谈到信息安全，没有比安全意识更重要的防御手段了，而正确恰当的培训工作更是关键中的关键。本期“安全讲堂”为大家分享资深安全意识顾问Larry Brock的“安全意识培训的万能配方”。

大多数负责安全的管理层都知道，一个规划良好的针对终端用户的安全意识教育和培训，是提高企业整体信息安全能力的最符合成本效益的手段之一。

要知道，狡猾的钓鱼攻击能够骗过大部分用户，而对于攻击者来说只要搞定一个用户就可以进入企业内部。如果我们能在企业内部建立起良好的安全意识氛围，就很少有员工会上当，而且那些没上当的员工还知道如何去报告攻击，从而安全人员得以快速的去检测和修补漏洞。实际上，好的安全意识培训能够把员工变成企业安全团队的一名检测人员。

更重要的是，一个设计良好的安全意识培训计划不仅能够保护敏感信息的泄露，还能够指导员工避免做出不安全的行为。这就需要员工通过培训，来理解公司在业务处理、信息分享和敏感信息存储等方面的安全策略。典型的策略有，敏感信息不能在非加密的通讯环境下传输，如电子邮件和云存储；用户需要授权才能访问某种敏感信息；同样，授权用户在分享信息前要确认对方是否也有正确的授权。

随着全球化竞争的加剧，一些企业试图通过盗取市场领导者的私有信息以提高自身竞争力并获取利益。他们越来越多地利用这些领导者内部人员的贪婪来得到信息，或是直接使用网络攻击来攫取。

为了更好的防范这种盗窃行为，针对员工进行高效的信息安全意识培训无疑是一个很好的方法。要让员工意识到，敏感信息的丢失会给企业的财政状况带来严重影响，而不仅仅是他们的工作。学习识别“内鬼”的不良行为和黑客攻击方法，对个人是一件非常有益的事。员工有了这知识做基础，就不容易被社会工程所欺骗，并能够及时报告可能的恶意行为。

高效的培训工作包括几个重要的方面，正是这几个方面组成了安全意识培训工作的方程式：

首先，需要高级管理人员的推动。可以采用视频、语音留言、电子邮件，或其他企业习惯的沟通方式传达管理人员的讲话，强调安全对于企业运营和未来发展的重要性。员工通常都会倾听和响应领导人的讲话。如果管理层不发声，员工则会非常不看重安全人员的培训工作。比如，高管人员表示要参加培训完成后的奖励会，就是一个非常不错的推动意识培训工作的举措。

接下来，针对所有的员工做强制性的基于计算机的培训，同时要为新员工设置一个适应性培训。这次培训作为整个培训工作的一个组成部分，旨在强调公司的核心关键政策。在访问内部系统之前，有些企业需要这样的培训。利用企业的公告系统提醒用户需要注意的事项及不正当的行为活动，比如员工对职业操守的违背。这些提醒非常有效，因为大多数员工想去了解哪些行为会导致违背企业的规范，包括在何种情况下可能会被解雇。

针对员工的“内部钓鱼”培训可以有效地培养员工识别网络钓鱼手段并避免上当，并且反馈的速度赶快培训的效果就会越好，尤其是当培训显示给用户如何独立地识别出网络钓鱼手段的时候。有些企业建立起内部的网络钓鱼解决方案，有些企业则利用外部的资源来实施。无论内外，都可以有效的帮助员工正确识别网络钓鱼。但在采取钓鱼演练时，要告知员工企业这样做的目的。这种告知非常重要，以免产生其他误会。

重要的是，对监控、防护和实时的警告用户的不当行为等数据保护技术的整合。它可以非常有力的真正的改变用户行为。依个人所见到的实例来看，可以把之前大于60%的违规行为降到10%以下。最好的办法就是用户意识，把责任下放到员工个人，承包商、合作伙伴和外包人员等用户。

还有一点也同等重要，就是环境意识。不同的业务环境，其带来高风险的特定行为是不同的。这一点往往被IT部门和安全人员忽略，然而它正是保护敏感数据的关键。环境也许意味着一份发往国外的传达总部命令的敏感文档，在确认通信双方都没有违规行为之前，要对其中的内容保持警惕。而在另一种环境下，可能只是某个员工使用非安全的浏览器访问了云服务，如果确定是不安全的和违规的，那这种行为就会立刻被阻止。

不管怎样，在企业中建立起安全意识培训的文化氛围并整合保护企业业务的安全技术都是最小化风险的关键。这就是意识培训工作万能配方。

作者简介：Larry Brock,杜邦公司前首席信息安全官，信息安全及知识产权保护资深顾问。