在對(duì)待IT安全培訓(xùn)的態(tài)度上，企業(yè)的IT安全專家們一般可分為兩類：一類專家認(rèn)為安全意識(shí)培訓(xùn)課程很有必要，另一類則認(rèn)為對(duì)員工進(jìn)行安全意識(shí)教育完全是浪費(fèi)時(shí)間。其實(shí)，企業(yè)對(duì)員工進(jìn)行的安全意識(shí)培訓(xùn)課程不但是現(xiàn)實(shí)情況的要求，而且也是企業(yè)提高競(jìng)爭(zhēng)力，與其它競(jìng)爭(zhēng)對(duì)手相區(qū)別的一個(gè)重要特征。理論上，安全意識(shí)培訓(xùn)是個(gè)好主意，但是和很多好主意一樣，如果實(shí)施的不到位，好主意也會(huì)變得沒有效果甚至真的成了浪費(fèi)時(shí)間的事情。

        對(duì)于當(dāng)前的企業(yè)信息安全窘境，很多人都指責(zé)是由于企業(yè)過分的依賴于安全軟件廠商提供的過于老舊的技術(shù)(比如反病毒特征碼)，而安全軟件廠商沒有及時(shí)根據(jù)新的威脅改進(jìn)安全解決方案。當(dāng)然，這是一個(gè)挺合理的解釋，但是另一方面講，企業(yè)的IT專家們也應(yīng)該負(fù)有同樣的責(zé)任，因?yàn)樗麄儧]有為企業(yè)員工提供新安全環(huán)境下的安全培訓(xùn)課程(當(dāng)然也還有其它很多因素，但是本文不作討論)。如果我們這些IT專家還在拿九十年代的IT安全知識(shí)來教育現(xiàn)在的企業(yè)員工，還有什么理由去責(zé)怪安全軟件廠商不及時(shí)更新技術(shù)呢?也許大家都聽到過這樣的安全教育：“要確保安全，就只訪問大型網(wǎng)站”或“不要去成人網(wǎng)站，否則會(huì)中毒”。大多數(shù)企業(yè)對(duì)員工進(jìn)行的安全意識(shí)培訓(xùn)，課程的主干都是圍繞著一系列“能做什么”和“不能做什么”展開的。 現(xiàn)在，是時(shí)候讓我們重新考慮安全培訓(xùn)課程的內(nèi)容和教學(xué)方式了，不論是內(nèi)容還是教學(xué)方式都應(yīng)該進(jìn)行升級(jí)，才能符合當(dāng)今企業(yè)員工的實(shí)際工作情況。

丟掉“用戶”這個(gè)詞

        不知企業(yè)的IT部門什么時(shí)候開始將自己和其他員工用“我們”和“他們”這種方式分開的，但是這種情況必須馬上停止。為什么IT專家在說他們的同事時(shí)，總是用“用戶”這個(gè)詞呢(而且通常說這個(gè)詞的時(shí)候都帶著鄙夷和不屑的態(tài)度)。這個(gè)詞并不意味著什么，但是卻會(huì)導(dǎo)致部門間的分裂、不信任、以及怨恨情緒在IT部門和企業(yè)其他部門間彌漫。而要糾正這種錯(cuò)誤，IT專家們需要為了企業(yè)未來更好的發(fā)展，從內(nèi)心真切的與其他部門的員工交流。對(duì)于任何企業(yè)來說，人都是最寶貴的財(cái)富，因此確保他們能夠安全的工作，企業(yè)才能有信心實(shí)現(xiàn)長(zhǎng)遠(yuǎn)的發(fā)展。改掉這個(gè)不良的習(xí)慣，最終會(huì)讓企業(yè)變得更強(qiáng)大，更具競(jìng)爭(zhēng)力。

拋開消極心態(tài)

         在IT圈里有一個(gè)流傳很廣的觀點(diǎn)，即非IT人員無法被訓(xùn)練成時(shí)刻考慮到信息安全的程度。認(rèn)為安全培訓(xùn)無用的言論中，有一條是說，企業(yè)里總會(huì)有那么一個(gè)“足夠蠢”的員工會(huì)打開病毒郵件。我覺得這是一種相當(dāng)消極的想法，在談?wù)摰剿^的“愚蠢用戶”時(shí)，IT技術(shù)人員好像把自身擺在了一個(gè)崇高的皇室地位上一樣。我們應(yīng)該意識(shí)到，實(shí)際上我們這些IT技術(shù)人員才是最愚蠢的，是這些人用錯(cuò)誤的培訓(xùn)方法和過時(shí)的培訓(xùn)內(nèi)容對(duì)員工們進(jìn)行培訓(xùn)，并把同事都當(dāng)做二等公民一樣對(duì)待，導(dǎo)致了企業(yè)面臨各種各樣的安全風(fēng)險(xiǎn)。雖然從概率理論上講，一個(gè)大型企業(yè)里，確實(shí)會(huì)有某個(gè)甚至幾個(gè)員工落入黑客巧妙編制的釣魚陷阱中，但這并不能成為IT專家們放棄對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)的理由。如果按照這個(gè)理論，我們干脆連基本的反病毒軟件、入侵檢測(cè)系統(tǒng)、防火墻或其它任何安全技術(shù)都不要采用了，因?yàn)楹诳涂傆修k法繞過這些防護(hù)屏障。

       另外，不要過多的考慮安全意識(shí)培訓(xùn)做不到的事情，相反，要多想想這樣的培訓(xùn)能帶來什么好處，比如對(duì)于企業(yè)風(fēng)險(xiǎn)管理的好處。所有IT安全專家的首要任務(wù)都是盡量降低企業(yè)的IT風(fēng)險(xiǎn)。和面對(duì)其它所有風(fēng)險(xiǎn)一樣，我們永遠(yuǎn)無法避免人為因素造成的安全風(fēng)險(xiǎn)。而良好的安全意識(shí)培訓(xùn)課程能夠讓企業(yè)降低人為因素所帶來的安全風(fēng)險(xiǎn)，尤其是釣魚類型攻擊和惡意軟件的風(fēng)險(xiǎn)。

讓課程中肯，適用和互動(dòng)

         Michael Santarcangelo是一位著名的主動(dòng)意識(shí)倡導(dǎo)者，他對(duì)于安全意識(shí)的定義為：“個(gè)人意識(shí)到自己的行為所導(dǎo)致的后果，包括行為意圖和影響”。大多數(shù)人并不理解自己的上網(wǎng)行為與所導(dǎo)致的對(duì)個(gè)人潛在的負(fù)面影響結(jié)果之間的必然聯(lián)系。如果安全意識(shí)培訓(xùn)課程僅僅是告訴員工哪些事情做得不對(duì)，并不能起到明顯的改善作用，或者說員工不一定能接受。我們必須找到真正致力于安全辦公方面的專業(yè)教練。

        通過適當(dāng)?shù)木哂谢?dòng)性的范例來授課并展開討論，會(huì)讓企業(yè)員工建立起一套正確的思維過程和決策的框架，從而讓員工的網(wǎng)絡(luò)行為更加安全。令所有員工都安全起來，才能讓他們不被黑客當(dāng)做釣魚目標(biāo)。另外要鼓勵(lì)員工在上網(wǎng)時(shí)用更加謹(jǐn)慎的態(tài)度進(jìn)行網(wǎng)絡(luò)瀏覽，這可以有效降低網(wǎng)絡(luò)威脅的發(fā)生率。同時(shí)這種鼓勵(lì)也是在實(shí)施和改進(jìn)安全意識(shí)培訓(xùn)課程中的一種催化劑。

         安全意識(shí)的培訓(xùn)應(yīng)該作為企業(yè)一種根深蒂固的文化，而不是每年一次的例行工作。比如可以每月舉辦一次關(guān)注于家庭電腦使用安全方面的午餐會(huì)，在公司的內(nèi)網(wǎng)上專門開辟一個(gè)空間用來宣傳安全意識(shí)，或每周給員工們發(fā)送一封信息安全提示方面的郵件等。這種定期的提示會(huì)鞏固員工的安全意識(shí)和培訓(xùn)成果，并最終實(shí)現(xiàn)全員整體安全意識(shí)的大幅度提升。

        安全意識(shí)培訓(xùn)本身并不能給企業(yè)帶來足夠的安全防護(hù)能力，但是結(jié)合適當(dāng)?shù)姆椒ê桶踩鉀Q方案，將會(huì)大幅度提升企業(yè)的安防水平，降低企業(yè)所面臨的風(fēng)險(xiǎn)，實(shí)現(xiàn)企業(yè)多年來努力希望實(shí)現(xiàn)的更加安全可靠的網(wǎng)絡(luò)環(huán)境。通過改變安全意識(shí)培訓(xùn)課程的內(nèi)容和教學(xué)方法，企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)將明顯提升。因此培訓(xùn)老師絕對(duì)應(yīng)該調(diào)整培訓(xùn)的態(tài)度，記住要讓每個(gè)員工都獲得足夠的尊重，因?yàn)閱T工對(duì)于企業(yè)的意義遠(yuǎn)不止確保安全辦公和安全上網(wǎng)這一點(diǎn)。