Proofpoint在2022年早些時候發(fā)布的《2022年內(nèi)部威脅成本全球報告》顯示，因內(nèi)部人員導(dǎo)致的安全事件數(shù)量正在顯著增長，而在這些事件當(dāng)中，有56%的比例是源自于員工疏忽，憑證管理問題是員工最容易出現(xiàn)的安全問題之一，有18%的威脅是源自于這一點(diǎn)。這些數(shù)據(jù)或多或少的表明一個事實(shí)，那就是安全是一個融合所有與企業(yè)關(guān)聯(lián)的人和事當(dāng)中。此前我們曾探討，企業(yè)應(yīng)對員工的安全意識和素養(yǎng)予以足夠高的重視，應(yīng)當(dāng)注重結(jié)果而非過程。（擴(kuò)展閱讀：《員工不應(yīng)成為企業(yè)安全建設(shè)短板 安全素養(yǎng)培訓(xùn)當(dāng)以結(jié)果為導(dǎo)向》），那么在現(xiàn)實(shí)情況中，我們身邊的企業(yè)對于這一問題的表現(xiàn)又是如何的呢？針對這一話題，我們與國內(nèi)專注于人員網(wǎng)絡(luò)安全意識教育領(lǐng)域的企業(yè)——北京紅山瑞達(dá)科技有限公司取得聯(lián)系，并邀請其副總經(jīng)理李翔一同來分享他們的一些心得。

　　企業(yè)對員工安全意識重視程度提升

　　安全教育與培訓(xùn)服務(wù)市場高速增長

　　李翔表示，隨著安全事件的不斷爆發(fā)以及大型攻防演練活動的推進(jìn)運(yùn)行，其中很多事件都表明，企業(yè)因員工缺乏安全意識而被攻擊者成功的以社工攻擊、釣魚攻擊等方式入侵的情況比比皆是，甚至引發(fā)一系列嚴(yán)重后果。無論是從新聞報道還是演練活動的實(shí)戰(zhàn)體驗(yàn)中，企業(yè)對于員工可以成為整個安全建設(shè)中的薄弱環(huán)節(jié)這一情況有了較為深刻的認(rèn)知，對員工的安全意識和素養(yǎng)予以更高的重視已漸成企業(yè)安全建設(shè)中的一個趨勢。在從認(rèn)知到需求層面，李翔告訴我們，從紅山瑞達(dá)近幾年的服務(wù)情況看，所有類型的企業(yè)（包括國央企、民企、外企）對于網(wǎng)絡(luò)安全意識培訓(xùn)相關(guān)的服務(wù)需求都有增加。

　　反饋到市場層面，依據(jù)IDC在今年10月發(fā)布的《2022上半年中國IT安全服務(wù)市場跟蹤報告》顯示，2022上半年中國IT安全服務(wù)市場廠商整體收入約為12.25億美元（約合79.4億元人民幣），而IDC認(rèn)為，2022年上半年中國網(wǎng)絡(luò)安全服務(wù)市場實(shí)現(xiàn)增長，主要由IT安全教育與培訓(xùn)服務(wù)市場和托管安全服務(wù)市場帶動。其中，IT安全教育與培訓(xùn)服務(wù)市場今年上半年增速最快，規(guī)模同比增長達(dá)到33%。IDC分析稱，認(rèn)證培訓(xùn)和安全實(shí)訓(xùn)演練測試平臺與服務(wù)市場，共同推動IT安全教育與培訓(xùn)服務(wù)市場上半年實(shí)現(xiàn)高速增長。

　　任何一個事情從理論到落地總會需要一個過程，而對事情的正確認(rèn)知能夠大大加快這一過程，綜合來看，企業(yè)一側(cè)在這方面整體表現(xiàn)令人頗為樂觀。但在這背后，是否也存在有一些其他的問題？

　　安全意識培訓(xùn)不能止于被動式教育

　　需關(guān)注實(shí)戰(zhàn)中解決問題能力的訓(xùn)練

　　有了正確的認(rèn)知并付諸于行動，是否就一定到位呢？答案顯然是否定的，就像網(wǎng)絡(luò)安全領(lǐng)域中很多企業(yè)在安全建設(shè)方面是以應(yīng)付合規(guī)的態(tài)度一樣，“很多企業(yè)目前仍只是停留在關(guān)注培訓(xùn)過程本身這件事情上，而對真正解決問題方面依然存在不足?！崩钕璞硎?，如社工攻擊、釣魚攻擊等，企業(yè)很清楚這些對他們構(gòu)成了威脅，也會組織員工進(jìn)行有針對性的培訓(xùn)，但其中有部分企業(yè)還是習(xí)慣于將關(guān)注點(diǎn)放在這樣的活動進(jìn)行了多少次、每次多少人參加等流于表面的形式?！霸诒粍邮絾蜗蚬噍?shù)呐嘤?xùn)方式之下，很難收獲到安全意識培訓(xùn)這項(xiàng)工作的預(yù)期效果。以我們的經(jīng)驗(yàn)來看，哪怕是經(jīng)過不止一次這種培訓(xùn)的員工，在面對網(wǎng)絡(luò)釣魚攻擊時仍會上鉤?！?/p>

　　而這一結(jié)果相信對于培訓(xùn)的甲乙雙方而言，都是一種難以接受的結(jié)果，一方面是為員工培訓(xùn)付出不小成本的企業(yè)，仍會因?yàn)閱T工的安全意識問題而在相關(guān)的攻擊事件中蒙受損失；另一方面則是負(fù)責(zé)培訓(xùn)的一方恐怕也只能撈一個服務(wù)水平極其堪憂的負(fù)面評價。

　　“相比之下，一些更有危機(jī)意識的企業(yè)會更多從實(shí)戰(zhàn)的視角出發(fā)，理論知識教育要有，實(shí)戰(zhàn)行為演練更是要有?！崩钕枵劦?，紅山瑞達(dá)推出的“防網(wǎng)絡(luò)釣魚模擬演練系統(tǒng)”也是基于這一理念，希望能夠令企業(yè)員工在安全意識培訓(xùn)之后，以一種接近于實(shí)戰(zhàn)的方式去考察培訓(xùn)成果，經(jīng)過長期的實(shí)踐和迭代后，目前該系統(tǒng)可為不同行業(yè)、不同崗位提供有針對性的上千個訓(xùn)練場景，覆蓋郵件、短信、二維碼、WiFi乃至USB設(shè)備等多個可能被釣魚的領(lǐng)域。

　　紅山瑞達(dá)推出的網(wǎng)絡(luò)釣魚郵件仿真體驗(yàn)系統(tǒng)

　　實(shí)踐證明，在經(jīng)歷過多次防釣魚模擬演練的員工在實(shí)際工作中識別攻擊意識和能力顯著高于被動式教育培訓(xùn)的員工。

　　安全培訓(xùn)也應(yīng)分事前、事中、事后三步走

　　談到企業(yè)應(yīng)如何做好網(wǎng)絡(luò)安全意識培訓(xùn)這一話題時，李翔坦率表示，“安全意識培訓(xùn)說容易也容易，但說難也難。一方面大家已經(jīng)不糾結(jié)于‘做還是不做’的問題，另一方面，人的水平是參差不齊的，要想將所有人的安全意識統(tǒng)一提升到某一個很高的水平，難度就會很大?！边@一點(diǎn)也是我們所強(qiáng)調(diào)的，安全培訓(xùn)完成后要強(qiáng)調(diào)實(shí)戰(zhàn)訓(xùn)練之外，也還需關(guān)注“因材施教”的問題，因此，有效的安全意識培訓(xùn)也應(yīng)分為事前、事中以及事后三個步驟完成。

　　事前階段

　　該階段的目標(biāo)是完成對企業(yè)員工安全意識狀況的一個整體摸排，隨后根據(jù)企業(yè)的實(shí)際情況將不同級別的員工劃分成為數(shù)個組，以為接下來實(shí)施有針對性地安全意識培訓(xùn)工作提供幫助，其作用類似于病人到醫(yī)院的初診，醫(yī)生通過化驗(yàn)、檢查結(jié)果給出診斷書。具體來看，企業(yè)可以通過一套成熟的網(wǎng)絡(luò)安全意識測評，以問卷筆試+模擬測試方式進(jìn)行。對員工模擬測評的行為進(jìn)行記錄、統(tǒng)計(jì)和分析，最終得出員工網(wǎng)絡(luò)安全保密行為報告，這種方式就有利于企業(yè)準(zhǔn)確掌握內(nèi)部人員自身的安全風(fēng)險狀況，為進(jìn)一步有針對性地提升人員安全意識提供決策依據(jù)。

　　事中階段

　　該階段是根據(jù)被測員工的安全意識水平和存在的問題，有針對性地制定方案并開展安全意識培訓(xùn)，其作用類似于醫(yī)生開藥和治療方案，開展治療。目的是要讓員工清晰的了解哪些不良習(xí)慣會導(dǎo)致企業(yè)遭受安全風(fēng)險，并掌握一定的安全技能以應(yīng)對可能出現(xiàn)的風(fēng)險，進(jìn)而提升安全意識和相關(guān)能力水平?！翱紤]到培訓(xùn)對象大多都是沒有技術(shù)背景的，因此這種安全意識培訓(xùn)必須要以深入淺出的方式，將復(fù)雜的東西簡單化，將專業(yè)的東西平?；?，以便于他們理解和掌握?！崩钕枵劦剑欢ㄒ屗麄冋嬲斫饽切┳约核芙佑|到的安全風(fēng)險，才能有利于摒棄不良習(xí)慣，降低被社工、釣魚攻擊的風(fēng)險。

　　事后階段

　　該階段是通過后期的實(shí)戰(zhàn)模擬演練檢驗(yàn)培訓(xùn)結(jié)果，其作用類似于病人吃了藥和治療后的復(fù)查。該階段類似于病人吃了藥和治療后的復(fù)查。目標(biāo)是通過后期以實(shí)戰(zhàn)的方式進(jìn)行模擬演練，讓接受培訓(xùn)的員工在面對近乎于真實(shí)的場景下去面對風(fēng)險，以考察他們應(yīng)對風(fēng)險的安全意識以及相關(guān)能力水平。這里值得注意的是，筆試作為培訓(xùn)成果的考核方式并無問題，但決不能以它作為考評的唯一成果。

　　員工缺乏安全意識是“慢性病”

　　如想改觀需做長期準(zhǔn)備

　　在采訪的最后，李翔特別強(qiáng)調(diào)道：

　　“提高安全意識，無論是理論知識的培訓(xùn)還是模擬實(shí)戰(zhàn)的演練，在企業(yè)中應(yīng)當(dāng)作為一種常態(tài)化的工作，貫穿在企業(yè)發(fā)展和安全建設(shè)的整個過程?！?/p>

　　“針對員工的攻擊普遍都是利用人的弱點(diǎn)，想要實(shí)現(xiàn)100%規(guī)避的可能性較低，而且人的弱點(diǎn)會有反復(fù)。員工可能會在接受教育、培訓(xùn)的那段時間內(nèi)，在安全意識方面的確有提升，但若干時間之后（尤其是較長時間沒有出現(xiàn)安全風(fēng)險的情況下），他的安全意識極有可能會松懈，不良習(xí)慣也會再次出現(xiàn)?！崩钕柚赋?，“因此，提高員工安全意識這件事，我們要將它視作為一種‘慢性病’，要將培訓(xùn)、演練形成常態(tài)化，才能保障內(nèi)部員工在安全意識水平方面盡可能鞏固在較高水平，以降低企業(yè)面臨相關(guān)安全風(fēng)險的可能性?！?/p>

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<