在對(duì)待IT安全培訓(xùn)的態(tài)度上，企業(yè)的IT安全專家們一般可分為兩類：一類專家認(rèn)為安全意識(shí)培訓(xùn)課程很有必要，另一類則認(rèn)為對(duì)員工進(jìn)行安全意識(shí)教育完全是浪費(fèi)時(shí)間。其實(shí)，企業(yè)對(duì)員工進(jìn)行的安全意識(shí)培訓(xùn)課程不但是現(xiàn)實(shí)情況的要求，而且也是企業(yè)提高競(jìng)爭(zhēng)力，與其它競(jìng)爭(zhēng)對(duì)手相區(qū)別的一個(gè)重要特征。理論上，安全意識(shí)培訓(xùn)是個(gè)好主意，但是和很多好主意一樣，如果實(shí)施的不到位，好主意也會(huì)變得沒有效果甚至真的成了浪費(fèi)時(shí)間的事情。

對(duì)于當(dāng)前的企業(yè)信息安全窘境，很多人都指責(zé)是由于企業(yè)過分的依賴于安全軟件廠商提供的過于老舊的技術(shù)(比如反病毒特征碼)，而安全軟件廠商沒有及時(shí)根據(jù)新的威脅改進(jìn)安全解決方案。當(dāng)然，這是一個(gè)挺合理的解釋，但是另一方面講，企業(yè)的IT專家們也應(yīng)該負(fù)有同樣的責(zé)任，因?yàn)樗麄儧]有為企業(yè)員工提供新安全環(huán)境下的安全培訓(xùn)課程(當(dāng)然也還有其它很多因素，但是本文不作討論)。如果我們這些IT專家還在拿九十年代的IT安全知識(shí)來教育現(xiàn)在的企業(yè)員工，還有什么理由去責(zé)怪安全軟件廠商不及時(shí)更新技術(shù)呢?也許大家都聽到過這樣的安全教育：“要確保安全，就只訪問大型網(wǎng)站”或“不要去成人網(wǎng)站，否則會(huì)中毒”。大多數(shù)企業(yè)對(duì)員工進(jìn)行的安全意識(shí)培訓(xùn)，課程的主干都是圍繞著一系列“能做什么”和“不能做什么”展開的。 現(xiàn)在，是時(shí)候讓我們重新考慮安全培訓(xùn)課程的內(nèi)容和教學(xué)方式了，不論是內(nèi)容還是教學(xué)方式都應(yīng)該進(jìn)行升級(jí)，才能符合當(dāng)今企業(yè)員工的實(shí)際工作情況。

丟掉“用戶”這個(gè)詞

不知企業(yè)的IT部門什么時(shí)候開始將自己和其他員工用“我們”和“他們”這種方式分開的，但是這種情況必須馬上停止。為什么IT專家在說他們的同事時(shí)，總是用“用戶”這個(gè)詞呢(而且通常說這個(gè)詞的時(shí)候都帶著鄙夷和不屑的態(tài)度)。這個(gè)詞并不意味著什么，但是卻會(huì)導(dǎo)致部門間的分裂、不信任、以及怨恨情緒在IT部門和企業(yè)其他部門間彌漫。而要糾正這種錯(cuò)誤，IT專家們需要為了企業(yè)未來更好的發(fā)展，從內(nèi)心真切的與其他部門的員工交流。對(duì)于任何企業(yè)來說，人都是最寶貴的財(cái)富，因此確保他們能夠安全的工作，企業(yè)才能有信心實(shí)現(xiàn)長(zhǎng)遠(yuǎn)的發(fā)展。改掉這個(gè)不良的習(xí)慣，最終會(huì)讓企業(yè)變得更強(qiáng)大，更具競(jìng)爭(zhēng)力。

拋開消極心態(tài)

在IT圈里有一個(gè)流傳很廣的觀點(diǎn)，即非IT人員無法被訓(xùn)練成時(shí)刻考慮到信息安全的程度。認(rèn)為安全培訓(xùn)無用的言論中，有一條是說，企業(yè)里總會(huì)有那么一個(gè)“足夠蠢”的員工會(huì)打開病毒郵件。我覺得這是一種相當(dāng)消極的想法，在談?wù)摰剿^的“愚蠢用戶”時(shí)，IT技術(shù)人員好像把自身擺在了一個(gè)崇高的皇室地位上一樣。我們應(yīng)該意識(shí)到，實(shí)際上我們這些IT技術(shù)人員才是最愚蠢的，是這些人用錯(cuò)誤的培訓(xùn)方法和過時(shí)的培訓(xùn)內(nèi)容對(duì)員工們進(jìn)行培訓(xùn)，并把同事都當(dāng)做二等公民一樣對(duì)待，導(dǎo)致了企業(yè)面臨各種各樣的安全風(fēng)險(xiǎn)。雖然從概率理論上講，一個(gè)大型企業(yè)里，確實(shí)會(huì)有某個(gè)甚至幾個(gè)員工落入黑客巧妙編制的釣魚陷阱中，但這并不能成為IT專家們放棄對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)的理由。如果按照這個(gè)理論，我們干脆連基本的反病毒軟件、入侵檢測(cè)系統(tǒng)、防火墻或其它任何安全技術(shù)都不要采用了，因?yàn)楹诳涂傆修k法繞過這些防護(hù)屏障。

另外，不要過多的考慮安全意識(shí)培訓(xùn)做不到的事情，相反，要多想想這樣的培訓(xùn)能帶來什么好處，比如對(duì)于企業(yè)風(fēng)險(xiǎn)管理的好處。所有IT安全專家的首要任務(wù)都是盡量降低企業(yè)的IT風(fēng)險(xiǎn)。和面對(duì)其它所有風(fēng)險(xiǎn)一樣，我們永遠(yuǎn)無法避免人為因素造成的安全風(fēng)險(xiǎn)。而良好的安全意識(shí)培訓(xùn)課程能夠讓企業(yè)降低人為因素所帶來的安全風(fēng)險(xiǎn)，尤其是釣魚類型攻擊和惡意軟件的風(fēng)險(xiǎn)。

讓課程中肯，適用和互動(dòng)

Michael Santarcangelo是一位著名的主動(dòng)意識(shí)倡導(dǎo)者，他對(duì)于安全意識(shí)的定義為：“個(gè)人意識(shí)到自己的行為所導(dǎo)致的后果，包括行為意圖和影響”。大多數(shù)人并不理解自己的上網(wǎng)行為與所導(dǎo)致的對(duì)個(gè)人潛在的負(fù)面影響結(jié)果之間的必然聯(lián)系。如果安全意識(shí)培訓(xùn)課程僅僅是告訴員工哪些事情做得不對(duì)，并不能起到明顯的改善作用，或者說員工不一定能接受。我們必須找到真正致力于安全辦公方面的專業(yè)教練。

通過適當(dāng)?shù)木哂谢?dòng)性的范例來授課并展開討論，會(huì)讓企業(yè)員工建立起一套正確的思維過程和決策的框架，從而讓員工的網(wǎng)絡(luò)行為更加安全。令所有員工都安全起來，才能讓他們不被黑客當(dāng)做釣魚目標(biāo)。另外要鼓勵(lì)員工在上網(wǎng)時(shí)用更加謹(jǐn)慎的態(tài)度進(jìn)行網(wǎng)絡(luò)瀏覽，這可以有效降低網(wǎng)絡(luò)威脅的發(fā)生率。同時(shí)這種鼓勵(lì)也是在實(shí)施和改進(jìn)安全意識(shí)培訓(xùn)課程中的一種催化劑。

安全意識(shí)的培訓(xùn)應(yīng)該作為企業(yè)一種根深蒂固的文化，而不是每年一次的例行工作。比如可以每月舉辦一次關(guān)注于家庭電腦使用安全方面的午餐會(huì)，在公司的內(nèi)網(wǎng)上專門開辟一個(gè)空間用來宣傳安全意識(shí)，或每周給員工們發(fā)送一封信息安全提示方面的郵件等。這種定期的提示會(huì)鞏固員工的安全意識(shí)和培訓(xùn)成果，并最終實(shí)現(xiàn)全員整體安全意識(shí)的大幅度提升。

安全意識(shí)培訓(xùn)本身并不能給企業(yè)帶來足夠的安全防護(hù)能力，但是結(jié)合適當(dāng)?shù)姆椒ê桶踩鉀Q方案，將會(huì)大幅度提升企業(yè)的安防水平，降低企業(yè)所面臨的風(fēng)險(xiǎn)，實(shí)現(xiàn)企業(yè)多年來努力希望實(shí)現(xiàn)的更加安全可靠的網(wǎng)絡(luò)環(huán)境。通過改變安全意識(shí)培訓(xùn)課程的內(nèi)容和教學(xué)方法，企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)將明顯提升。因此培訓(xùn)老師絕對(duì)應(yīng)該調(diào)整培訓(xùn)的態(tài)度，記住要讓每個(gè)員工都獲得足夠的尊重，因?yàn)閱T工對(duì)于企業(yè)的意義遠(yuǎn)不止確保安全辦公和安全上網(wǎng)這一點(diǎn)。

下面的一些技巧將幫助企業(yè)建立一套吸引人的安全意識(shí)培訓(xùn)課程。#p#

有明確的教學(xué)核心

當(dāng)你打算建立一套優(yōu)秀的安全意識(shí)培訓(xùn)課程時(shí)，首先要明確授課的核心內(nèi)容。一個(gè)明確的授課核心對(duì)象，能夠讓你更好的設(shè)計(jì)授課幻燈片，也會(huì)讓你的課程時(shí)刻圍繞著焦點(diǎn)進(jìn)行。你可以經(jīng)常用學(xué)員們將要學(xué)到的內(nèi)容或?qū)⒁莆盏膽B(tài)度為核心內(nèi)容。比如，可以先寫上“在這一課結(jié)束后，學(xué)員們將…”然后跟上類似于下面這樣的句子：

· “… 將會(huì)建立一個(gè)安全的密碼。”

· “… 將會(huì)識(shí)別出釣魚郵件。”

· “… 將會(huì)知道在社交網(wǎng)站隨意公布個(gè)人信息的潛在風(fēng)險(xiǎn)。”

根據(jù)這些核心內(nèi)容，還可以檢驗(yàn)安全意識(shí)培訓(xùn)課程的總體成果。

提供一些可以同時(shí)用于工作環(huán)境和家庭環(huán)境的安全建議

隨著互聯(lián)網(wǎng)的發(fā)展，辦公和個(gè)人生活之間的界線變得越來越不明顯了，因此你所進(jìn)行的安全意識(shí)培訓(xùn)課程不應(yīng)該直涉及辦公環(huán)境的信息安全，而應(yīng)該同時(shí)能夠涵蓋到員工在家上網(wǎng)時(shí)的安全防護(hù)。因此，要嘗試著將辦公環(huán)境的安全意識(shí)培訓(xùn)與員工在個(gè)人環(huán)境的安全需求聯(lián)系起來，并讓員工明白安全培訓(xùn)能給他們?cè)诩疑暇W(wǎng)帶來什么樣的好處。通過這種方式，你不但可以開發(fā)出吸引員工的課程，還可以讓企業(yè)的整體安全水平有明顯的提升。

提供整套信息

你的安全意識(shí)培訓(xùn)課程不應(yīng)該直引用各種抽象的數(shù)據(jù)，而是要教會(huì)學(xué)員為了實(shí)現(xiàn)安全辦公而必須使用的各種安全工具。比如，如果你希望讓學(xué)員們掌握正確使用密碼的方法，你可以提供給學(xué)員一些創(chuàng)建強(qiáng)壯密碼的策略，提供某種學(xué)員能很快學(xué)會(huì)的密碼管理器，以及一旦他們發(fā)現(xiàn)自己的密碼可能被盜，該找誰或者該怎么處理(不論是在家還是在辦公室)等實(shí)際問題。

所使用的材料必須可用

不論你在授課時(shí)使用了什么材料，都應(yīng)該讓學(xué)員們能夠及時(shí)獲取。比如，如果你在企業(yè)內(nèi)網(wǎng)上建立了一個(gè)安全意識(shí)培訓(xùn)方面的網(wǎng)頁，應(yīng)該確保網(wǎng)頁能夠隨時(shí)打開，并且里面的內(nèi)容保持更新。如果學(xué)員無法在網(wǎng)頁上找到你剛剛講過的某個(gè)內(nèi)容，他們會(huì)覺得這個(gè)網(wǎng)頁過時(shí)了，從而降低了對(duì)課程的興趣。

根據(jù)提問展開內(nèi)容

在授課期間，應(yīng)該隨時(shí)允許學(xué)員提問，而不是在每個(gè)課程的最后才給學(xué)員一些提問時(shí)間。如果學(xué)員提出問題，你應(yīng)該將其視為一個(gè)良好的信號(hào)，代表學(xué)員被你的課程吸引，已經(jīng)用心在聽課了。由于時(shí)間的限制，你很可能無法完全解答學(xué)員們的問題，或者由于某些問題需要具體數(shù)據(jù)，你可能還要會(huì)去查閱資料，這都很正常。不論什么原因，你都要隨時(shí)確保響應(yīng)學(xué)員的提問，并且讓課程處于不間斷的對(duì)話過程。

安全意識(shí)培訓(xùn)課程能夠吸引用戶，并讓他們學(xué)會(huì)如何保護(hù)自己和自己的信息，這對(duì)于預(yù)防安全事故來說是非常重要的。所以千萬不要讓企業(yè)放棄這種簡(jiǎn)單而有效的提高安全水平的方法。

【編輯推薦】

1. 賽門鐵克證實(shí)2006年曾發(fā)生安全問題導(dǎo)致源代碼被竊
2. 增強(qiáng)企業(yè)IT防御力 安全監(jiān)控的五個(gè)原則
3. 改善安全監(jiān)視的四大原則
4. 安全專家發(fā)現(xiàn)Wi-Fi WPS安全設(shè)置有漏洞
5. 趨勢(shì)提醒:"裸體"用戶 恐將引發(fā)新一輪安全危機(jī)