我們更應該明白，一切信息安全的因素，最終還是要歸結到：人。

　　很多員工，并不能意識到自己在網絡信息風險中的重要程度。在職員工或離職員工，對企業(yè)會時有不滿，以至于利用自己手中的信息權限，做些對于人于己不利的事情，這不是冒險精神，是違法犯罪行為，是不值得的。個人的權限，一般在策略中都能體現(xiàn)，溯源不是太困難。

　　我們常說安全意識是網絡安全的第一道關卡。

　　安全意識的主體乃人是也！

　　無人自然無意識，無意識更無談安全意識。

　　真實網絡世界，網絡安全有來自外部黑客攻擊，而造成信息安全隱患的另一個方向是“內部員工”。

　　超過一半IT專家一致贊同這個觀點。

　　現(xiàn)在人們利用各類個人設備，以期達到隨時隨地利用網絡，但是時常會出現(xiàn)利用不安全網絡訪問云應用。據(jù)調查近一半的關鍵業(yè)務應用程序，是可以通過平板電腦和智能手機訪問，員工有可能在不知情的情況下，意外泄露了企業(yè)的機密信息。最令人擔憂的攻擊模式是釣魚網絡。

　　公司該如何解決基于員工帶來的網絡信息威脅呢？

　　第一是要認識主要驅動因素。

　　無聊是數(shù)據(jù)安全的第一大風險存在。無聊的員工為了消磨時間，容易被一些網絡信息吸引，被釣魚網絡攻擊。工作中的員工一般不會把注意力分散到其他無關的地方，是能夠減少成為潛在威脅對象可能性，對網絡釣魚有一定的免疫力。

　　第二是缺乏必要的安全技能與安全意識培訓。

　　網絡釣魚一般內容非常精彩，偽裝非常好，甚至看到的可能像正規(guī)公司的內部郵件地址。有時員工會因受到領導或財務部門的緊急郵件帶來的社會壓力，會毫不猶豫的點擊釣魚郵件。即使他們事后意識到被釣魚了為時已晚員工又擔心被責罰以及有面臨炒魷魚的風險，也不愿意或不敢向IT部門或領導匯報此事。

　　認識到面臨的問題，那么我們就要考慮如何解決問題。無論在培訓和教育方面投資多少，在解決員工帶來安全隱憂方面，是沒有完美的解決方案的，卻可以顯著降低總體風險。

　　由于企業(yè)業(yè)務繁忙需要保持全面運作，才能在市場中保持競爭力，員工處于高風險運作中，很少能夠聯(lián)系IT人員或向郵件發(fā)件人進行驗證。如果企業(yè)管理層、IT人員和普通員工，在此問題上能夠達成一種共識，則可以避免大多數(shù)網絡釣魚的風險。

　　大多數(shù)是允許員工使用個人設備來工作的。IT團隊需要在設置遠程訪問的同時，根據(jù)需要限制用戶的文件訪問。并在有可能情況下，提供虛擬專用網絡（VPN），培訓員工有關公共WIFI風險常識，可一定程度上提升企業(yè)網絡安全性。

　　我國當下倡導的網絡安全理念，“網絡安全為人民，網絡安全靠人民”，一個企業(yè)是所有員工共有平臺，網絡安全是為每一個員工服務，同時網絡安全也需要依靠所有員工共同去努力保護。

　　所有的安全問題歸根結底以人作為參照系，同樣安全也是服務于人。

　　在企業(yè)中，人的身份以員工作為體現(xiàn)形式。所以在企業(yè)中網絡安全的主體自然是員工。員工對于維護本企業(yè)的網絡安全，具有天然的義務與責任。同時作為企業(yè)領導制定明確的培訓與管理政策，來支持企業(yè)網絡安全，也是必要行為。

　　只有員工與領導共同組建了一個防護體系，企業(yè)才能降低面臨的網絡安全風險。

　　以前看數(shù)安科技谷燕兵先生談到了網絡安全意識的提高過程中，著重強調了作為IT高手的麻痹大意，可能引發(fā)的網絡風險的一些觀點。IT人員的輕敵心態(tài)其實也屬于網絡安全意識范疇，在眾多員工中其安全意識應該是重中之重，如果他們反而麻痹大意了，勢必給網絡安全帶來極大的風險。

　　那些說我們是內網，不可能受到攻擊，就應該考慮一下“震網”病毒是如何顛覆全世界人的網絡安全觀的，伊朗因核能研究面對強大的美國壓力，其核電設施在美以打擊范圍內，其以一國之力建設的核電廠，其網絡安全應該是可謂密不透風的，然而百密一疏的是伊朗的核設施被攻擊了，而且是全世界第一例核電被成功攻擊的案例。但是，培訓是否能起到應有的作用呢？請看“如何衡量網絡安全培訓的有效性？”