提升安全意識看似簡單，不過相信大家在實踐后就會發(fā)現(xiàn)并非易事。其不僅需要資源等客觀條件準備到位，對于人員的培訓同樣必不可少。因此企業(yè)在進行安全意識培訓時，可能會遇到復雜度極高、成本不菲等眾多問題。不過，通過科學的方法，這些困難或許都能得到有效解決。

無論大企業(yè)還是小公司，曾經(jīng)都可能有過提升員工安全意識的計劃。盡管項目結果未必完美無缺，但其中大部分仍會有收效。從本質(zhì)上講，保證項目獲得成功的關鍵在于，企業(yè)必須真正理解自身的目標規(guī)劃。

在這一課題的研究過程中，CSO網(wǎng)站曾對眾多從業(yè)專家以及企業(yè)高管進行了調(diào)查。

一般而言，企業(yè)高管會將信息安全與業(yè)務視為兩項獨立的事務，而且盡管這種觀點現(xiàn)在發(fā)生了一定轉(zhuǎn)變，但大多數(shù)管理者仍然很難將安全防護納入整體業(yè)務流程。

雖然對于那些已經(jīng)將安全與業(yè)務聯(lián)系起來的高管們來說，許可更新、支持與服務協(xié)議、防火墻以及其他相關安全設備已經(jīng)成為其必須深入了解的安全組件。但即便如此，對于管理者而言，安全意識培訓似乎更像是一種整體安全培訓的擴展與延伸，這類似于需要單獨撥款的項目往往得不到管理者的認可。

不可否認的是，伴隨一些重大信息安全事件的發(fā)生，一些企業(yè)管理層開始意識到事態(tài)的嚴重性，很多企業(yè)在安全預算方面也確實增加了不少，但大部分企業(yè)還沒有意識到這一點。

安全意識培訓是否必要？

安全意識培訓的實際價值在專家眼中同樣存在爭議。一部分人認為很有必要，不過也有不少專家覺得這純粹是在浪費時間和資源。

CSO網(wǎng)站專欄作家Dave Aitel這樣論述他的安全意識培訓無用觀點：“與其投入時間、金錢與人力資源嘗試向員工傳達安全意識，企業(yè)還不如將注意力高度集中在業(yè)務環(huán)境保護以及網(wǎng)絡隔離上。這才是更科學的企業(yè)管理哲學。員工應該可以點擊任何鏈接或者打開任何附件，而這些都不應該給企業(yè)帶來安全風險。”

“由于員工有可能這樣做，因此我們不妨以此為核心作好規(guī)劃。這是CSO、CISO或者IT安全經(jīng)理的本職工作，即確保威脅在接觸到員工之前就受到扼止。如果這些手段未能奏效，那么網(wǎng)絡隔離機制也必須有能力控制感染的進一步擴散?！盇itel說。

不過另一位專欄作家Ira Winkler則從反面提出了不同的見解：“我們要關注的是，安全意識培訓所需要的成本是否低于由此可能帶來的實際損失。舉例來說，每一次成功的釣魚攻擊都會造成相應的經(jīng)濟損失，如果大家能夠通過培訓將釣魚攻擊成功的機率降低50%、那就相當于降低了50%的潛在損失。”

“有觀點指出，科學有效的安全意識培訓能夠?qū)⒐艋顒拥某晒β式档?0%甚至95%。很明顯，這足以證明安全投入的物有所值，特別是在大多數(shù)安全意識培訓方案甚至并不需要花費多少資金的前提之下?！盬inkler表示。

安全意識培訓存在的意義并不是為了取代傳統(tǒng)的網(wǎng)絡安全設備或者管理策略。同樣，它也不是為了替代緊急事件的響應與處理機制。事實上，安全意識培訓根本也起不到這樣的作用。安全意識培訓的惟一作用在于提高業(yè)務流程的恢復成功率，并在問題發(fā)生時顯著縮短響應時間。

雖然通過培訓能夠使員工輕松識別并上報釣魚攻擊或者郵件惡意附件，但這并不代表此類攻擊會被徹底消滅。其更多作用是幫助安全團隊的技術人員更快發(fā)現(xiàn)問題，而這最終很可能成為決定事故到底是一場虛驚還是一場災難的關鍵性因素。

從零開始分步實施

提升安全意識，首先要構建起科學的安全意識培訓機制。值得注意的是，一定要把安全意識培訓與安全培訓區(qū)分開來。對于普通員工來說，安全意識與安全事件的處理能力是完全不同的兩類內(nèi)容。

安全培訓的目的在于提供一套目標明確的執(zhí)行規(guī)則，而這也是大多數(shù)審計工作人員在進行合規(guī)性檢查時的考量重點。安全意識培訓則意在糾正員工的行為方式。如果能夠以正確的行為方式行事，企業(yè)員工將成為現(xiàn)有安全體系的延伸與擴展。相比之下，安全訓練可以每年進行一次，但安全意識培訓則是一個漫長且持續(xù)性的過程。

安全意識提升實例

Amanda Berlin在美國中西部一家中等規(guī)模的醫(yī)療企業(yè)負責安全相關的工作。在過去幾個月，她在幾乎沒有任何資源的前提下構建起了一套行之有效的安全意識培訓方案。

由于她所供職的企業(yè)無法提供安全意識發(fā)展與培訓所需要的資源，但安全意識培訓又是必要的，所以Berlin只能選擇自己解決。雖然整個過程持續(xù)了很長一段時間，但她的努力現(xiàn)在已經(jīng)開始收到成效，員工對于安全相關事務的關注讓企業(yè)避免了不少損失，而這部分工作也沒有給財務支出帶來大的壓力。

“由此我們意識到，安全事務當中最薄弱的一環(huán)就是員工本身，”Berlin在接受CSO網(wǎng)站采訪時指出?！半m然對于企業(yè)而言，我們可以部署IDS/IPS，甚至大規(guī)模實施電子郵件過濾機制，但員工的疏忽仍然會給惡意人士留下可乘之機?！?/p>

正如前面所提到的，員工培訓從長遠角度看能保證攻擊活動始終被屏蔽在業(yè)務網(wǎng)絡之外，但這并不是萬能的。

過去在尚未推動安全意識培訓工作時，Berlin所在企業(yè)需要應對眾多不同類型的攻擊，主要包括隨機來電及傳真（例如虛假域名發(fā)來的催款賬單），因此在企業(yè)正式進行滲透測試之前，一直沒有認真考慮對員工進行大規(guī)模安全意識培訓。

“我們進行了一次實驗性測試，其中包含某些釣魚機制，并由域管理員向被測試人員發(fā)送訪問鏈接。不到15分鐘，就開始有員工點擊這些陷阱鏈接，這直接導致安全證書失效并讓‘惡意人士’入侵到內(nèi)部環(huán)境中來?！盉erlin表示。

這是一次令人吃驚的測試。除了接受過安全培訓、了解HIPAA以及其他相關監(jiān)管要求的員工，她所在企業(yè)中沒有一個員工意識到這是一次針對釣魚或者類似攻擊活動的安全意識培訓演練。

從此次活動可以看出，如果人為因素能夠得到強化、或者至少是做好更為充分的準備，再配合網(wǎng)絡層面的其他防御手段，那么攻擊行為將更難獲得成功。

利用有限資源構建科學的培訓方案

對于Berlin而言，從零開始構建安全意識培訓方案經(jīng)歷了一系列步驟，而第一步在于同她的老板以及企業(yè)的培訓部門進行磋商。

該項目的基本思路在于開發(fā)出能夠讓所有員工受益的培訓內(nèi)容。其前提之一是，必須保證這些內(nèi)容通俗易懂，這樣相關信息才能為員工所理解接受，技術層面的話題也不至于讓員工感到一頭霧水。

“我們最終選擇了能夠被所有終端用戶輕松理解的內(nèi)容，例如說明不要點擊哪些類型的電子郵件。我們不會在這方面做出太多深入的解釋，只是告訴大家應該怎么做，不能怎么做?！盉erlin解釋道。

在通過各種正式與非正式員工會議將這些建議傳達下去后，接下來要做的就是對效果進行檢驗，看他們是否能夠?qū)W以致用。

在項目開始運作的第一個月，她們開始嘗試以特定方式推行該培訓方案。Berlin選擇的是原本就已經(jīng)公開的企業(yè)電子郵件地址，并在其中選定了一部分員工作為潛在的攻擊受害群體，希望用這種方法了解培訓項目的進展情況。

接下來，她利用社交媒體工具包編寫了一封明顯可疑的電子郵件，并在其中留下一個能夠收集安全證書信息的網(wǎng)頁鏈接。

“這只是一封由短短兩三行內(nèi)容組成的HTML郵件。我希望讓員工們能明顯感覺到它來自不合法的地址。至于目的，我打算借此了解大家的個人過濾機制效果到底如何，”Berlin在回憶起第一封發(fā)給同事們的測試郵件時解釋稱。

第一批電子郵件由某個特意為該測試所創(chuàng)建的Gmail賬戶發(fā)出，內(nèi)容中包含未經(jīng)驗證的信息，并利用一個基本的HTML鏈接指向作為陷阱的某個本地IP。在發(fā)出數(shù)百封郵件之后，Berlin說她已經(jīng)收到了指向目標中大約六成的安全證書信息。

這樣的測試結果證明企業(yè)在安全領域確實存在重大缺陷，但同時也反映出培訓項目需要加以調(diào)整，從而更好地對測試結果加以追蹤。整個測試周期持續(xù)了幾個月，Berlin才最終做好了正式實施該方案的準備。

通過獎勵激發(fā)員工熱情

雖然初步測試已經(jīng)證明了安全意識培訓的必要性，但接下來的問題在于，哪些員工應該被作為培訓計劃的首批對象。事實上，目前很多服務供應商都可以提供來自外部的安全意識培訓方案，然而雇傭外部人員的高昂成本可能令企業(yè)管理層望而卻步、同時也會給現(xiàn)有財務預算帶來額外壓力。

Berlin的做法是借助內(nèi)部力量開展與培訓相關的事務。此外，管理層也劃撥了一筆由此節(jié)省的費用（共1000美元）來建立員工獎勵機制。

“也就是說，每當有人報告發(fā)現(xiàn)了釣魚郵件，無論來自我們的測試流程還是真正的外部攻擊，他們都可以將其轉(zhuǎn)發(fā)到后臺或者通過電話上報，這樣我們就能實際查看到這類郵件。如果其確實屬于不合法郵件，我們會采取一系列措施將其屏蔽；如果確認是誤判，我們則通知員工可以安心收取并查看該郵件?！?/p>

這樣的機制鼓勵員工將真正的非法釣魚郵件以及來自當前安全意識培訓的考查郵件上報給相關部門。

而激勵方案本身也非常簡單，以員工的個人興趣為核心。公司每月會準備幾張面值為20美元的禮品卡，季度禮品卡的面值則提升為50美元，可用于在Bass Pro商店或者紅龍蝦餐廳的消費。當然，年度大獎則是面值達400美元的Amazon禮品卡，這足以為獲獎者本人或者親朋好友選上幾份不錯的禮物了。

財務激勵對于項目進展起到了顯著的推動作為，Berlin表示企業(yè)中針對非法釣魚攻擊的上報數(shù)量“如火箭般持續(xù)攀升”。更令人欣慰的是，員工們徹底擺脫了報告潛在問題或者承認被攻擊所帶來的緊張與不安情緒。

盡管回報相當顯著，但對于Berlin所在的企業(yè)而言，追蹤并衡量項目進展才是真正需要關注的重點。在推行了很短的一段時間后，她的項目就已經(jīng)達到了較為理想的效果。培訓流程本身組織的攻擊活動在成功率方面不斷下降，這樣的成績與當初第一次進行測試時的狀況形成了鮮明的對比。

根據(jù)他們的統(tǒng)計報告顯示，1月，培訓項目共向員工發(fā)出985封郵件，其中有53%的受測試目標點擊了釣魚鏈接。在點擊鏈接的員工當中，有36%輸入了安全憑證信息，但只有11%的員工報告稱他們遭遇攻擊。

2月，培訓項目共向員工發(fā)出893封郵件，其中有47%的受測試目標點擊了釣魚鏈接。在點擊鏈接的員工當中，有11%輸入了安全憑證信息，另有11%員工報告稱他們遭遇攻擊。

而在3月，這一項目陷入了停滯階段，在發(fā)出1095封郵件后，只有3%的被測試目標點擊了釣魚鏈接。而在點擊鏈接的員工當中，沒有一個人輸入過安全憑證信息。且3月份每一位點擊了該鏈接的員工都報告稱自己遭遇攻擊。

“我認為3月份員工點擊率變低的主要原因在于，員工已經(jīng)了解到培訓設置的釣魚測試主題，”Berlin在談到統(tǒng)計結果時指出。“我們在3月遇到了畸形兒基金會的活動高峰，員工們收到大量關于捐贈或者相關銷售主題的郵件。我們認為不少員工可能在收到此類郵件時直接選擇刪除或者視而不見?！?/p>

4月則出現(xiàn)了另一種有趣的現(xiàn)象。沒有一個員工在鏈接中輸入安全憑證信息，因此培訓項目開始將關注重點放在了釣魚鏈接點擊方面。任何點擊了釣魚鏈接的員工都會直接收到一條“你被攻擊了！”的消息。

在這輪測試中，共發(fā)出1111封郵件，其中2%的受測試者進行了點擊，有25%的點擊者報告稱他們收到了這條提示消息。

盡管Berlin的安全意識培訓已經(jīng)明顯地改變了員工的操作習慣，并大大提升了所在企業(yè)的整體安全觀念，但這并不足以讓安全團隊高枕無憂。整套方案還有很多可供提升的空間，而且項目本身也處于不斷的調(diào)整當中。

舉例來說，他們計劃進一步提升測試追蹤效果，并讓整套流程更加易于管理。就目前而言，追蹤機制仍然依靠人力操控，因此下一步的目標是將其全面推向自動化。除此之外，Berlin還打算將移動設備的測試引入到該項目當中，因為當前企業(yè)中已經(jīng)有不少員工在利用平板電腦處理日常工作。

安全意識只是安全保衛(wèi)戰(zhàn)的一部分

安全意識培訓還僅僅是信息安全保衛(wèi)戰(zhàn)中的一小部分。當釣魚郵件被發(fā)送至用戶手中時，就意味著一部分安全鏈接已經(jīng)失效（被反垃圾郵件系統(tǒng)攔截），接下來對抗攻擊的任務就落在了整個體系中最為薄弱的人身上。

如果用戶接受過培訓或者擁有上報隨機異常狀況的習慣，那這種被動型釣魚攻擊很有可能宣告失敗。然而人都不是完美的，而且指向性明確的釣魚攻擊總能找到可以利用的突破口。

鑒于此，管理層應該鼓勵員工積極報告任何可疑的嘗試乃至安全問題，即使被認定為誤報也不可對其加以懲罰。擺脫了這種顧慮，員工們將幫助企業(yè)大大縮短處理此類意外狀況的時間，在某些情況下甚至能夠避免災難的發(fā)生。

雖然企業(yè)要為安全意識培訓調(diào)配一定的資源，但相對于數(shù)據(jù)違約所造成的損失可以說是九牛一毛。所以還猶豫什么呢？構建起適合自己的安全意識培訓方案已迫在眉睫。

CSO網(wǎng)站專欄作家Dave Aitel這樣論述他的安全意識培訓無用觀點：“與其投入時間、金錢與人力資源嘗試培訓員工的安全意識，企業(yè)還不如將注意力高度集中在業(yè)務環(huán)境保護以及網(wǎng)絡隔離上。這才是更科學的企業(yè)管理哲學?！?/p>

CSO專欄作家Ira Winkler認為：“我們要關注的是，安全意識培訓所需要的成本是否低于由此可能帶來的實際損失。舉例來說，每一次成功的釣魚攻擊都會造成相應的經(jīng)濟損失，如果大家能夠通過培訓將釣魚攻擊成功的機率降低50%、那就相當于降低了50%的潛在損失?！?/p>