深谈网络安全意识 要培养而不是培训 安全企业给出的6个培养方式 大家规划的时候也需要考虑

安全意识的重要性，让我们来看一个数据， 在2017 IBM威胁情报索引中提到 ，“2016 年，遇到攻击最多的行业是金融服务，其中主要是来自内部的攻击 ，其中缺乏安全意识的行为就有（53%） ，来自内部人员恶意攻击仅占 （5%)，而来自外部的攻击占到（42%)。” 再来看一个例子，领导缺乏安全意识， 笔记本电脑中了Cerber勒索软件，里面有对外投资的重要文件，导致一个重要对外投资泡汤。

今天请来了安全企业长年做内部安全管理的高人，他这几年也做了不少安全意识培养的工作，从中总结了相关工作容易产生的误区及需要关注的重要点，特别是安全意识培养的6种常见方法，值得借鉴。正好大家也都在做2017年规划，我们也应该思考安全意识培养这方面的工作。

安全技能、安全意识与安全规定 三个方面不划等号

度娘说安全意识就是人们在生产活动中各种各样有可能对自己或他人造成伤害的外在环境条件的一种戒备和警觉的心理状态。当然这句话中所讲的安全意识是广义的安全，可能包括生产安全、交通安全等等，其实用在信息安全意识上也很恰当。

人们在日常工作、生活中可能会遇到各种各样对自己或所在公司的信息的安全性造成破坏的外部威胁（如附件带勒索病毒的恶意邮件、弱口令等），人们对这种威胁的戒备和警觉的心理状态就是信息安全意识。

安全意识的重要性不言而喻，各种社会工程学攻击、APT攻击的攻击者们，往往都是利用攻击目标相关人员薄弱的安全意识所导致的漏洞入手，这在安全界好像已经成为共识。具体案例在此就不多讲了，毕竟本文不是安全意识培训文章。

安全意识与安全技能是有区别的

上面的定义说明了安全意识是一种心理状态，比如收到一封陌生人的邮件，或者莫名其妙的邮件，你如果觉得只觉得很好奇、很紧张、很想打开附件或点击链接看，那你是没有安全意识的，如果你马上警惕起来，想到这可能是一封恶意邮件，想到附件可能有病毒，想到链接后面可能也有病毒或者钓鱼页面，想到你得问问安全管理员，那么说明你是具有安全意识的。

安全技能则是指一些具体的增强安全性的操作，比如基础一些的，设置复杂的密码，配置做无线路由器的安全配置，或者更高深的做渗透测试、代码安全审计。安全意识强的不一定有很强的安全技能，这个很好理解。但安全技能很强的，也不一定有很强的安全意识，这种情况多出现在刚入安全圈的技术新人，技术新人刚开始只在某一方面做深入研究，比如web安全，在那一方面一两年后可以达到比较强的境界，但安全意识可不只局限在web安全，安全意识涉及到日常工作、生活的各个方面，如移动端、物理安全、邮件安全、WiFi安全等，职场新人无法短时间掌握所有方面。安全界大牛就是另一个存在，这里就不涉及了。

安全意识与安全规定有什么关系？

这里所谓的安全规定是指公司在信息安全方面制定的规章制度、操作规范。安全意识与安全规定不是可互相替代，而是相辅相成的关系。安全意识足够，就可以理解公司为什么制定相应的安全规定，就能更有主动性去执行安全规定。这就能解释在一个新公司推行安全制度前为何要先进行各种安全意识宣贯培养了，因为如果不这样做，安全制度的推行落地肯定处处碰壁，最后束之高阁。而仅仅具有有安全意识，只能是让大家具有警惕性，有警惕性后该怎么做才安全呢？依据安全规定、利用安全技能去做才安全。

安全意识培养的重要方面

通过各种方式使员工具有安全意识的过程就是安全意识培养。安全意识培养在ISO27001信息安全管理体系标准要求中也占据一个独立的控制项，是在附录A 参考控制目标和控制项-A7人力资源安全-A7.2任用中-A7.2.2信息安全意识教育和培训，足以说明他的重要程度。

图一：ISO 27001:2013 附录A控制领域结构

具体的控制要求是这样描述的： 组织内所有员工、相关合同人员及第三方人员应接受适当的意识培训，并定期更新与他们工作相关的组织策略及程序。 从这个控制要求中，我们可以获取两个重要信息：

1. 不只是内部。 安全意识培养的目标不仅是公司内员工，还包括与公司签订服务合同的人员以及与公司业务相关的第三方人员，比如外包的工程服务人员、保洁、供货商等，这些角色也同样可能接触到一些公司敏感信息或拥有一些特殊权限。我们在做安全意识培养时经常只关注公司内员工，后两者可能会遗漏，那么在做安全规划时可以着重考虑。
2. 规范要培训。 定期更新与他们工作相关的组织策略及程序，就是指工作相关的安全规定、规范也要定期培训。虽然上面说安全意识与安全规定是不同的东西，但这两者都需要员工掌握，所以可以合并在一起进行培养。

为什么说“培养”而不是“培训”

这是因为安全意识不是简单一次两次培训就能提升的，它需要用一个较长的时期适当利用各种方式来提升，所以用“培养”更为贴切些。

图二：安全意识培养方式

安全意识培养的几种方式：

培训

虽然培训的效果往往不能达到预期，但仍然是一种重要的培养手段，特别是对于新员工来讲，培训起到了一种师傅领进门、提纲挈领的效果。安全意识培训可以有如下几种：

1. 一批新员工集中入职时的集中培训：时长在30-60分钟，让新员工快速了解到基本的安全意识以及哪些方面可能会有风险，或者哪些方面公司可能会有要求，我在哪里可以找到一些学习资料，有不懂得可以向谁询问等。
2. 部门、业务线、事业部季度例会时的安全宣讲：时长15分钟左右，主要讲近期的一些安全事件、态势，以及公司安全制度的更新、安全管理情况的报告等。

自学、考试及等级管理

这三种方式本可以分开，这里放在一起讲说明它们不可分割。只要求考试而未要求自学并给出自学资料，则是犯了舍本逐末的错误。我们的目标还是要求员工通过自学掌握相关内容。只给出自学资料要求自学，而不设置考试，则无法调动员工学习的意愿。而考试后如果没有根据考试分数设定不同的管理措施，让没有认真学习的员工感受到不同的待遇，则无法真正调动员工学习的积极性。具体方式建议如下：

1. 考试：每年一次全员统考，每月一次新员工及重定级考试。题库是从之前各种文章、通告、安全规定中提取，题型为客观题，且至少每年更新一部分。至于开卷/闭卷、纸质/在线则各有各的优点，可以根据具体情况选择。
2. 自学：每次考试前一个月邮件通知本次考试对象，并发送考试大纲以及学习资料。一个月的时间足够员工合理安排学习时间，且不至于压力太大产生抵触情绪。
3. 等级管理：根据不同的分数划定不同等级，进而实施不同的措施。措施以提高安全意识为目的，比如必须参加一次培训、必须写指定主题的安全意识文章等，如果不执行则通报批评。员工可以继续学习并参加两个月后的重定级考试来提升等级。

文章推送

安全意识涉及内容具有范围广、更新快、难度低的特点。前两个特点决定了仅用一次培训和自学肯定无法达到理想的效果。难度低则使我们利用一小段文字讲明白一个意识点成为可能。因此，日常频率比较高的安全意识短文推送方式能够适应这三个特点。具体方式建议如下：

1. 文章内容：每次一个安全意识点，最好以安全事件引入，然后进行事件分析，最后给出切实可行易行的安全操作建议。最忌讳仅给出“一定要谨慎、小心”之类建议，一方面有水文嫌疑，影响今后阅读量，另一方面对读者也起不到实际的帮助。
2. 文章来源：从网上直接抓取可以，但一方面有可信度和时效性的问题，另一方面网上这类文章更新速度不足以支撑我们的推送频率。最好是安全管理相关人员根据公司特点以及近期安全态势自己写。
3. 推送平台及频率：邮件、内部即时通讯、微信企业号等可以直达员工阅读终端的都可以作为平台。频率在每周一次左右为宜，过多容易造成反感。可以根据后台统计的阅读量来调整频率或内容。实际的经验是跟现在朋友圈转发一样，文章标题对阅读量提升很重要，但标题党一定要适当使用，安全管理还是要务实。

文章推送方面，可以看看这几个例子，如果您有这方面的需求，请联系 QQ：468215215

【安全意识】丢啊 丢啊 丢手机，丢了手机怎么办？居然有人问怎么安慰丢手机的人

【安全意识】手机如何识别伪基站 4个小办法给您提个醒 不要点链接是第一步

【安全意识】警惕白帽子发“灰” 一个漏洞4千条用户信息引发的祸事 做安全要懂法律

实时通告

文章推送不能过于频繁的原因还有一个，就是要给我们的安全意识培养杀手锏之一-实时通告流出档期和关注度。实时通告是指利用正式的公司内部通告方式（比如全员邮件），对近日内部发生的安全事件，或者外界已经发生且很可能会在内部发生的安全案例进行通告，提醒全员注意，并提示一些预防措施。实际操作过程中，这类通告发出后会收到不少员工反馈或询问，说明这种方式员工关注度很高。不过这种方式需要适当、谨慎利用，一个季度2次左右即可。

安全意识测试

如同对WEB的渗透测试是模拟真实攻击方式来发现WEB漏洞，安全意识测试则是模拟真实的攻击方式来发现安全意识方面的薄弱环节。测试方式有很多种，以下举几个例子来开阔一下思路：

1. 请一个刚入职的新员工不拿工卡和门禁卡，尝试从公司外进入其他楼层办公区，看能否成功进入且拿走一些员工办公桌上的文件。
2. 模拟公司邮箱管理员给某些员工发一封邮件，提示你的外网邮箱在异地登录，请立刻提供原密码并重置密码。

这种测试的结果在告知当事员工后能够对其留下极其深刻的印象，进而带动提高其周围人员的安全意识，所以这种安全意识测试的方式也可以作为安全意识培养的杀手锏之一。如果将这种测试作为定期或不定期的例行抽测，测试结果纳入员工或部门考核，就可以对员工日常的安全警惕性起到一定的加强作用。

其他培养方式

绿盟科技每两年会组织相关资源做一次安全意识漫画，以台历或手册的形式发给大家，最近正在做《安全意识漫谈》手册，其中涵盖了6个板块30多个漫画形式的案例，每个都配有案例解析和安全建议，并总结了7个安全意识口诀，目的是希望通过简单、轻松的方式让员工从案例中学习。

另外还有一些方式虽然主要目的不在安全意识，但也能对安全意识培养起到一定作用，比如检查员工电脑合规性的安全检查，检查的过程也是讲解相应风险点、提高安全意识的过程。有的公司每年举办安全意识宣传周，利用讲座、知识竞赛等方式来培养公司安全文化、提升员工安全意识和安全技能。

安全意识培养体系建设思路

安全意识培养体系是随着公司整个安全管理体系的建设而同步发展的。安全管理体系不在本文讨论范围之内，下面简单整理了一个安全意识培养体系建设的阶段，或者说是一个成熟度模型吧，希望对甲方安全管理人员的信息安全规划有所帮助：

图三：安全意识培养体系成熟度模型

1. 原始阶段：以实时通告为主。没有安全管理体系，出现安全事件就通告全员，依次引起大家重视。
2. 起步阶段：开始各种安全培训。开始建立安全管理体系，有了安全意识和安全规定的培训。
3. 运营阶段：建立以自学、考试和分级管理为基础的安全等级管理体系。随着安全管理体系的不断发展和完善，安全意识培养工作也逐步规范化和量化并开始运营。
4. 改进阶段：以定期安全意识测试和安全文章推送为代表。安全管理者开始对安全意识培养工作查漏补缺，开始寻求新的方式来测量和增强员工的安全意识。