Proofpoint在2022年早些時候發(fā)布的《2022年內(nèi)部威脅成本全球報告》顯示，因內(nèi)部人員導致的安全事件數(shù)量正在顯著增長，而在這些事件當中，有56%的比例是源自于員工疏忽，憑證管理問題是員工最容易出現(xiàn)的安全問題之一，有18%的威脅是源自于這一點。這些數(shù)據(jù)或多或少的表明一個事實，那就是安全是一個融合所有與企業(yè)關聯(lián)的人和事當中。此前我們曾探討，企業(yè)應對員工的安全意識和素養(yǎng)予以足夠高的重視，應當注重結果而非過程。（擴展閱讀：《員工不應成為企業(yè)安全建設短板 安全素養(yǎng)培訓當以結果為導向》），那么在現(xiàn)實情況中，我們身邊的企業(yè)對于這一問題的表現(xiàn)又是如何的呢？針對這一話題，我們與國內(nèi)專注于人員網(wǎng)絡安全意識教育領域的企業(yè)——北京紅山瑞達科技有限公司取得聯(lián)系，并邀請其副總經(jīng)理李翔一同來分享他們的一些心得。

　　企業(yè)對員工安全意識重視程度提升

　　安全教育與培訓服務市場高速增長

　　李翔表示，隨著安全事件的不斷爆發(fā)以及大型攻防演練活動的推進運行，其中很多事件都表明，企業(yè)因員工缺乏安全意識而被攻擊者成功的以社工攻擊、釣魚攻擊等方式入侵的情況比比皆是，甚至引發(fā)一系列嚴重后果。無論是從新聞報道還是演練活動的實戰(zhàn)體驗中，企業(yè)對于員工可以成為整個安全建設中的薄弱環(huán)節(jié)這一情況有了較為深刻的認知，對員工的安全意識和素養(yǎng)予以更高的重視已漸成企業(yè)安全建設中的一個趨勢。在從認知到需求層面，李翔告訴我們，從紅山瑞達近幾年的服務情況看，所有類型的企業(yè)（包括國央企、民企、外企）對于網(wǎng)絡安全意識培訓相關的服務需求都有增加。

　　反饋到市場層面，依據(jù)IDC在今年10月發(fā)布的《2022上半年中國IT安全服務市場跟蹤報告》顯示，2022上半年中國IT安全服務市場廠商整體收入約為12.25億美元（約合79.4億元人民幣），而IDC認為，2022年上半年中國網(wǎng)絡安全服務市場實現(xiàn)增長，主要由IT安全教育與培訓服務市場和托管安全服務市場帶動。其中，IT安全教育與培訓服務市場今年上半年增速最快，規(guī)模同比增長達到33%。IDC分析稱，認證培訓和安全實訓演練測試平臺與服務市場，共同推動IT安全教育與培訓服務市場上半年實現(xiàn)高速增長。

　　任何一個事情從理論到落地總會需要一個過程，而對事情的正確認知能夠大大加快這一過程，綜合來看，企業(yè)一側在這方面整體表現(xiàn)令人頗為樂觀。但在這背后，是否也存在有一些其他的問題？

　　安全意識培訓不能止于被動式教育

　　需關注實戰(zhàn)中解決問題能力的訓練

　　有了正確的認知并付諸于行動，是否就一定到位呢？答案顯然是否定的，就像網(wǎng)絡安全領域中很多企業(yè)在安全建設方面是以應付合規(guī)的態(tài)度一樣，“很多企業(yè)目前仍只是停留在關注培訓過程本身這件事情上，而對真正解決問題方面依然存在不足?！崩钕璞硎?，如社工攻擊、釣魚攻擊等，企業(yè)很清楚這些對他們構成了威脅，也會組織員工進行有針對性的培訓，但其中有部分企業(yè)還是習慣于將關注點放在這樣的活動進行了多少次、每次多少人參加等流于表面的形式。“在被動式單向灌輸?shù)呐嘤柗绞街?，很難收獲到安全意識培訓這項工作的預期效果。以我們的經(jīng)驗來看，哪怕是經(jīng)過不止一次這種培訓的員工，在面對網(wǎng)絡釣魚攻擊時仍會上鉤?！?/p>

　　而這一結果相信對于培訓的甲乙雙方而言，都是一種難以接受的結果，一方面是為員工培訓付出不小成本的企業(yè)，仍會因為員工的安全意識問題而在相關的攻擊事件中蒙受損失；另一方面則是負責培訓的一方恐怕也只能撈一個服務水平極其堪憂的負面評價。

　　“相比之下，一些更有危機意識的企業(yè)會更多從實戰(zhàn)的視角出發(fā)，理論知識教育要有，實戰(zhàn)行為演練更是要有。”李翔談到，紅山瑞達推出的“防網(wǎng)絡釣魚模擬演練系統(tǒng)”也是基于這一理念，希望能夠令企業(yè)員工在安全意識培訓之后，以一種接近于實戰(zhàn)的方式去考察培訓成果，經(jīng)過長期的實踐和迭代后，目前該系統(tǒng)可為不同行業(yè)、不同崗位提供有針對性的上千個訓練場景，覆蓋郵件、短信、二維碼、WiFi乃至USB設備等多個可能被釣魚的領域。

　　紅山瑞達推出的網(wǎng)絡釣魚郵件仿真體驗系統(tǒng)

　　實踐證明，在經(jīng)歷過多次防釣魚模擬演練的員工在實際工作中識別攻擊意識和能力顯著高于被動式教育培訓的員工。

　　安全培訓也應分事前、事中、事后三步走

　　談到企業(yè)應如何做好網(wǎng)絡安全意識培訓這一話題時，李翔坦率表示，“安全意識培訓說容易也容易，但說難也難。一方面大家已經(jīng)不糾結于‘做還是不做’的問題，另一方面，人的水平是參差不齊的，要想將所有人的安全意識統(tǒng)一提升到某一個很高的水平，難度就會很大?！边@一點也是我們所強調的，安全培訓完成后要強調實戰(zhàn)訓練之外，也還需關注“因材施教”的問題，因此，有效的安全意識培訓也應分為事前、事中以及事后三個步驟完成。

　　事前階段

　　該階段的目標是完成對企業(yè)員工安全意識狀況的一個整體摸排，隨后根據(jù)企業(yè)的實際情況將不同級別的員工劃分成為數(shù)個組，以為接下來實施有針對性地安全意識培訓工作提供幫助，其作用類似于病人到醫(yī)院的初診，醫(yī)生通過化驗、檢查結果給出診斷書。具體來看，企業(yè)可以通過一套成熟的網(wǎng)絡安全意識測評，以問卷筆試+模擬測試方式進行。對員工模擬測評的行為進行記錄、統(tǒng)計和分析，最終得出員工網(wǎng)絡安全保密行為報告，這種方式就有利于企業(yè)準確掌握內(nèi)部人員自身的安全風險狀況，為進一步有針對性地提升人員安全意識提供決策依據(jù)。

　　事中階段

　　該階段是根據(jù)被測員工的安全意識水平和存在的問題，有針對性地制定方案并開展安全意識培訓，其作用類似于醫(yī)生開藥和治療方案，開展治療。目的是要讓員工清晰的了解哪些不良習慣會導致企業(yè)遭受安全風險，并掌握一定的安全技能以應對可能出現(xiàn)的風險，進而提升安全意識和相關能力水平?！翱紤]到培訓對象大多都是沒有技術背景的，因此這種安全意識培訓必須要以深入淺出的方式，將復雜的東西簡單化，將專業(yè)的東西平?；?，以便于他們理解和掌握?！崩钕枵劦?，一定要讓他們真正理解那些自己所能接觸到的安全風險，才能有利于摒棄不良習慣，降低被社工、釣魚攻擊的風險。

　　事后階段

　　該階段是通過后期的實戰(zhàn)模擬演練檢驗培訓結果，其作用類似于病人吃了藥和治療后的復查。該階段類似于病人吃了藥和治療后的復查。目標是通過后期以實戰(zhàn)的方式進行模擬演練，讓接受培訓的員工在面對近乎于真實的場景下去面對風險，以考察他們應對風險的安全意識以及相關能力水平。這里值得注意的是，筆試作為培訓成果的考核方式并無問題，但決不能以它作為考評的唯一成果。

　　員工缺乏安全意識是“慢性病”

　　如想改觀需做長期準備

　　在采訪的最后，李翔特別強調道：

　　“提高安全意識，無論是理論知識的培訓還是模擬實戰(zhàn)的演練，在企業(yè)中應當作為一種常態(tài)化的工作，貫穿在企業(yè)發(fā)展和安全建設的整個過程。”

　　“針對員工的攻擊普遍都是利用人的弱點，想要實現(xiàn)100%規(guī)避的可能性較低，而且人的弱點會有反復。員工可能會在接受教育、培訓的那段時間內(nèi)，在安全意識方面的確有提升，但若干時間之后（尤其是較長時間沒有出現(xiàn)安全風險的情況下），他的安全意識極有可能會松懈，不良習慣也會再次出現(xiàn)?！崩钕柚赋?，“因此，提高員工安全意識這件事，我們要將它視作為一種‘慢性病’，要將培訓、演練形成常態(tài)化，才能保障內(nèi)部員工在安全意識水平方面盡可能鞏固在較高水平，以降低企業(yè)面臨相關安全風險的可能性。”

更多信息可以來這里獲取==>>電子技術應用-AET<<