提高安全意识的6个方向.docxVIP

提高安全意识的6个方向 　　很多企业安全部门将预算和资源都投入到软硬件安全解决方案的采购与部署，侧重技防，而选择性忽略或者根本没有更多预算投入人防。实际上人防与技防处于同等重要的位置，基于技术的解决方案覆盖的领域是有限的，即使企业花了很多钱构建安全防线，有时候一个来自内部人员的小错误就可能将企业置于岌岌可危的境地。 　　从攻击端来看，攻击者越来越重视终端用户的行為心理研究，不断通过各种方法绕过企业的安全防御策略来达到目的，水坑式攻击和鱼叉式钓鱼攻击就是两种典型的方式。 　　要建好“人民防线”，离不开良好的人员操作机制和安全意识提升计划。通过制定周密的安全意识提升项目，员工能够主动担负起责任，更好地保护企业数字资产和知识产权。此外，从更高的角度来看，员工还能将所学的安全知识延伸到个人生活中，使更多家庭受益。 　　2016年，gartner曾发布了一篇安全指南，提出了一些帮助中小型企业在预算十分紧张的情况下提升员工安全意识的建议。三年过去了，网络空间的形态发生了很多变化，因此gartner的安全专家重写了这篇指南，提出了几种简单可行、立竿见影的方法，仍坚持“调动最少的资源”这一原则。 　　方法一：简单明了的消息通知 　　（1）内网横幅 　　采用网络广告的思路，在企业内部网页顶端添加横幅，推进安全意识的树立和安全消息的传达能力。 　　（2）登录消息 　　诸如microsoftword和unix等应用和操作系统为管理员提供了系统登录时发送消息的通道。管理员可以自定义消息推送，提醒用户要遵守哪些安全要求、推送最新的安全提示或传输任何可以强化安全能力的消息。注意信息要保持简短且不要经常发送，如果信息很复杂或者持续推送会降低它对用户产生的印象，并且在部分国家和地区可能存在违反法律规定的风险。 　　（3）“阻止的站点”页面 　　限制员工访问一些网站（社交媒体、搜索和购物等正规网站）或阻止访问被视为有风险的网站，这是一种企业内部常见的安全策略。注意不要只使用web屏蔽服务供应商提供的默认“阻止的站点”页面，或只写一句“违反企业安全策略”。最好在页面上为被阻止的网站创建自定义消息，告知用户不能访问该网站的原因。用好“阻止的站点”，为员工提供额外内容供他们阅读或查看以及相关联系人的信息，可以创造一个很好的主动学习的机会。 　　方法二：各种类型的会议 　　（1）远程培训 　　如果企业规模比较大，将所有员工集中到一起进行培训不方便，可以开展在线视频培训，员工无需离开办公桌即可参与，一般适用于分享安全提示、进行问答等简单的安全活动。 　　（2）与安全主管共进午餐 　　与安全管理人员一起举办午餐会是向特定受众传达关键信息的简单且有效的方式，从另外一个层面看，真人讨论也能提升员工的参与度。 　　（3）行业专家现场培训 　　邀请外部行业专家（执法部门或专业公司）进行现场演示，为观众提供与安全行业领袖和从业者互动的机会。邀请的行业专家可以通过讲故事分享真实的信息和经验，让整体内容更加有趣，更能吸引观众。 　　方法三：增加安全专家的出镜率 　　（1）拍摄短视频 　　企业内部安全专家可以尝试针对特定主题来拍摄一些小视频，每次讲解一个问题并提供解决方法，清晰、有意识地传达消息，拉动员工与企业内部安全人员的距离。增强安全专家的出镜率有助于提升员工对专家的熟悉度，从而增加视频的点击率和未来线下会议的参与率。这些视频可以存放在内网主页的某个固定区域。 　　（2）专门的沟通邮箱 　　企业可以在内部设置一个专门用于安全问题的邮箱，保持与员工的持续沟通渠道，提供必要的信息交流。该邮箱可用于解答安全问题或提供反馈。邮箱管理人员可以将问题与解答定时上传至企业内部的常见安全问题与解答页面。这种方式不用与人面对面交流，是一种低投入的互动形式，对于部分员工可能更有吸引力。 　　（3）布置安全专家的工位 　　可以将安全专家的工位布置得更加开放，增加饮食供应和舒适的座椅等，从形式上鼓励员工坐下来与安全专家聊一聊，在舒适的环境中员工会更愿意发言并提出一些关键问题。除了被动接受员工的咨询外，也可以主动发送座谈邀请。 　　（4）写博客 　　写博客是一种增加长期关注者的方式，还能巩固安全专家在相关领域的权威性。写博客建议不要高瞻远瞩，最好的方式是“保持真实”，要有故事、有细节，增加员工的代入感，有助于建立长期联系，推进员工安全意识的培养。博客篇幅不必很长，在讲清事情的前提下越短越好。 　　方法四：让员工多多参与 　　（1）摄影比赛 　　企业可以通过一些活动从侧面推进