■ 云南 张锐

编者按：企业内部威胁已成为企业面临的最重要隐患之一，因此加强员工安全意识培训已变得迫在眉睫。本文探讨加强这一方面的5 种方法。

InfoScales的报告显示，成功实施的网络攻击中有95%的是人为失误造成的，其中最明显的是公司员工遭遇网络钓鱼诈骗。很多企业的网络安全工作主要侧重于对安全技术和产品的投入，来防止技术性的数据泄漏、黑客渗透和系统入侵。

但他们往往忽视了人为因素，这也是攻击者所利用的重要因素。

因此，对企业员工的安全意识培训势在必行，以下5种方式可以帮助企业来实现这一目标。

1.重点防范网络钓鱼攻击

无论企业的防火墙和电子邮件网关等安全防御体系有多么强大，如果遇到毫无戒心的员工点击到了电子邮件中的恶意链接并毫不知情地输入了凭据，以上措施都将形同虚设。因此，加强对员工这方面的培训，使其有能力区分合法或可疑的电子邮件，例如来自“领导”的电话，员工的“工资单”等，可以更好地使员工具备处理突发事件的能力。

第三方提供的技术解决方案，可以使员工将可疑的电子邮件直接报告给公司专门应对钓鱼邮件的安全系统，以供内部安全人员进行审查。这样即便员工中招，企业的安全运营部门也可以立即将其隔离并查杀。

通过全面的安全培训，员工“检举”可疑电子邮件就可以大大降低因偶然性带来的风险。

2.在信息处理方面保持合规

如果员工更好地掌握了处理敏感信息的方法，企业自然会更符合相关法律法规的要求，以避免因违规而带来的法律风险。例如网络安全法、相关行业网络安全规章制度等。跨国企业还会涉及当地有关数据保护方面的法规，或是企业软件开发人员和信息安全人员没有意识到阻止恶意流量而导致DDoS 攻击。

要让员工的安全意识形成一种企业文化，例如，员工不能通过即时通讯软件或其他不安全的渠道非正式地共享企业敏感信息，IT 专业人员要在法律框架之下设计和管理IT 系统等。

3.加强物理边界安全

安全涉及的方面非常繁多，并且遵循“木桶理论”。不管安全体系多么强大，如果存在某一个很明显的短板被攻击者利用，那么一切安全措施都是徒劳的。

例如，尽管存在人脸识别或指纹识别的电子门禁，但社会工程攻击仍然是企业安全管理上面临的重要威胁。如果只是摆上设备而疏于管理，陌生人尾随获得授权的人员进入办公室，就很轻易地突破了限制。

这只是一个很常见且很低级的安全管理漏洞，像其他类似的安全问题还有很多。如果陌生人违规进入敏感场所，然后对计算机系统进行物理访问来窃取数据，又或者是恶意竞争者偷偷溜进敏感场所进行偷拍该怎么办？

为避免发生这些情况，必须制定严格的企业政策以及安全培训，以确保安全意识培训囊括整个公司范围内所有员工，而不仅仅是重要岗位员工。

4.减少违规和负面因素带来的风险

受过良好教育并且具有较强安全意识的员工可以很好地防范社会工程攻击，从而避免企业数据泄露事件的发生。仅此一项就可以保护企业宝贵的资产，尽可能地减少知识产权的泄漏，并从整体上保护企业品牌声誉。而这些积极措施也能够更好地吸引投资者并赢得客户的信任。相反，遭遇数据泄露问题的企业在吸引新客户方面也将遇到很多麻烦。

5.保护员工的个人信息

不仅仅是保护企业数据资产，员工个人信息也是企业应重点保护的对象。要知道，员工个人信息泄露同样会给企业带来严重损失。因此，增强员工安全意识也应包括对员工个人信息的保护，也证明了保护员工自身利益同样能让企业受益。

总而言之，针对员工的网络安全意识培训应当落到实处，而不是停留在理论层面，这样的投入和付出必将使企业获得更大的收益。