我們更應(yīng)該明白，一切信息安全的因素，最終還是要?dú)w結(jié)到：人。

　　很多員工，并不能意識(shí)到自己在網(wǎng)絡(luò)信息風(fēng)險(xiǎn)中的重要程度。在職員工或離職員工，對(duì)企業(yè)會(huì)時(shí)有不滿，以至于利用自己手中的信息權(quán)限，做些對(duì)于人于己不利的事情，這不是冒險(xiǎn)精神，是違法犯罪行為，是不值得的。個(gè)人的權(quán)限，一般在策略中都能體現(xiàn)，溯源不是太困難。

　　我們常說(shuō)安全意識(shí)是網(wǎng)絡(luò)安全的第一道關(guān)卡。

　　安全意識(shí)的主體乃人是也！

　　無(wú)人自然無(wú)意識(shí)，無(wú)意識(shí)更無(wú)談安全意識(shí)。

　　真實(shí)網(wǎng)絡(luò)世界，網(wǎng)絡(luò)安全有來(lái)自外部黑客攻擊，而造成信息安全隱患的另一個(gè)方向是“內(nèi)部員工”。

　　超過(guò)一半IT專家一致贊同這個(gè)觀點(diǎn)。

　　現(xiàn)在人們利用各類個(gè)人設(shè)備，以期達(dá)到隨時(shí)隨地利用網(wǎng)絡(luò)，但是時(shí)常會(huì)出現(xiàn)利用不安全網(wǎng)絡(luò)訪問(wèn)云應(yīng)用。據(jù)調(diào)查近一半的關(guān)鍵業(yè)務(wù)應(yīng)用程序，是可以通過(guò)平板電腦和智能手機(jī)訪問(wèn)，員工有可能在不知情的情況下，意外泄露了企業(yè)的機(jī)密信息。最令人擔(dān)憂的攻擊模式是釣魚(yú)網(wǎng)絡(luò)。

　　公司該如何解決基于員工帶來(lái)的網(wǎng)絡(luò)信息威脅呢？

　　第一是要認(rèn)識(shí)主要驅(qū)動(dòng)因素。

　　無(wú)聊是數(shù)據(jù)安全的第一大風(fēng)險(xiǎn)存在。無(wú)聊的員工為了消磨時(shí)間，容易被一些網(wǎng)絡(luò)信息吸引，被釣魚(yú)網(wǎng)絡(luò)攻擊。工作中的員工一般不會(huì)把注意力分散到其他無(wú)關(guān)的地方，是能夠減少成為潛在威脅對(duì)象可能性，對(duì)網(wǎng)絡(luò)釣魚(yú)有一定的免疫力。

　　第二是缺乏必要的安全技能與安全意識(shí)培訓(xùn)。

　　網(wǎng)絡(luò)釣魚(yú)一般內(nèi)容非常精彩，偽裝非常好，甚至看到的可能像正規(guī)公司的內(nèi)部郵件地址。有時(shí)員工會(huì)因受到領(lǐng)導(dǎo)或財(cái)務(wù)部門的緊急郵件帶來(lái)的社會(huì)壓力，會(huì)毫不猶豫的點(diǎn)擊釣魚(yú)郵件。即使他們事后意識(shí)到被釣魚(yú)了為時(shí)已晚員工又擔(dān)心被責(zé)罰以及有面臨炒魷魚(yú)的風(fēng)險(xiǎn)，也不愿意或不敢向IT部門或領(lǐng)導(dǎo)匯報(bào)此事。

　　認(rèn)識(shí)到面臨的問(wèn)題，那么我們就要考慮如何解決問(wèn)題。無(wú)論在培訓(xùn)和教育方面投資多少，在解決員工帶來(lái)安全隱憂方面，是沒(méi)有完美的解決方案的，卻可以顯著降低總體風(fēng)險(xiǎn)。

　　由于企業(yè)業(yè)務(wù)繁忙需要保持全面運(yùn)作，才能在市場(chǎng)中保持競(jìng)爭(zhēng)力，員工處于高風(fēng)險(xiǎn)運(yùn)作中，很少能夠聯(lián)系IT人員或向郵件發(fā)件人進(jìn)行驗(yàn)證。如果企業(yè)管理層、IT人員和普通員工，在此問(wèn)題上能夠達(dá)成一種共識(shí)，則可以避免大多數(shù)網(wǎng)絡(luò)釣魚(yú)的風(fēng)險(xiǎn)。

　　大多數(shù)是允許員工使用個(gè)人設(shè)備來(lái)工作的。IT團(tuán)隊(duì)需要在設(shè)置遠(yuǎn)程訪問(wèn)的同時(shí)，根據(jù)需要限制用戶的文件訪問(wèn)。并在有可能情況下，提供虛擬專用網(wǎng)絡(luò)（VPN），培訓(xùn)員工有關(guān)公共WIFI風(fēng)險(xiǎn)常識(shí)，可一定程度上提升企業(yè)網(wǎng)絡(luò)安全性。

　　我國(guó)當(dāng)下倡導(dǎo)的網(wǎng)絡(luò)安全理念，“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”，一個(gè)企業(yè)是所有員工共有平臺(tái)，網(wǎng)絡(luò)安全是為每一個(gè)員工服務(wù)，同時(shí)網(wǎng)絡(luò)安全也需要依靠所有員工共同去努力保護(hù)。

　　所有的安全問(wèn)題歸根結(jié)底以人作為參照系，同樣安全也是服務(wù)于人。

　　在企業(yè)中，人的身份以員工作為體現(xiàn)形式。所以在企業(yè)中網(wǎng)絡(luò)安全的主體自然是員工。員工對(duì)于維護(hù)本企業(yè)的網(wǎng)絡(luò)安全，具有天然的義務(wù)與責(zé)任。同時(shí)作為企業(yè)領(lǐng)導(dǎo)制定明確的培訓(xùn)與管理政策，來(lái)支持企業(yè)網(wǎng)絡(luò)安全，也是必要行為。

　　只有員工與領(lǐng)導(dǎo)共同組建了一個(gè)防護(hù)體系，企業(yè)才能降低面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　以前看數(shù)安科技谷燕兵先生談到了網(wǎng)絡(luò)安全意識(shí)的提高過(guò)程中，著重強(qiáng)調(diào)了作為IT高手的麻痹大意，可能引發(fā)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的一些觀點(diǎn)。IT人員的輕敵心態(tài)其實(shí)也屬于網(wǎng)絡(luò)安全意識(shí)范疇，在眾多員工中其安全意識(shí)應(yīng)該是重中之重，如果他們反而麻痹大意了，勢(shì)必給網(wǎng)絡(luò)安全帶來(lái)極大的風(fēng)險(xiǎn)。

　　那些說(shuō)我們是內(nèi)網(wǎng)，不可能受到攻擊，就應(yīng)該考慮一下“震網(wǎng)”病毒是如何顛覆全世界人的網(wǎng)絡(luò)安全觀的，伊朗因核能研究面對(duì)強(qiáng)大的美國(guó)壓力，其核電設(shè)施在美以打擊范圍內(nèi)，其以一國(guó)之力建設(shè)的核電廠，其網(wǎng)絡(luò)安全應(yīng)該是可謂密不透風(fēng)的，然而百密一疏的是伊朗的核設(shè)施被攻擊了，而且是全世界第一例核電被成功攻擊的案例。但是，培訓(xùn)是否能起到應(yīng)有的作用呢？請(qǐng)看“如何衡量網(wǎng)絡(luò)安全培訓(xùn)的有效性？”