企業網路安全的“人防”工事該如何建？

·提升員工安全意識是任何企業網路安全或風險管理策略最基礎的組成部分，員工安全意識和行為也決定了企業安全最終能夠達到的高度。

·意識教育(Awareness)、行為改變(Behavior) 、安全文化(Culture)建設。透過方案ABC可彌補人腦漏洞，幫助員工塑造安全意識，進而改變行為，建立企業安全文化。

·平臺化教育方式不限時間、地點，可大規模實施並形成培訓記錄等特點，將成為安全意識教育未來發展的主要方向。

在今年抗擊新冠疫情時冒出不少矛盾觀點，有推崇透過“疫苗”來控制疫情，也有贊同“群體免疫”才是合理選擇。其實看待企業網路安全上也有類似情況：技防和人防兩個不同方向的選擇。

不少人認為，技術更新迭代跟不上駭客的攻擊速度，致使企業網路被駭客攻破，才造成大量重要資訊洩露事件。但根據IBM的一份報導顯示，90%的網路安全事件發生的主要因素是“人”，人的安全意識薄弱才是誘發原因。

世界頭號駭客凱文·米特尼克（Kevin Mitnick）也說：“最擅長發現的漏洞不是技術問題，而是人性的弱點”。在他的暢銷書《欺騙的藝術：控制安全的人為因素》中，凱文·米特尼克表示人而不是技術是安全方面最薄弱環節這一觀點，書中還揭示了一個事實，即使沒有先進的駭客工具，利用社工也可能導致企業大規模違規和資料洩露。

01 “人類是帶著石器時代的大腦進入資訊社會”

人進入資訊社會才只有短短的五十年時間，人的大腦處理問題的方式可能還停留在數萬年前的石器時代，大腦機制的進化速度遠遠跟不上網際網路的發展速度，生存選擇積累下來的生理、思維誤區在面對高速發展的資訊社會弊端盡顯。人腦就好比是一臺超級計算機，我們知道計算機軟體存在缺陷，就會導致計算機有安全漏洞，軟體就好比人腦的思維誤區和情緒等，而這些就是我們的“人腦漏洞”。

行為心理學研究表明，人類進化形成了大腦兩種思維模式：快思維和慢思維。很多人做決策時往往不是受理性和客觀分析控制（慢思維），而是由處理情感和感覺的邊緣系統（快思維）來控制的。在實際工作和生活中，人的意識只能控制人的部分行為，更多的行為是不受我們的意識控制的。駭客就是透過影響 (或繞過) 員工的理性行為（“我不能點選/開啟它！”）誘使使用者在基於感情/情緒的狀態下做出非理性行為（“我現在就點選/開啟它！”）。比如在工作環境中，員工很容易不假思索地開啟像 “放假通知”、“所有員工請注意：及時更新密碼”、“最新財務/報銷制度”、“年度體檢安排”等等這樣的郵件標題。

對於計算機漏洞，我們可以透過更新軟體修復補丁等行為方式來進行修復，但對於人腦漏洞該怎麼修復呢？

修復“人腦漏洞”的關鍵在於：處理問題時，讓大腦處理速度慢下來，便於大腦可以理性思考問題。簡單來說就是“多思考，別急於做決定！”人在遇事前能進行以下三個思考動作，實際上是能識別大多數騙術的：“Stop”、 “Think”、 “Connect”，即停下來、想一想，再決定下一步的動作，但問題在於普通人沒有經過教育並不會產生這樣的意識行為。

彌補人腦漏洞、降低人為因素風險的主要方法包括：幫助員工建立網路安全風險的認知（意識），面對網路安全威脅做出正確的反應（行為），建立企業的安全合規文化的方式，將謹慎的行為變為公司的“基因”。即透過方案ABC：A，意識教育 (Awareness) ；B，行為改變(Behavior) ；C，安全文化(Culture)建設。 

A：安全意識（Cyber Security Awareness）

安全意識≠安全知識

安全意識是個泛詞，它涉及到很多領域的安全生產，是各行業保證安全生產的前提。網路安全意識是指網路裝置、系統的使用者在進行裝置操作或網路活動過程中，對潛在網路安全風險的感知能力、防範意識和行為習慣。安全意識形成是個複雜過程，它是知識、技能、習慣等共同作用的結果，所以即便一個人具備安全知識，但他不一定具備規避風險的安全意識。

安全無小事，沒有意識到風險，往往是最大的風險。企業需要在安全性與生產力之間找到平衡點。幾乎所有出現安全問題的相關人員都認為自己具備安全常識，同時也覺得自己本意是好的 -覺得需要避開公司的安全政策才能高效完成工作，由此可見，只具備安全知識，而不能產生認識與迴避風險的能力、未能良好的安全行為，也說明是安全意識不足。

B：行為改變（Behavior Change）

行為改變關注員工的正確行為，以及如何讓員工產生正確行為。行為改變以行為心理學和腦科學為理論指導，意在強化人員安全行為和消除不安全行為。

不論對於組織還是個人而言，每一項行為都是有成本的。使用者最在乎的是成本，當使用者感覺做這件事破壞了他日常的習慣，會增加額外的成本時，就不容易促使他去做力所能及的事。而從人性方面來講，員工會本能地抵制 “改變” 或 “變化”，因為 “改變” 本身會給人們帶來一種不安全感，“改變” 就是要跳出以前的舒適圈，要與以前不安全的行為習慣做鬥爭。非IT安全人員參與安全的動機相對要低得多，在工作中甚至不考慮安全性，更多的是想著把自己的工作做完。

安全行為改變需要影響的是每一個人，而不是一兩個人。需要使員工形成安全思維，落實到每一位員工的行為改變上，才能取得實質性進展。安全行為的轉變需要藉助行為學、心理學、教育學的基本原理。

C：安全文化（Cyber Security Culture）

安全文化產生於工業化生產時代，在資訊時代有新的含義：

工業時代大生產背景下，裝置操作不當造成的人員與經濟損失，是常規安全生產文化的起源；

在網際網路資訊時代，生產系統只要藉助資訊系統開展，資訊網路安全亞文化，成為未來安全生產文化的主流。

網路安全文化並不是一個很虛的概念，是企業中與安全相關的人、管理和技術的總和，需要 “All in”，全員參與，發揮 “人是網路安全的第一道防線” 的重要作用！

在頂層設計上，將網路安全融入到公司使命與願景中，將安全基因注入現有企業文化，清楚地表明安全性是不可協商的、不可妥協的。打造企業網路安全文化需要內部各部門的積極配合，需要做大量的內部傳播、營銷、公共關係工作，這不是僅憑安全部門就可以實現的，建立一支多學科團隊涵蓋這些關鍵技能是必須的。建立和維護安全文化需要組織的各個層面的支援，包括最高管理層、人力資源部門、各業務部門、法務、風險合規等。塑造企業安全文化是一項長期的、持續的漸進過程，需要做一份3-5年的長期規劃。打造企業網路安全文化，甚至是一個部門的安全文化，都不是件易事。目前階段，國內企業真正關注網路安全文化還不是普遍現象。

02 理論和實際運用

方案ABC雖然可彌補人腦漏洞、幫助員工塑造安全意識，進而改變行為，建立企業安全文化，不過對企業來說更關心如何將理論知識真正運用到實際工作開展中。比如雖然有效的意識教育可以改變員工行為，進而影響企業安全文化，但實際運用到工作中會發現員工本能地排斥教育，更不願對目前的行為作出改變。

美國佛羅里達州立大學的約翰·凱勒教授提出的ARCS學習模型清晰指出該矛盾所在：學習動機受注意力 (Attention)、相關性 (Relevance)、信心 (Confidence) 和滿意度(Satisfaction) 四因素的影響，對於成人學習者而言，當員工在培訓中看到學習內容與他們的工作崗位角色和個人工作目標之間的聯絡，就容易接受培訓中的新資訊。

簡單地說：當學習內容相關/有用時，才最具影響力；否則，就是在浪費時間和金錢。基於崗位的安全意識教育解決了 “相關性” 的問題，可以讓不同角色的員工（如人力資源、財務、銷售、IT等）接受專為其量身定製的意識教育。例如：對於行政人員 ，資訊分類、檔案保密、隨身碟洩密、社交媒體隱私等內容就容易引起興趣和重視。

學習理論家John Keller的ARCS學習模型

福格行為模型

史丹佛大學教授福格透過研究發現，人們是否可以做到某項行為，是由 “動力（願不願意）”、“能力（能不能做到）”、與“提示（觸發物）” 三個方面共同作用的結果。

希望員工產生行為改變，並告訴（提示）員工做什麼，員工就會積極配合，必須同時幫助員工提升行動的動機和降低行動的難度。比如可以在辦公場所張貼宣傳海報方式，提示注意事項；透過攻擊案例演示的方式，提升員工的改變動機；以及提供安全工具的方式，降低行動的難度等。

03 內容、工具與運營

安全培訓建立在行為心理學的基礎之上，再根據企業自身情況制定適合宣傳安全意識的內容、工具和運營手段。據普華永道一份報告顯示：員工接受過適當的安全培訓/教育，網路安全事故成本可降低76％。

但並不是任何安全意識計劃都能起到應有的作用，如何正確地開展意識教育是很有挑戰的工作。據 Ponemon Institute 一份報告顯示：在接受調查的公司中，只有50％同意他們目前的員工安全培訓實際上減少了不合規行為，也許是因為很多公司 (43％) 將安全意識教育作為適用於所有員工的一種 “通用性” 培訓。沒有充分考慮各層級、各部門、各崗位差異的 “一刀切式” 的安全意識教育計劃很難吸引員工參與進來，進而改變員工的行為。

提供合適的內容

員工在參與保護企業網路安全/資料隱私方面因工作角色不同而有所差異，不同員工擁有的系統/資料許可權不一樣，對其安全意識/能力要求不盡相同，相應的意識教育目標也不同，安全意識教育應當反映出這種角色差異性。針對不同層級員工，需要考慮的一些因素：

C級高管

面向高階管理層開展安全意識教育，主要挑戰可能是時間和溝通問題。C級高管通常工作繁忙，還有大量會議安排。考慮到這一點，培訓內容應儘量簡短、重點突出，且需注意溝通用語，引用不同的案例。

 IT部門

對於IT部門來說，安全意識培訓應該更偏技術性，涵蓋更復雜的網路安全協議、控制措施、安全技術/標準/政策/規範等，不僅要識別威脅，而且還要有處理潛在風險或安全問題的知識與能力。開發人員應提升安全開發意識，掌握安全開發的基本原則、知識和技能，從應用誕生的源頭著手減少安全隱患。

各級管理層

管理層在安全意識中的作用是執法者和拉拉隊長。他們必須瞭解不同的安全方法和策略（如使用強密碼）、不同的業務場景下員工應該怎麼做的規範，並能確保意識計劃在各個部門實施。管理層培訓不僅應該涵蓋一般的安全意識，還應該包括如何確保部門每個人都遵循安全要求。

 普通員工

對於一般工作人員來說，安全意識培訓內容應該淺顯易懂、生動有趣，貼近工作/生活。定期的意識教育可以使整個團隊始終保持警惕，還應該確保員工掌握安全事件報告流程等。針對員工的意識計劃執行週期較長，需要持續教育，以改變不安全的網路行為習慣。

選擇合適的工具

安全意識教育工具主要體現為傳統方式（講師主導與宣傳素材發放）與基於計算機模式（Computer Based Training，簡稱CBT）兩種型別。Gartner將CBT定義為：透過端點計算裝置（例如膝上型電腦、桌上型電腦或平板電腦）向學員/使用者交付標準化的一套互動式安全教育和/或安全行為管理內容。培訓內容側重於IT的普通使用者，而不是安全或IT專業人員。

Gartner 2019年《安全意識計算機培訓的魔力象限》報告指出：“人比技術、政策或流程更能影響安全結果。以終端使用者為中心的安全教育和培訓是一個快速增長的市場，到2022年，60％的大型/企業組織將擁有全面的安全意識培訓計劃；意識教育市場目前保持42％的複合年增長率；主要趨勢是SaaS服務、郵件釣魚、遊戲化運營”。平臺化教育方式由於不限時間、地點，可大規模實施並形成培訓記錄等特點，將成為意識教育未來發展的主要方向。

目前國內還停留在傳統線下傳統的講師和素材方式，比較易於企業接受與推廣，講師主導雖然能及時反饋學員問題並定製培訓內容，但對於普通企業來說時間、場地等成本較高，培訓物件水平不一、實施規模有限，並需要一定的強制、違背成年人教育理念。而素材宣導雖然成本較低、便於實施，但不能引起員工重視也不能接收員工反饋。

近幾年隨著國內基於CBT方式的服務廠商增加，以下幾種教育方式，逐漸獲得企業的認可。

風險案例體驗：百聞不如一見、體驗改變認知。透過風險案例體驗方式再現真實場景、容易引起員工共鳴，讓員工記憶深刻、改變自身行為且教育效果持續時間長方式。

遊戲化教學：遊戲化教育是企業員工培訓的發展方向，將遊戲化運營思想與安全教育相結合，透過短影片、互動遊戲、主題課程、知識測評、線上安全周等方式開展線上教育。

網路釣魚演練：模擬攻擊方法，驗證員工風險識別與防範能力；當下，網路釣魚仍是最受網路犯罪分子 “歡迎” 的攻擊手段。安全意識教育對每個擁有 email 帳戶和/或訪問公司網路的人員都至關重要，包括從CEO到前臺的每一個人；如果要想改變員工不能辨別釣魚郵件這樣的現狀，最好的辦法不是給他們請專家講師面對面授課，最好的辦法是讓員工自身中招釣魚郵件。

企業自身的規模、發展階段，選擇合適的安全教育工具。總的來說，企業開展安全意識教育分為三個階段：啟動階段，主要需求為培訓必須的課件內容；運營階段：主要需求為開展多種形式的活動服務；成熟階段：主要需求為提供可度量評價的資料指標，與績效考核掛鉤。

制定運營規劃

企業需要制定持續改進的教育計劃，保障安全教育工作的持續開展。習近平對2019年國家網路安全宣傳週作出重要指示強調，“舉辦網路安全宣傳週、提升全民網路安全意識和技能，是國家網路安全工作的重要內容。”《網路安全法》第六條中有提到：“採取措施提高全社會的網路安全意識和水平”，第十九條中說：“各級人民政府及其有關部門應當組織開展經常性的網路安全宣傳教育，並指導、督促有關單位做好網路安全宣傳教育工作”。

體驗日：以案例分析、現場體驗、模擬攻擊、互動教學、禮品發放的方式，幫助員工感知身邊的資訊保安，樹立自己是第一道防線的意識。改變傳統的安全培訓無感知、效果差的教育模式，適合分支機構、中小企業以及首次引入安全教育的機構。

安全周：借力國家倡導，利用“全民國家安全教育日；全國安全生產月；國家網路安全宣傳週”等時機，開展企業全員參與的安全活動。

主題月：與時俱進，貼合員工習慣，藉助移動網際網路的運營方法，以直播講座、互動遊戲、短影片課程、PK賽競答、社工庫查詢等內容構建體驗式學習模式。

測試季：每年4-6次的定製化釣魚測試：針對性釣魚郵件模板定製、業務模擬釣魚網站、嵌入式培訓課程、總結分析報告，將企業員工釣魚中招風險降低到可接受水平。

學習年：教育平臺與安全裝置進行資料關聯，結合高風險行為有針對性的推送學習內容，建立企業自動化學習過程。

安全意識、行為改變和企業安全文化之間的關係不僅相互影響、相輔相成，員工安全意識和行為也決定了企業安全最終能夠達到的高度。提升員工安全意識是任何企業網路安全或風險管理策略的重要組成部分，也是企業安全文化的最基礎部分，良好的安全意識和正確的行為不僅可以彌補安全技術和產品的不足，也是構建良好企業安全文化的先決條件，這就是“教育改變認知，意識決定安全”。

關於作者

王懷賓，易念科技CEO。中國網路空間安全人才教育聯盟網安意識培養工作組長。20年資訊保安從業經歷，2004年曾建立國內安全管理諮詢公司安言諮詢，引入國際安全管理體系與專業資質。