安全意識(shí)的淡薄，總能讓我們看到聽(tīng)到一幕幕血的教訓(xùn)。

信息安全意識(shí)是企業(yè)安全建設(shè)的基石，只有基石牢固，才能鑄造穩(wěn)固的城墻。但是往往越是基石，越不被重視，最后在高昂的設(shè)備和技術(shù)防護(hù)下，出現(xiàn)安全事件。信息安全意識(shí)的提升有很多種方式，常見(jiàn)的有培訓(xùn)、考核、海報(bào)、視頻、軟文、活動(dòng)等，但是做的比較成熟的是信息安全意識(shí)培訓(xùn)。

我看過(guò)很多培訓(xùn)的素材、也找過(guò)服務(wù)商做意識(shí)類培訓(xùn)，但是效果并不明顯。經(jīng)過(guò)不斷反思和總結(jié)，我找到一套很適合安全意識(shí)培訓(xùn)的方法，至少在我們公司運(yùn)行比較成功，從剛開(kāi)始對(duì)安全的漠視到現(xiàn)在開(kāi)始主動(dòng)找安全部門(mén)反饋和上報(bào)問(wèn)題。這套方法，我稱之為安全意識(shí)培訓(xùn)“四步法”。本文就跟大家分享下這套方法，也許對(duì)你也有啟發(fā)。

[[320269]]

在進(jìn)行安全意識(shí)培訓(xùn)的時(shí)候，核心點(diǎn)有四個(gè)。第一是在培訓(xùn)開(kāi)篇引起大家的興趣，愿意放下手機(jī)聽(tīng)你講;第二是要跟學(xué)員互動(dòng)，讓大家感知到安全意識(shí)的重要性并有參與感;第三是要有充足的案例，最好是企業(yè)內(nèi)部的案例，把枯燥的課程用案例變得趣味生動(dòng);第四是跟公司的業(yè)務(wù)、部門(mén)或具體項(xiàng)目掛鉤，引起學(xué)員的思考，這樣才能在培訓(xùn)結(jié)束后落地執(zhí)行。“四步法”就是把安全意識(shí)培訓(xùn)的PPT分成了四部分：引言篇、概念篇、規(guī)范篇和案例篇，引言引起大家的興趣、概念進(jìn)行知識(shí)科普、規(guī)范用來(lái)闡述風(fēng)險(xiǎn)及要求、案例用來(lái)分析反思。

一、引言篇

安全意識(shí)培訓(xùn)的第一部分是引言，你也可以命名為序言、開(kāi)卷等自己喜歡的名字，本部分的目的是調(diào)起大家的興趣、讓大家知道什么是信息安全意識(shí)、為什么要進(jìn)行安全意識(shí)的培訓(xùn)及安全意識(shí)跟我有什么關(guān)系。常見(jiàn)的序言開(kāi)篇有四種方式：

1. 視頻為引

選擇一段安全意識(shí)相關(guān)的視頻，比如《唐人街探案》中女黑客的視頻剪輯、《速度與激情8》中僵尸汽車的剪輯、《幽靈》中黑客視頻剪輯或在抖音搜索相關(guān)視頻剪輯。視頻往往能吸引學(xué)員的注意力，引出他們的興趣。

[[320270]]

2. 故事為引

選擇一個(gè)意識(shí)相關(guān)的故事，比如袋鼠跑出籠子，飼養(yǎng)員不斷加高圍墻，加到100米的時(shí)候，長(zhǎng)頸鹿問(wèn)袋鼠“你明天還出去嗎?”“應(yīng)該會(huì)出去，如果他們依然忘記關(guān)門(mén)的話。”袋鼠回答。這個(gè)故事就很好的詮釋了意識(shí)的重要性，如果意識(shí)不到門(mén)沒(méi)關(guān)，一味的加高圍墻，只能是本末倒置。

[[320271]]

3. 題目為引

開(kāi)篇可以放幾道選擇題，讓學(xué)員選擇，既可以互動(dòng)又能很好的引出培訓(xùn)的主題。比如：你有如下的經(jīng)歷嗎?

• 經(jīng)常被營(yíng)銷電話騷擾
• 快單直接丟棄
• 街頭調(diào)研經(jīng)常會(huì)留下真實(shí)的姓名和電話
• 經(jīng)常收到中獎(jiǎng)的消息

問(wèn)題跟學(xué)員的日常生活息息相關(guān)，讓大家很快就能進(jìn)入聽(tīng)課的狀態(tài)。

4. 熱點(diǎn)為引

熱點(diǎn)事件，如微盟刪庫(kù)、微博數(shù)據(jù)泄露等熱門(mén)事件作為開(kāi)篇引導(dǎo)，會(huì)激起大家的好奇心。

二、概念篇

當(dāng)大家進(jìn)入聽(tīng)課狀態(tài)后，要給大家進(jìn)行安全概念的普及。什么叫信息安全?信息安全的范圍很廣，本課程所講僅限于保護(hù)企業(yè)資產(chǎn)的安全性(根據(jù)實(shí)際情況自己修訂)。企業(yè)有哪些資產(chǎn)、這些資產(chǎn)都在哪里、跟我們有怎樣的關(guān)系?信息安全相關(guān)的趨勢(shì)是怎樣的?法規(guī)有哪些?如果違反規(guī)定，有哪些處罰措施或后果。這些都是概念篇需要解決和科普的內(nèi)容。

三、規(guī)范篇

介紹了信息安全的概念，接下來(lái)就要?jiǎng)澲攸c(diǎn)了。既然信息安全如此重要，我們要怎么做才能保障安全呢?一般來(lái)講，信息安全意識(shí)規(guī)范可概括為七大類，具體如下：

1. 賬戶安全

幾乎每個(gè)人入職初都會(huì)領(lǐng)取辦公電腦，拿到電腦的第一步就是開(kāi)機(jī)設(shè)置密碼，所以從賬戶安全開(kāi)始。賬戶安全常見(jiàn)的風(fēng)險(xiǎn)包括共享賬戶、使用自動(dòng)保存密碼、設(shè)置弱密碼或空口令。所以該部分的安全規(guī)范為禁止賬戶共享、慎用自動(dòng)保存(我司不強(qiáng)制，只做提醒，所以用慎用)及密碼安全(8位：大小寫(xiě)字母+數(shù)字+特殊字符)三部分。

2. 軟件安全

領(lǐng)取電腦后，開(kāi)始安裝軟件，故第二部分為軟件安全。軟件安全常見(jiàn)的風(fēng)險(xiǎn)包括下載未知軟件、不安裝殺毒軟件、私自安裝商業(yè)軟件。所以該部分的安全規(guī)范為禁止在互聯(lián)網(wǎng)下載軟件，可以在公司的軟件庫(kù)(我司維護(hù)有軟件庫(kù)，常用的辦公軟件都有，經(jīng)過(guò)安全檢測(cè)無(wú)毒無(wú)彈窗)下載，如果沒(méi)有軟件庫(kù)可建議到官方下載，需安裝殺毒軟件(公司統(tǒng)一殺毒軟件或其他推薦殺毒軟件均可)，預(yù)防病毒，禁止私自安裝商業(yè)軟件，會(huì)帶來(lái)法律訴訟風(fēng)險(xiǎn)，如需安裝需上報(bào)IT部進(jìn)行申請(qǐng)。

3. 郵件安全

收發(fā)郵件是日常工作必不可少的部分，伴隨的安全風(fēng)險(xiǎn)也不可忽視。如誤發(fā)郵件、錯(cuò)發(fā)郵件導(dǎo)致的信息泄露、敏感資料不加密或加密的密碼直接放在郵件中、收到釣魚(yú)郵件或垃圾郵件等。該部分的安全規(guī)范為仔細(xì)核對(duì)收件人、抄送人和郵件內(nèi)容，規(guī)避誤發(fā)、錯(cuò)發(fā)導(dǎo)致的信息泄露、敏感資料加密發(fā)送，禁止直接粘貼到郵件正文，收到釣魚(yú)、垃圾郵件要上報(bào)。

4. 社交安全

現(xiàn)在的工作生活均離不開(kāi)社交軟件和工具，微信、抖音、微博、QQ等。社交安全其實(shí)主要有二大點(diǎn)要注意，其一是收到的信息要仔細(xì)分辨(如騙子冒用同事信息騙取公司資料、離職員工索要公司資料)，其二是發(fā)出去的信息要謹(jǐn)慎(不能發(fā)反黨、反政府、色情暴力等敏感言論，不能通過(guò)社交軟件發(fā)送公司敏感信息、不能在朋友圈發(fā)送工作信息)。

5. 個(gè)人隱私

個(gè)人隱私部分跟每個(gè)人都息息相關(guān)，該部分的風(fēng)險(xiǎn)在于日常工作中的一些不良習(xí)慣，如快遞單直接丟、街頭調(diào)研填寫(xiě)真實(shí)信息、***復(fù)印件不添加簽注等。該部分的規(guī)范為，養(yǎng)成安全小習(xí)慣，快遞單撕毀后或用馬克筆涂掉個(gè)人信息(姓名、電話、住址)后在丟棄，街頭或網(wǎng)絡(luò)調(diào)研，盡量不要填寫(xiě)個(gè)人真實(shí)信息，因?yàn)槟悴恢肋@些信息會(huì)被怎么處理，會(huì)不會(huì)發(fā)給黑中介導(dǎo)致電信詐騙?***復(fù)印件一定要加簽注，如下圖所示。***不添加簽注被盜用的風(fēng)險(xiǎn)極高，如去辦理網(wǎng)絡(luò)貸款等。

6. 辦公安全

辦公安全是指日常工作中的規(guī)范要求，如離開(kāi)工位要鎖屏、打印文件及時(shí)取、會(huì)議信息要擦除、敏感文件使用碎紙機(jī)、公司信息禁止上傳到百度文庫(kù)、百度網(wǎng)盤(pán)、Github等。

7. 電信詐騙

電信詐騙是一個(gè)較復(fù)雜、多維度的事件，可以放在安全意識(shí)培訓(xùn)中，也可以不放。為幫大家更好的分類匯總，這里也同步介紹。電信詐騙的套路都是一致的，如下圖：

對(duì)于電信詐騙的防護(hù)，接到陌生電話如果涉及洗錢、轉(zhuǎn)賬、公檢法相關(guān)的直接掛掉就好，不要糾纏也不要想著反套路，術(shù)業(yè)有專攻。多關(guān)注媒體、公安部門(mén)通報(bào)的案情，增長(zhǎng)防騙知識(shí)，如接到詐騙電話最好反饋給行政，進(jìn)行內(nèi)部信息共享，規(guī)避其他同事上當(dāng)。

四、案例篇

本部分主要是對(duì)案例進(jìn)行剖析，選擇一些有代表性的案例，讓大家結(jié)合前面學(xué)到的知識(shí)去分析，案例是如何發(fā)生的?怎樣可以規(guī)避。借助案例讓學(xué)員回顧前面的內(nèi)容，與學(xué)員增加互動(dòng)，并應(yīng)用到案例中。

圖中案例為某公司的攝像頭被入侵，入侵成功的關(guān)心因素是監(jiān)控后臺(tái)資料，包括監(jiān)控系統(tǒng)的地址、部署方式被上傳到百度文庫(kù)(辦公安安全)、使用弱密碼admin88(賬戶安全)。

最后就是致謝和答疑，也是檢驗(yàn)?zāi)闩嘤?xùn)效果的時(shí)刻。如果很多人跟你溝通，反饋問(wèn)題，基本上你的培訓(xùn)比較成功，學(xué)員認(rèn)真聽(tīng)了課程并開(kāi)始反思。如果沒(méi)有人和你溝通，課程結(jié)束后就散開(kāi)或趴下睡覺(jué)，那估計(jì)效果并不好，因?yàn)閷W(xué)員沒(méi)有觸動(dòng)。當(dāng)然也不絕對(duì)，安全都是相對(duì)的，何況是安全意識(shí)培訓(xùn)。祝每位安全從業(yè)者的每次培訓(xùn)，都能讓安全建設(shè)的基石更牢固!