网络安全意识培训的六个创新思路.pdfVIP

网络安全意识培训的六个创新思路

导语

网络安全意识月活有助于提高网络安全风险认识。但常规的教室培训、

惩罚性的考核，却不是有效的好方式。

很多机构都会举办网络安全意识月活动，旨在帮助员工、客户以及公

众提高对网络安全风险的认知水平，其间也强调各类角色在缓解安全风险

上所能够发挥的作用。

今年的网络安全意识月重要程度远超以往，这与当下极为严峻的

网络安全形势不无关系：从网络钓鱼与域名欺诈，到勒索软件以及超

大规模DDoS，网络安全领域的各个方面都呈现出越来越可怕的威胁

态势。更糟糕的是，安全威胁已经超越了传统的恶意与财务意图——

2016年美国总统大选事件证明，攻击者已经开始利用网络渠道实施与

地缘政治相关的活动。

如果员工好不能充分参与，网络安全意识月将无法带来任何符合

预期的积极影响。我们需要有各类有趣引人的想法，确保大家能积极

参与。下面是我们觉得6个值得一试的有趣思路。

一、问答之夜！

您的员工对于网络安全知识的了解程度如何？事实上，我们可以通

过多种方式传授网络安全的知识。您可以通过正式的课堂式集训进行普

及，但员工恐怕会厌倦这种枯燥乏味的形式。事实上，其他手段的效果

往往不理想：例如作为企业整体安全意识建设计划的一部分，很多员工

并不愿意定期阅读自己收到的信息安全电子邮件。

通过组织有趣且存在一定竞争元素，但又不那么严肃正式的问答活

动，我们可以更充分地调动起员工积极性。想象一下，在问答之夜活动

中，由不同部门作为参赛团队彼此对抗，并为答对最多问题的团队提供

奖品——其中贡献最突出的个人还将获得相应的殊荣，是不是很棒？

为了获得更好的效果，请尽可能提出非技术性问题，否则竞赛胜利

者的头衔恐怕会长期被IT部门所占据。

二、敏感文件大搜捕！

相信每个人都对寻宝活动抱有浑厚兴趣。因此我们可以任意选择一

天，在日常工作结束后指定某一部门的员工在另一部门的工作区内尽可

能多地寻找敏感文件或者未及时锁定的计算机。敏感资料泄露量最少的

部门，将在比赛中获胜。

其中的问题在于，已经拥有良好文件管理习惯以及信息保护文化的

部门往往更有可能刻这一挑战。

为了提升参与积极性，大家可以选择另一种方式：在指定场所内隐

藏一份或者多份文件，而后开展文件大搜捕行动。接下来的一整个月都

属于搜捕期，那些成功找到相关文件的个人将获得奖励。

三、模拟钓鱼攻击！

设计一份极具诱惑力的钓鱼邮件，并将其发送给组织中的每位成

员。我们可以在深夜期间进行发送，以确保员工能够在第二天早上马

上看到。您可以使用外部或者欺骗性电子邮件地址，总之尽可能提升

内容的可信度就是了。为了强化迷惑效果，大家甚至可以在其中添加

企业徽标、品牌宣言、免责声明甚至是高层管理人员的真实姓名等等。

在内容层面，邮件应该要求收件人尽快发送某些机密信息。这场

模拟攻击的目标，是为了了解多少员工会根据要求在回复邮件中提供

对应的实际数据。

实际上，即使员工没有提供所要求的数据，其做出的任何回复操

作都应被视为失败。一般来讲，身份窃取者需要积极搜寻组织内员工

的真实姓名以发动进一步攻击，而任何回复都有可能为其提供线索。

当然，在工作人员最终意识到这只是一场小测验时，心态会非常

放松。但在放松的同时，他们也学习到了很多关于社会化工程攻击的

知识。

四、活动游戏化

如果大家没有购买现成的应用程序产品，游戏化活动往往会带来不

少定制化编程工作量。但是，这一切都将物有所值。此类活动将奖励参

与者展示或者提升自身安全意识的行为。为了获得理想效果，游戏活动

应该制定有明确的规则，包括员工必须清楚了解他们要如何参与、能够

获得怎样的奖励并通过实时排行榜展示当前得分最高的人员等。

举例来说，参与者在完成信息安全测验之后可以获得20分，如果能

够确定安全程序失效则可获得50分等等。在网络安全意识月结束后，大

家可以为员工安排一场总结活动，并为得分最高的员工提供丰盛的晚宴

或者礼品卡等。整个流程应该尽可能自动化，从而提升参与者的信心并

缓解紧张感。

五、充分组织户外活动！

如果大家希望员工之间能够进行充分的创新思维交流，在网络安全

意识月之内至少应该组织一次户外活动。目前已经存在各种各样的户外

团队建设活动，您可以有针对性地向其中加入网络安全元素，并鼓励员

工们相互竞争。

户外活动的优势在于，大家不必为获胜的个人或者团队准备太过昂

贵的奖品