要建好“人民防線”，離不開(kāi)良好的人員操作機(jī)制和安全意識(shí)提升計(jì)劃。

通過(guò)制定周密的安全意識(shí)提升項(xiàng)目，員工能夠主動(dòng)擔(dān)負(fù)起責(zé)任，更好地保護(hù)企業(yè)數(shù)字資產(chǎn)和識(shí)產(chǎn)權(quán)。

很多企業(yè)安全部門可能因?yàn)閷㈩A(yù)算和資源都投入到軟/硬件安全解決方案的采購(gòu)與部署，側(cè)重技防，而選擇性忽略或者根本沒(méi)有更多預(yù)算投入人防。

實(shí)際上人防與技防處于同等重要的位置，基于技術(shù)的解決方案能夠覆蓋的領(lǐng)域是有限的，即使企業(yè)花了很多錢來(lái)構(gòu)建安全防線，有時(shí)候一個(gè)來(lái)自內(nèi)部人員的小錯(cuò)誤就可能將企業(yè)置于岌岌可危的境地。

從攻擊端來(lái)看，攻擊者越來(lái)越重視終端用戶的行為心理研究，不斷通過(guò)各種方法繞過(guò)企業(yè)的安全防御策略來(lái)達(dá)到目的，水坑式攻擊和魚(yú)叉式釣魚(yú)攻擊是兩種典型的方式。

要建好“人民防線”，離不開(kāi)良好的人員操作機(jī)制和安全意識(shí)提升計(jì)劃。

通過(guò)制定周密的安全意識(shí)提升項(xiàng)目，員工能夠主動(dòng)擔(dān)負(fù)起責(zé)任，更好地保護(hù)企業(yè)數(shù)字資產(chǎn)和識(shí)產(chǎn)權(quán)。

此外，從更高的角度來(lái)看，員工還能將所學(xué)的安全知識(shí)延伸到個(gè)人生活中，使得更多的家庭受益。

2016年，Gartner曾發(fā)布了一篇安全指南，提出了一些幫助中小型企業(yè)在預(yù)算十分緊張的情況下提升員工安全意識(shí)的建議。

三年過(guò)去了，網(wǎng)絡(luò)空間的形態(tài)發(fā)生了很多變化，因此Gartner的安全專家重寫(xiě)了這篇指南，提出了幾種簡(jiǎn)單可行、立竿見(jiàn)影的方法，仍堅(jiān)持“調(diào)動(dòng)最少的資源”這一原則。

方法一、簡(jiǎn)單明了的消息通知(1) 內(nèi)網(wǎng)橫幅采用網(wǎng)絡(luò)廣告的思路在企業(yè)內(nèi)部網(wǎng)頁(yè)頂端添加橫幅，推進(jìn)安全意識(shí)的樹(shù)立和安全消息的傳達(dá)能力。

(2) 登錄消息諸如Microsoft Word和Unix等應(yīng)用和操作系統(tǒng)為管理員提供了系統(tǒng)登錄時(shí)發(fā)送消息的通道。

管理員可以自定義消息推送以提醒用戶要遵守哪些安全要求、推送最新的安全提示或傳輸任何可以強(qiáng)化安全能力的消息。

不過(guò)要注意信息要保持簡(jiǎn)短且不要經(jīng)常發(fā)送，如果信息很復(fù)雜或者持續(xù)推送會(huì)降低它對(duì)用戶產(chǎn)生的印象，并且在部分國(guó)家和地區(qū)可能存在違反法律規(guī)定的風(fēng)險(xiǎn)。

(3) “阻止的站點(diǎn)”頁(yè)面限制員工訪問(wèn)各類網(wǎng)站(包括社交媒體、搜索、購(gòu)物等正規(guī)網(wǎng)站)或阻止訪問(wèn)被視為有風(fēng)險(xiǎn)的網(wǎng)站是一種企業(yè)內(nèi)部常見(jiàn)的安全策略。

不過(guò)要注意不要只使用Web屏蔽服務(wù)供應(yīng)商提供的默認(rèn)“阻止的站點(diǎn)”頁(yè)面，只寫(xiě)一句“違反企業(yè)安全策略”。

最好在頁(yè)面上為被阻止的網(wǎng)站創(chuàng)建自定義消息，告知用戶不能訪問(wèn)該網(wǎng)站的原因。

用好“阻止的站點(diǎn)”，為員工提供額外內(nèi)容供他們閱讀或查看以及相關(guān)聯(lián)系人的信息，這樣可以創(chuàng)造一個(gè)很好的主動(dòng)學(xué)習(xí)機(jī)會(huì)。

方法二、各種類型的會(huì)議(1) 遠(yuǎn)程培訓(xùn)如果企業(yè)規(guī)模比較大，將所有員工集中到一起進(jìn)行培訓(xùn)不方便，可以開(kāi)展在線視頻培訓(xùn)，員工無(wú)需離開(kāi)辦公桌即可參與，一般適用于分享安全提示、進(jìn)行問(wèn)答等簡(jiǎn)單的安全培訓(xùn)活動(dòng)。

(2) 與安全主管共進(jìn)午餐與安全管理人員一起舉辦午餐會(huì)是向特定受眾傳達(dá)關(guān)鍵信息的簡(jiǎn)單且有效的方式，從另外一個(gè)層面看，真人討論也能提升員工的參與度。

(3) 行業(yè)專家現(xiàn)場(chǎng)培訓(xùn)邀請(qǐng)外部行業(yè)專家(如執(zhí)法部門或?qū)I(yè)公司)進(jìn)行現(xiàn)場(chǎng)演示，為觀眾提供與安全行業(yè)領(lǐng)袖和從業(yè)者互動(dòng)的機(jī)會(huì)。

邀請(qǐng)的行業(yè)專家可以通過(guò)講故事分享真實(shí)的信息和經(jīng)驗(yàn)，讓整體內(nèi)容更加有趣，更能吸引觀眾。

方法三、增加安全專家的出鏡率(1) 拍攝短視頻企業(yè)內(nèi)部安全專家可以嘗試拍攝一些針對(duì)特定主題來(lái)拍攝一些小視頻，每次講解一個(gè)問(wèn)題并提供解決方法，清晰、有意識(shí)地傳達(dá)消息，拉動(dòng)員工與企業(yè)內(nèi)部安全人員的距離。

增強(qiáng)安全專家的出鏡率有助于提升員工對(duì)專家的熟悉度，從而增加視頻的點(diǎn)擊率和未來(lái)線下會(huì)議的參與率。

這些視頻可以存放在內(nèi)網(wǎng)主頁(yè)的某個(gè)固定區(qū)域。

(2) 專門的溝通郵箱企業(yè)可以在內(nèi)部設(shè)置一個(gè)專門用于安全問(wèn)題的郵箱，保持與員工的持續(xù)溝通渠道，提供必要的信息交流。

該郵箱可用于解答安全問(wèn)題或提供反饋。

然后，郵箱的管理人員可以將問(wèn)題與解答定時(shí)上傳至企業(yè)內(nèi)部的常見(jiàn)安全問(wèn)題與解答頁(yè)面。

這種方式不用與人面對(duì)面進(jìn)行交流，是一種低投入的互動(dòng)形式，對(duì)于部分員工可能更有吸引力。

(3) 布置安全專家的工位可以將安全專家的工位布置得更加開(kāi)放，增加飲食供應(yīng)和舒適的座椅等，從形式上鼓勵(lì)員工坐下來(lái)與安全專家聊一聊，在舒適的環(huán)境中員工會(huì)更愿意發(fā)言并提出一些關(guān)鍵問(wèn)題。

除了被動(dòng)接受員工的咨詢外，也可以主動(dòng)發(fā)送座談的邀請(qǐng)。

(4) 寫(xiě)博客寫(xiě)博客是一種增加長(zhǎng)期關(guān)注者的方式，還能鞏固安全專家在相關(guān)領(lǐng)域的權(quán)威性。

寫(xiě)博客是建議不要特別高瞻遠(yuǎn)矚，最好的方式就是“保持真實(shí)”，要有故事，有細(xì)節(jié)，增加員工的代入感，有助于建立長(zhǎng)期聯(lián)系，推進(jìn)員工安全意識(shí)的培養(yǎng)。

其次，博客篇幅不必很長(zhǎng)，在講清事情的前提下越短越好。

方法四、讓員工多多參與(1) 攝影比賽企業(yè)可以通過(guò)一些并非很直接、接地氣的活動(dòng)從側(cè)面推進(jìn)員工安全意識(shí)的培養(yǎng)。

比如舉辦攝影比賽，流程比較簡(jiǎn)單，用戶體驗(yàn)也很友好，能夠接觸和吸引各個(gè)部門的員工。

攝影比賽可以圍繞安全主題設(shè)定比賽目標(biāo)和規(guī)則，比如讓員工提供能夠表現(xiàn)安全的照片。

讓企業(yè)高管參與可以大大提升活動(dòng)的影響力，也可以表現(xiàn)高管對(duì)于安全的重視程度。

此外，此類活動(dòng)的宣傳力度要廣要大，除了群發(fā)電子郵件這種公共方式之外，還可以通過(guò)管理層通道在開(kāi)例會(huì)時(shí)進(jìn)行重點(diǎn)強(qiáng)調(diào)。

當(dāng)然，獎(jiǎng)品的好壞也直接決定了活動(dòng)能夠吸引到的人數(shù)和質(zhì)量。

(2) 安全小站安全小站的形式可以是一個(gè)公共的展示和互動(dòng)區(qū)域，可以提供部分經(jīng)過(guò)處理的數(shù)據(jù)圖表讓員工更直觀地看到安全態(tài)勢(shì)，如果能夠提供模擬安全攻防的互動(dòng)項(xiàng)目或者小游戲那就更好了，比如在看到勒索軟件在電腦上肆虐時(shí)該如何進(jìn)行適當(dāng)?shù)难a(bǔ)救，高互動(dòng)的形式能夠讓參與者更加投入來(lái)解決安全問(wèn)題。

(3) 攻防競(jìng)賽根據(jù)企業(yè)的自身情況，可在嚴(yán)格限定范圍和手段的情況下開(kāi)展一系列網(wǎng)絡(luò)攻防競(jìng)賽。

比如針對(duì)企業(yè)員工面臨的主要網(wǎng)絡(luò)風(fēng)險(xiǎn)——釣魚(yú)郵件，開(kāi)展競(jìng)賽。

比賽可分為攻擊者和防御者，攻擊者對(duì)防御者進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，而防御者則要在處理海量的郵件是避免踩坑，成功次數(shù)最多的攻擊者和踩坑最少的防御者均能獲得企業(yè)的獎(jiǎng)勵(lì)。

要注意競(jìng)賽的手段和分寸，明確與企業(yè)正常業(yè)務(wù)的邊界。

(4) 將安全延伸到私人時(shí)間可以讓員工攜帶不再使用、準(zhǔn)備丟棄的老舊設(shè)備到公司，由安全專家說(shuō)明和指導(dǎo)如何抹去個(gè)人信息，消除丟棄或者轉(zhuǎn)賣時(shí)造成的安全風(fēng)險(xiǎn)，以后在處理客戶或者企業(yè)的數(shù)據(jù)時(shí)也該采取相同的行動(dòng)。

方法五、正面激勵(lì)(1) 正面反饋員工的進(jìn)步當(dāng)企業(yè)高級(jí)管理層看到員工在保障企業(yè)安全時(shí)做出的努力和成果時(shí)，可以通過(guò)頒發(fā)獎(jiǎng)狀、留下手寫(xiě)消息卡片、通過(guò)電子郵件發(fā)送感謝信、提供禮品卡來(lái)獎(jiǎng)勵(lì)這些員工，感謝他們的安全行為，加強(qiáng)員工在企業(yè)安全建設(shè)過(guò)程中的主觀能動(dòng)性。

(2) 建立積分規(guī)則建立積分規(guī)則的目的是推行長(zhǎng)期的獎(jiǎng)勵(lì)計(jì)劃，該計(jì)劃向員工授予可用于在企業(yè)內(nèi)部商店或者外部供應(yīng)商處購(gòu)買商品的積分。

這種持續(xù)的獎(jiǎng)勵(lì)系統(tǒng)能夠不斷激勵(lì)員工，構(gòu)建長(zhǎng)期的安全意識(shí)，表達(dá)對(duì)員工感謝。

(3) 給與虛擬的勛章如果企業(yè)的內(nèi)部通信或者協(xié)作軟件支持虛擬勛章或者自定義頭像的話，可以給與積極參與企業(yè)安全建設(shè)的員工開(kāi)通虛擬安全勛章。

雖然這種形式并不能給員工帶來(lái)任何實(shí)際的獎(jiǎng)勵(lì)，但是可以推動(dòng)安全意識(shí)的發(fā)展。

(4) 與CEO共進(jìn)午餐員工與CEO或其他高級(jí)管理人員面對(duì)面相處的時(shí)間可能很少。

企業(yè)可向員工提供與CEO或平時(shí)比較少見(jiàn)的管理層人員共進(jìn)午餐的機(jī)會(huì)，以表明高層對(duì)于安全建設(shè)的重視。

可以同時(shí)邀請(qǐng)數(shù)名員工共進(jìn)午餐，不設(shè)置任何正式議程，員工可以提出問(wèn)題并了解企業(yè)領(lǐng)導(dǎo)和其他情況。

(5) 提拔做得好的員工業(yè)務(wù)負(fù)責(zé)人可以將在企業(yè)安全建設(shè)中表現(xiàn)好的員工提拔至安全運(yùn)營(yíng)領(lǐng)導(dǎo)者的角色，賦予業(yè)務(wù)流程中的更多的安全話語(yǔ)權(quán)并加強(qiáng)其領(lǐng)導(dǎo)力。

企業(yè)可以將這一環(huán)節(jié)添加到KPI考核機(jī)制中的加分部分，在晉升評(píng)定中給與看得見(jiàn)的積極反饋，并在企業(yè)內(nèi)部通報(bào)結(jié)果，為員工參與安全建設(shè)添加更多動(dòng)力。

方法六、保持頭腦清醒(1) 安全日歷通過(guò)電子郵件、海報(bào)、內(nèi)網(wǎng)消息或上文中提到的內(nèi)網(wǎng)橫幅等渠道定期推送的簡(jiǎn)短安全提示，通知目前流行的安全威脅和公司可能面臨安全事件。

并與公司內(nèi)部的數(shù)字營(yíng)銷團(tuán)隊(duì)合作，通過(guò)點(diǎn)擊率了解數(shù)字流量和員工的關(guān)注度。

(2) 梳理談話要點(diǎn)安全專家可以為管理人員一份備注清單，用于在團(tuán)隊(duì)會(huì)議中加強(qiáng)安全信息內(nèi)容部分。

安全建設(shè)的核心內(nèi)容應(yīng)當(dāng)保持一致，但每位團(tuán)隊(duì)管理者都可以根據(jù)各自團(tuán)隊(duì)文化進(jìn)行自定義。

(3) 假想練習(xí)團(tuán)隊(duì)領(lǐng)導(dǎo)可以在內(nèi)部會(huì)議期間提出一些安全威脅的假象情況，讓大家一起討論。

通過(guò)傾聽(tīng)對(duì)話，團(tuán)隊(duì)領(lǐng)導(dǎo)可以判斷團(tuán)隊(duì)是否理解他們?cè)诒Ｗo(hù)企業(yè)安全方面的責(zé)任，并且可以在他們識(shí)別問(wèn)題時(shí)提供額外的幫助和培訓(xùn)。

這種方法也是促進(jìn)合作思維的好途徑，使得員工在安全的群體環(huán)境中表達(dá)想法和落實(shí)行動(dòng)。