网络安全需要完善的系统化的管理，涉及制度、技术和人员等多种要素。网络安全事件的成因有多种，归根结底是安全管理的控管措施不到位。如下，我们将细数造成安全事件的十种常规根本原因，并简要分析和给出整改建议。

1. 缺乏安全策略和程序：制定明确的安全策略和程序有助于确保员工在保护组织资产时了解自己的角色和责任。定期审查和更新安全政策和程序有助于确保它们有效且最新，并获得落地实施。
2. 缺乏安全意识：员工如果不了解组织数据和系统的潜在风险和威胁，就更有可能犯错误或成为网络攻击的受害者。有关网络安全最佳实践的定期培训和教育可以帮助员工了解其在保护组织资产方面的作用的重要性。
3. 缺乏访问控制：访问控制不足可能会导致未经授权的个人访问敏感信息和系统，从而增加网络攻击的风险。通过部署强大的访问控制（例如多因素身份验证）可以帮助防止未经授权的访问并降低违规风险。
4. 过时的软件和系统：使用过时的软件和系统可能会产生可供网络犯罪分子利用的漏洞。定期更新软件和系统有助于确保修补所有已知漏洞，并保护组织的系统免受已知威胁。
5. 网络安全性差：网络安全性差可能会使组织的系统和数据容易受到攻击。通过实施强大的网络安全措施（例如防火墙和入侵检测系统）可以帮助防范外部威胁并防止对组织系统的未经授权的访问。
6. 缺乏事件响应计划：制定应对网络攻击的计划可以帮助组织最大限度地减少漏洞的影响并快速从事件中恢复。制定事件响应计划并定期测试可以帮助确保组织准备好应对网络攻击。
7. 缺乏员工培训：未接受过网络安全最佳实践培训的员工更有可能犯下可能导致违规的错误。这凸显了对员工进行网络安全最佳实践教育以及实施政策和程序以减少人为错误风险的重要性。
8. 缺乏物理安全：物理安全措施，例如锁和警报器，可以帮助保护组织的资产免遭盗窃或损坏。安装和实施强大的物理安全措施有助于防止未经授权访问组织的系统和数据。
9. 缺乏供应商安全：有权访问组织系统和数据的供应商如果没有采取足够的安全措施，可能会带来重大风险。配置和实施强大的供应商安全策略并定期审核供应商安全有助于降低违规风险和减少安全事件。
10. 缺乏事件响应测试：定期测试事件响应计划可以帮助确保组织做好应对网络攻击的准备。测试事件响应计划还可以帮助识别组织响应能力中的任何差距或弱点。

在这其中，人为错误是网络安全事件的一个重要因素。国际商业机器公司和威瑞森公司的研究表明，人为错误分别造成了大约 95% 和 82% 的数据泄露。要修复人为错误，比修复系统以及流程中的弱点，难多了。需要建立整体的网络安全意识教育计划，该通常通过如下多种方式提供：

• 培训视频，提供有关安全威胁、漏洞和响应的信息的在线视频或动画。动画视频是一项普及性无关具体产品的安全意识培训视频系列内容资源，该培训内容适用于各种组织的所有最终用户。动画视频短小精悍，多媒体内容丰富，所有知识点均由资深网络安全专家编写，具有强大的动态图形、故事案例或真实场景，由教学设计师、图形设计师和动画设计师开发。这些培训视频可以集成到组织内部的学习管理系统中，也可以利用组织选择的外部托管学习管理系统进行部署，还可以通过各种电子屏幕、网络沟通平台进行传播。
• 演示文稿，有关网络钓鱼诈骗或社会工程攻击等主题的演示文稿文档。演示文稿适合比较初级的安全意识宣教活动。
• 宣传邮件，定期发送电子邮件，涵盖密码安全或网络钓鱼等重要主题。宣传邮件中可以包含简要的策略文件、当前的威胁形势、行业相关的真实案例、以及宣传图片等。
• 在线学习，使用交互式的电子学习课程，追踪学习进展衡量学习成效。培训模块通过涵盖组织各个级别的员工所需的关键知识培训来解决内部威胁，游戏化互动让用户保持参与，每个模块末尾都有简短的测验来评估学员的理解程度。基于网络的电子课件符合行业SCORM标准，并且可以上传到任何符合SCORM标准的学习管理系统，以用于跟踪和报告目的。员工可以随时随地通过安全意识服务网络培训进行自我教育和继续学习，安全培训负责人员可以随时随地查看学员们的学习进度报表，以了解学员们的安全认知情况并采取必要的推进措施，进而确保组织的网络安全。
• 模拟钓鱼，使用类似黑客的网络钓鱼的手法，主动检测钓鱼识别技能。模拟网络钓鱼攻击使用无害的方式欺骗个人的活动。要谨慎和透明地进行这种类型的模拟，以避免造成不必要的恐慌或混乱。记住，模拟的目的不是欺骗员工，而是教育他们如何识别和避免网络钓鱼诈骗。 确保以透明的方式进行模拟，并为员工提供确保在线安全所需的资源。

昆明亭长朗然科技有限公司创作了海量的安全意识动画视频、电子图片和课程模块。欢迎有兴趣的客户及伙伴联系我们，预览我司的在线课程内容资源，以及体验在线学习平台的功能。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

小型企业的IT经理购买并实施昂贵的安全技术，希望能够避免网络攻击。但是他们往往忽视了一件关键的事情：员工是他们网络安全策略中最薄弱的环节。根据昆明亭长朗然科技有限公司的一项研究，成功的网络攻击中有85％是通过网络钓鱼邮件发起的，这其中又有90％是从毫无戒心的员工那里窃取的信息而进行的。CNCERT的一项统计表明：导致数据泄露的恶意软件中，有66％是通过恶意电子邮件附件安装的；28％的网络攻击涉及内部人员，而68％的安全事件是人为错误的结果。

既然网络攻击大部分源自于网络钓鱼。那什么是网络钓鱼呢？网络钓鱼是一种社会工程形式，涉及发送声称来自信誉良好的个人和/或机构的电子邮件，并诱使接收者透露诸如银行详细信息或密码之类的敏感信息，或诱使用户单击某些恶意构建的网址。网络钓鱼的技术门槛低，发动起来很容易，并且经常以脆弱的“人性”为目标。尽管在传统上，恐惧感、好奇心和乐于助人的天性是黑客利用最多的人类情感，但如今，成功的网络钓鱼尝试针对的是人类对娱乐、社交互动和奖励/认可的需求。对此，昆明亭长朗然科技有限公司网络安全研究员董志军补充说：这一点其实很容易理解，根据“马斯洛需求层次”理论，人类的情感需求很丰富，随着社会发展和人们生活水平的提高，各种情感需求如“社交需求、尊重需求和自我实现需求”都会开始大量涌现。

需知，网络钓鱼并非总是以电子邮件的形式出现，它也可能通过微信等社交媒体并搭配伪造的网站进行，看起来钓鱼网站与原始的网站域名非常相似，但是钓鱼网站会捕获人们的机密信息。此外，网络钓鱼的渠道还可包括试图收集机密信息或说服受害者转移资金的电话或短信。因此，我们需要认真应对网络钓鱼尝试，不过，单靠IT安全技术并不能阻止利用社会工程学技术操纵人们泄露机密信息的网络攻击。

那么，有什么好招儿应对网络钓鱼攻击吗？从战略上讲，利用人类情感需求的攻击，还需从人类情感入手进行防范，这是非常复杂的，我们不能让人们都变“坏”，但是却可以让人们防止他人的“坏”。从战术上讲，让人们理解这些人性、心理和情感方面的需求，理解“坏人们”可能如何利用它们，以及我们该如何防范。要实现这些，无非需要从人员要素入手，一种最有效、廉价的方法便是安全意识培训，实施安全意识培训计划可以帮助员工们提高对网络攻击的认识，提高对网络安全最佳实践的了解。那么，什么是安全意识培训和安全意识培训计划呢？

安全意识培训是对员工进行网络安全最佳实践教育的正式过程。它应教会员工如何识别欺诈性电子邮件和有害网站，并防止单击恶意链接或泄露机密数据。安全意识培训计划包括在线培训材料、基于计算机的交互式安全培训材料、员工签署培训文档确认信息安全准则、真实网络攻击的案例模拟、游戏化的练习等等要素的组合。

欧洲网络安全局一项调查表明：设计和实施定期安全培训计划以对员工进行安全最佳实践教育的组织，在过去两年内遭遇的与用户相关的数据泄露风险（如网络钓鱼）降低了48％。因此，创建引人入胜的持续安全意识培训计划将给组织机构带来许多安全方面的好处。昆明亭长朗然科技有限公司专注于帮助各类型机构建立有效可行的安全意识培训计划，我们有大量的高质量安全意识宣教培训内容资源，如果您需要我们帮忙策划安全意识宣传活动，或者需要安全培训课程资源，请不要客气地联系我们。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898