在對待IT安全培訓(xùn)的態(tài)度上，企業(yè)的IT安全專家們一般可分為兩類：一類專家認(rèn)為安全意識培訓(xùn)課程很有必要，另一類則認(rèn)為對員工進(jìn)行安全意識教育完全是浪費(fèi)時間。其實(shí)，企業(yè)對員工進(jìn)行的安全意識培訓(xùn)課程不但是現(xiàn)實(shí)情況的要求，而且也是企業(yè)提高競爭力，與其它競爭對手相區(qū)別的一個重要特征。理論上，安全意識培訓(xùn)是個好主意，但是和很多好主意一樣，如果實(shí)施的不到位，好主意也會變得沒有效果甚至真的成了浪費(fèi)時間的事情。

        對于當(dāng)前的企業(yè)信息安全窘境，很多人都指責(zé)是由于企業(yè)過分的依賴于安全軟件廠商提供的過于老舊的技術(shù)(比如反病毒特征碼)，而安全軟件廠商沒有及時根據(jù)新的威脅改進(jìn)安全解決方案。當(dāng)然，這是一個挺合理的解釋，但是另一方面講，企業(yè)的IT專家們也應(yīng)該負(fù)有同樣的責(zé)任，因為他們沒有為企業(yè)員工提供新安全環(huán)境下的安全培訓(xùn)課程(當(dāng)然也還有其它很多因素，但是本文不作討論)。如果我們這些IT專家還在拿九十年代的IT安全知識來教育現(xiàn)在的企業(yè)員工，還有什么理由去責(zé)怪安全軟件廠商不及時更新技術(shù)呢?也許大家都聽到過這樣的安全教育：“要確保安全，就只訪問大型網(wǎng)站”或“不要去成人網(wǎng)站，否則會中毒”。大多數(shù)企業(yè)對員工進(jìn)行的安全意識培訓(xùn)，課程的主干都是圍繞著一系列“能做什么”和“不能做什么”展開的。 現(xiàn)在，是時候讓我們重新考慮安全培訓(xùn)課程的內(nèi)容和教學(xué)方式了，不論是內(nèi)容還是教學(xué)方式都應(yīng)該進(jìn)行升級，才能符合當(dāng)今企業(yè)員工的實(shí)際工作情況。

丟掉“用戶”這個詞

        不知企業(yè)的IT部門什么時候開始將自己和其他員工用“我們”和“他們”這種方式分開的，但是這種情況必須馬上停止。為什么IT專家在說他們的同事時，總是用“用戶”這個詞呢(而且通常說這個詞的時候都帶著鄙夷和不屑的態(tài)度)。這個詞并不意味著什么，但是卻會導(dǎo)致部門間的分裂、不信任、以及怨恨情緒在IT部門和企業(yè)其他部門間彌漫。而要糾正這種錯誤，IT專家們需要為了企業(yè)未來更好的發(fā)展，從內(nèi)心真切的與其他部門的員工交流。對于任何企業(yè)來說，人都是最寶貴的財富，因此確保他們能夠安全的工作，企業(yè)才能有信心實(shí)現(xiàn)長遠(yuǎn)的發(fā)展。改掉這個不良的習(xí)慣，最終會讓企業(yè)變得更強(qiáng)大，更具競爭力。

拋開消極心態(tài)

         在IT圈里有一個流傳很廣的觀點(diǎn)，即非IT人員無法被訓(xùn)練成時刻考慮到信息安全的程度。認(rèn)為安全培訓(xùn)無用的言論中，有一條是說，企業(yè)里總會有那么一個“足夠蠢”的員工會打開病毒郵件。我覺得這是一種相當(dāng)消極的想法，在談?wù)摰剿^的“愚蠢用戶”時，IT技術(shù)人員好像把自身擺在了一個崇高的皇室地位上一樣。我們應(yīng)該意識到，實(shí)際上我們這些IT技術(shù)人員才是最愚蠢的，是這些人用錯誤的培訓(xùn)方法和過時的培訓(xùn)內(nèi)容對員工們進(jìn)行培訓(xùn)，并把同事都當(dāng)做二等公民一樣對待，導(dǎo)致了企業(yè)面臨各種各樣的安全風(fēng)險。雖然從概率理論上講，一個大型企業(yè)里，確實(shí)會有某個甚至幾個員工落入黑客巧妙編制的釣魚陷阱中，但這并不能成為IT專家們放棄對員工進(jìn)行安全意識培訓(xùn)的理由。如果按照這個理論，我們干脆連基本的反病毒軟件、入侵檢測系統(tǒng)、防火墻或其它任何安全技術(shù)都不要采用了，因為黑客總有辦法繞過這些防護(hù)屏障。

       另外，不要過多的考慮安全意識培訓(xùn)做不到的事情，相反，要多想想這樣的培訓(xùn)能帶來什么好處，比如對于企業(yè)風(fēng)險管理的好處。所有IT安全專家的首要任務(wù)都是盡量降低企業(yè)的IT風(fēng)險。和面對其它所有風(fēng)險一樣，我們永遠(yuǎn)無法避免人為因素造成的安全風(fēng)險。而良好的安全意識培訓(xùn)課程能夠讓企業(yè)降低人為因素所帶來的安全風(fēng)險，尤其是釣魚類型攻擊和惡意軟件的風(fēng)險。

讓課程中肯，適用和互動

         Michael Santarcangelo是一位著名的主動意識倡導(dǎo)者，他對于安全意識的定義為：“個人意識到自己的行為所導(dǎo)致的后果，包括行為意圖和影響”。大多數(shù)人并不理解自己的上網(wǎng)行為與所導(dǎo)致的對個人潛在的負(fù)面影響結(jié)果之間的必然聯(lián)系。如果安全意識培訓(xùn)課程僅僅是告訴員工哪些事情做得不對，并不能起到明顯的改善作用，或者說員工不一定能接受。我們必須找到真正致力于安全辦公方面的專業(yè)教練。

        通過適當(dāng)?shù)木哂谢有缘姆独齺硎谡n并展開討論，會讓企業(yè)員工建立起一套正確的思維過程和決策的框架，從而讓員工的網(wǎng)絡(luò)行為更加安全。令所有員工都安全起來，才能讓他們不被黑客當(dāng)做釣魚目標(biāo)。另外要鼓勵員工在上網(wǎng)時用更加謹(jǐn)慎的態(tài)度進(jìn)行網(wǎng)絡(luò)瀏覽，這可以有效降低網(wǎng)絡(luò)威脅的發(fā)生率。同時這種鼓勵也是在實(shí)施和改進(jìn)安全意識培訓(xùn)課程中的一種催化劑。

         安全意識的培訓(xùn)應(yīng)該作為企業(yè)一種根深蒂固的文化，而不是每年一次的例行工作。比如可以每月舉辦一次關(guān)注于家庭電腦使用安全方面的午餐會，在公司的內(nèi)網(wǎng)上專門開辟一個空間用來宣傳安全意識，或每周給員工們發(fā)送一封信息安全提示方面的郵件等。這種定期的提示會鞏固員工的安全意識和培訓(xùn)成果，并最終實(shí)現(xiàn)全員整體安全意識的大幅度提升。

        安全意識培訓(xùn)本身并不能給企業(yè)帶來足夠的安全防護(hù)能力，但是結(jié)合適當(dāng)?shù)姆椒ê桶踩鉀Q方案，將會大幅度提升企業(yè)的安防水平，降低企業(yè)所面臨的風(fēng)險，實(shí)現(xiàn)企業(yè)多年來努力希望實(shí)現(xiàn)的更加安全可靠的網(wǎng)絡(luò)環(huán)境。通過改變安全意識培訓(xùn)課程的內(nèi)容和教學(xué)方法，企業(yè)的競爭優(yōu)勢將明顯提升。因此培訓(xùn)老師絕對應(yīng)該調(diào)整培訓(xùn)的態(tài)度，記住要讓每個員工都獲得足夠的尊重，因為員工對于企業(yè)的意義遠(yuǎn)不止確保安全辦公和安全上網(wǎng)這一點(diǎn)。