Proofpoint在2022年早些時候發布的《2022年內部威脅成本全球報告》顯示，因內部人員導致的安全事件數量正在顯著增長，而在這些事件當中，有56%的比例是源自于員工疏忽，憑證管理問題是員工最容易出現的安全問題之一，有18%的威脅是源自于這一點。這些數據或多或少的表明一個事實，那就是安全是一個融合所有與企業關聯的人和事當中。此前我們曾探討，企業應對員工的安全意識和素養予以足夠高的重視，應當注重結果而非過程。（擴展閱讀：《員工不應成為企業安全建設短板 安全素養培訓當以結果為導向》），那么在現實情況中，我們身邊的企業對于這一問題的表現又是如何的呢？針對這一話題，我們與國內專注于人員網絡安全意識教育領域的企業——北京紅山瑞達科技有限公司取得聯系，并邀請其副總經理李翔一同來分享他們的一些心得。

　　企業對員工安全意識重視程度提升

　　安全教育與培訓服務市場高速增長

　　李翔表示，隨著安全事件的不斷爆發以及大型攻防演練活動的推進運行，其中很多事件都表明，企業因員工缺乏安全意識而被攻擊者成功的以社工攻擊、釣魚攻擊等方式入侵的情況比比皆是，甚至引發一系列嚴重后果。無論是從新聞報道還是演練活動的實戰體驗中，企業對于員工可以成為整個安全建設中的薄弱環節這一情況有了較為深刻的認知，對員工的安全意識和素養予以更高的重視已漸成企業安全建設中的一個趨勢。在從認知到需求層面，李翔告訴我們，從紅山瑞達近幾年的服務情況看，所有類型的企業（包括國央企、民企、外企）對于網絡安全意識培訓相關的服務需求都有增加。

　　反饋到市場層面，依據IDC在今年10月發布的《2022上半年中國IT安全服務市場跟蹤報告》顯示，2022上半年中國IT安全服務市場廠商整體收入約為12.25億美元（約合79.4億元人民幣），而IDC認為，2022年上半年中國網絡安全服務市場實現增長，主要由IT安全教育與培訓服務市場和托管安全服務市場帶動。其中，IT安全教育與培訓服務市場今年上半年增速最快，規模同比增長達到33%。IDC分析稱，認證培訓和安全實訓演練測試平臺與服務市場，共同推動IT安全教育與培訓服務市場上半年實現高速增長。

　　任何一個事情從理論到落地總會需要一個過程，而對事情的正確認知能夠大大加快這一過程，綜合來看，企業一側在這方面整體表現令人頗為樂觀。但在這背后，是否也存在有一些其他的問題？

　　安全意識培訓不能止于被動式教育

　　需關注實戰中解決問題能力的訓練

　　有了正確的認知并付諸于行動，是否就一定到位呢？答案顯然是否定的，就像網絡安全領域中很多企業在安全建設方面是以應付合規的態度一樣，“很多企業目前仍只是停留在關注培訓過程本身這件事情上，而對真正解決問題方面依然存在不足。”李翔表示，如社工攻擊、釣魚攻擊等，企業很清楚這些對他們構成了威脅，也會組織員工進行有針對性的培訓，但其中有部分企業還是習慣于將關注點放在這樣的活動進行了多少次、每次多少人參加等流于表面的形式。“在被動式單向灌輸的培訓方式之下，很難收獲到安全意識培訓這項工作的預期效果。以我們的經驗來看，哪怕是經過不止一次這種培訓的員工，在面對網絡釣魚攻擊時仍會上鉤。”

　　而這一結果相信對于培訓的甲乙雙方而言，都是一種難以接受的結果，一方面是為員工培訓付出不小成本的企業，仍會因為員工的安全意識問題而在相關的攻擊事件中蒙受損失；另一方面則是負責培訓的一方恐怕也只能撈一個服務水平極其堪憂的負面評價。

　　“相比之下，一些更有危機意識的企業會更多從實戰的視角出發，理論知識教育要有，實戰行為演練更是要有。”李翔談到，紅山瑞達推出的“防網絡釣魚模擬演練系統”也是基于這一理念，希望能夠令企業員工在安全意識培訓之后，以一種接近于實戰的方式去考察培訓成果，經過長期的實踐和迭代后，目前該系統可為不同行業、不同崗位提供有針對性的上千個訓練場景，覆蓋郵件、短信、二維碼、WiFi乃至USB設備等多個可能被釣魚的領域。

　　紅山瑞達推出的網絡釣魚郵件仿真體驗系統

　　實踐證明，在經歷過多次防釣魚模擬演練的員工在實際工作中識別攻擊意識和能力顯著高于被動式教育培訓的員工。

　　安全培訓也應分事前、事中、事后三步走

　　談到企業應如何做好網絡安全意識培訓這一話題時，李翔坦率表示，“安全意識培訓說容易也容易，但說難也難。一方面大家已經不糾結于‘做還是不做’的問題，另一方面，人的水平是參差不齊的，要想將所有人的安全意識統一提升到某一個很高的水平，難度就會很大。”這一點也是我們所強調的，安全培訓完成后要強調實戰訓練之外，也還需關注“因材施教”的問題，因此，有效的安全意識培訓也應分為事前、事中以及事后三個步驟完成。

　　事前階段

　　該階段的目標是完成對企業員工安全意識狀況的一個整體摸排，隨后根據企業的實際情況將不同級別的員工劃分成為數個組，以為接下來實施有針對性地安全意識培訓工作提供幫助，其作用類似于病人到醫院的初診，醫生通過化驗、檢查結果給出診斷書。具體來看，企業可以通過一套成熟的網絡安全意識測評，以問卷筆試+模擬測試方式進行。對員工模擬測評的行為進行記錄、統計和分析，最終得出員工網絡安全保密行為報告，這種方式就有利于企業準確掌握內部人員自身的安全風險狀況，為進一步有針對性地提升人員安全意識提供決策依據。

　　事中階段

　　該階段是根據被測員工的安全意識水平和存在的問題，有針對性地制定方案并開展安全意識培訓，其作用類似于醫生開藥和治療方案，開展治療。目的是要讓員工清晰的了解哪些不良習慣會導致企業遭受安全風險，并掌握一定的安全技能以應對可能出現的風險，進而提升安全意識和相關能力水平。“考慮到培訓對象大多都是沒有技術背景的，因此這種安全意識培訓必須要以深入淺出的方式，將復雜的東西簡單化，將專業的東西平常化，以便于他們理解和掌握。”李翔談到，一定要讓他們真正理解那些自己所能接觸到的安全風險，才能有利于摒棄不良習慣，降低被社工、釣魚攻擊的風險。

　　事后階段

　　該階段是通過后期的實戰模擬演練檢驗培訓結果，其作用類似于病人吃了藥和治療后的復查。該階段類似于病人吃了藥和治療后的復查。目標是通過后期以實戰的方式進行模擬演練，讓接受培訓的員工在面對近乎于真實的場景下去面對風險，以考察他們應對風險的安全意識以及相關能力水平。這里值得注意的是，筆試作為培訓成果的考核方式并無問題，但決不能以它作為考評的唯一成果。

　　員工缺乏安全意識是“慢性病”

　　如想改觀需做長期準備

　　在采訪的最后，李翔特別強調道：

　　“提高安全意識，無論是理論知識的培訓還是模擬實戰的演練，在企業中應當作為一種常態化的工作，貫穿在企業發展和安全建設的整個過程。”

　　“針對員工的攻擊普遍都是利用人的弱點，想要實現100%規避的可能性較低，而且人的弱點會有反復。員工可能會在接受教育、培訓的那段時間內，在安全意識方面的確有提升，但若干時間之后（尤其是較長時間沒有出現安全風險的情況下），他的安全意識極有可能會松懈，不良習慣也會再次出現。”李翔指出，“因此，提高員工安全意識這件事，我們要將它視作為一種‘慢性病’，要將培訓、演練形成常態化，才能保障內部員工在安全意識水平方面盡可能鞏固在較高水平，以降低企業面臨相關安全風險的可能性。”

更多信息可以來這里獲取==>>電子技術應用-AET<<