞争力的制造业。信息安全负责人多少会受到更高层领导的管理思想影响，往往期望严格要求下属们，发现违规情况一顿狂批，通过这些高压手段来保障信息安全。

对于长期在日商、台商那种沉闷气氛下工作的员工，或者了解日企企业文化的人们来讲，在接受到批评时，首先肯定会认为是自己做错了什么，能够反省自己的错误。然而，对于流动频繁的职场人员，或长期在比较宽松的欧美、港资或内资公司工作的人们来讲，在受到严厉的批评时，可能不会轻易在心底认错，反而会觉得受了伤害，比较委屈，进而带来的是对信息安全的躲避和抵制。

受众的心理素质各不相同，如何鼓励人们改进他们的安全行为呢？董志军认为：首先当人们在信息安全方面的行为不当时，不要轻易责怪他们。责怪往往会适得其反，不能帮助我们改变或者获得更有效的安全行为模式。

在信息安全意识和行为方面，组织必须找到与员工合作的方式，并让他们改变。这是一门行为科学，综合设计学、心理学和认知科学等领域，我们需要公开严格地测试与安全有关的假设和实践，并根据经验证据修改人们的想法。

设计学并不仅公是构建某种东西（比如产品或系统），而是使其易于掌握的做法。简单说，我们研究用户如何使用信息产品或系统，改进设计，再次测试、改进和重复这个过程。在理想的情况下，信息安全不需要任何人为的互动。就是说，信息安全是隐藏在后台，不影响用户体验的。这么说，安全就只是安全专家的主要工作了，对于其他所有人来说，要把安全放到台面上，那就是对生产力的消耗。

当然，现实世界比较复杂。董志军解释说：仅仅靠技术，很多安全问题是解决不了的。为了自圆其说，“安全与效率的平衡”就闪亮登场了。就如同机场安检一样，人们不得不牺牲效率排起长队经过这一关，安检技术不能是完全透明的，使用大数据和人工智能化来帮助快速安检还远着呢！安全意识和教育也不是解决问题的理想答案，那些坏人才不会轻易受到安全教育方面的感化而放下屠刀。

安检就是将人员、流程和技术有效结合使用的一项典型安全管理措施，尽管有少数人对此不满并反抗，然而，他们的不满和反抗，只被解释和理解为他们不懂安全，带来的也只是被强化进行安全意识教育。

因此，在极端的状态下，强力宣讲信息安全的重要性，可以强制人们理解和接受信息安全相关的要求，虽然这并不表示人们会把安全问题放在首位。用户可能会选择退避，比如不乘飞机和高铁，而选择较慢的线路。或者不接受工作对他们严格的信息安全行为要求，进而辞工并让生活变得困难。

您可能会觉得虽然各种奇葩人物都有，但是这主要还是沟通的问题，没错，这就是心理学和认知科学的范围。信息安全专家需要说服员工们和企业管理者一起，合作起来管理他们共同面临的安全风险。

沟通信息安全相关需求，需要时间、鼓励和指导。不安全的想法、冒险的行为需要得到改变。所有的安全指导必须是可行的，安全沟通必须是简洁明了、有可操作性、经过测试的，我们需要专业信息安全教育人士的帮助才能做到这一点。

要改变人们冒险的行为，并开始践行正确的安全，这急不来，不是张贴几张安全宣传海报、发送几封电子邮件就能实现的。

网络钓鱼测试的帮助也是有限的，这些测试通过向员工发送伪造的网络钓鱼企图，来提高安全意识。它并不能真正地吸引用户，也并不能真正构建正确的安全心态。原因何在？董志军表示：网络钓鱼测试依赖假设的钓鱼场景模型，这可能是缺陷的，这是安全专员们长期以来试图避讳的，但却是客观存在的问题。不断测试我们的假设并加以修改完善，是借助网络钓鱼测试取得信息安全意识项目成功的重要步骤。

我们的一份报告发现，许多安全意识项目是由技术背景的人员而不是由社会学、心理学或沟通等学科背景的人员进行的，这就很难研究用户群并说服他们改变自己的行为。

特朗普国家网络安全顾问在中美网络会议上曾表示，信息安全团队的技能缺陷是一个重大的问题。因此，对于所有进行信息安全意识培训的组织而言，最重要的就是走出技术的笼子，要么请求外部专家的帮助，要么寻求有社会学、心理学或沟通等学科背景的人员加入。

不要轻易责怪用户，更不要使用严厉的惩罚手段来影响安全行为。惩戒特别是对那些无意犯错的，会伤人们的心，换来的不是顺从，而是对信息安全要求的逃避和抵制。董志军举例说：我曾经有一位工作很努力的同事，在两次安全检查被查出问题之后，他都变得谈虎色变，每次再碰到安全检查活动，就立即收拾东西，离开座位，去躲避检查了。我也能理解他，因为安全检查出来的问题，他不仅被警告过，绩效考核也被降了一级，再被抓一次不合格，可能就面临解雇了。

我并不是否认使用常规的安全检查来教育员工们注意信息安全行为，我们要实施惩戒，一定要有充分的沟通，否则惩戒本身就成了一种威胁，人们可能关注更多的是惩戒，而不是网络安全面临的威胁了。如果我们期望员工们对一项新的信息安全要求作出反应，我们需要给出足够的时间和资源。惩戒要让人心服口服，让用户接受信息安全理念，对信息安全行为的改变才有帮助。

对于信息安全行为的改变，不妨换一种思维方式，不要只专注于不良行为，转而奖励积极的正向行为。设置一些安全行为奖项，让人们在实践正确的安全行为时，能获得鼓励，扬善弃恶，进而刺激和培养出好的安全习惯。

总之，信息安全的认知重在沟通，认知的改变能带来信息安全行为上的改变。安全意识的沟通是一项科学，不是简单粗暴地买来安全宣教材料就甩给用户，用户就能消化和接收。昆明亭长朗然科技有限公司帮助信息安全管理层和员工们建立良好的沟通互动。欢迎联系我们，对此文谈谈您的想法，以及洽谈业务合作。

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：[email protected]

QQ：1767022898