行业动态

许多企业安全部门可能专注于软件/​​硬件安全解决方案的采购和部署，强调技术和防御，而选择性地忽略或没有额外的预算承诺。 事实上，人防和技防处于同样重要的位置。 基于技术的解决方案可以覆盖有限的区域。 即使一家公司花费大量资金建设安全线，有时内部人员的一个小错误也会让一家企业陷入困境。 形势岌岌可危。

从攻击者的角度来看，攻击者越来越关注终端用户的行为心理，通过各种手段绕过企业的安全防御策略，不断达到目的。 水坑攻击和鱼叉式网络钓鱼攻击是两种典型类型。 方法。

建立“人民防线”，必须有良好的人员运行机制和安全意识提升方案。 通过制定全面的安全意识提升计划，员工可以主动承担责任，更好地保护企业数字资产和知识产权。 同时，从更高的角度，员工可以将所学延伸到个人生活中，造福更多的家庭。

2016 年，发布了一项安全指南，其中包含一些建议，可帮助中小企业在预算紧张的情况下提高安全意识。 三年过去了，网络空间的形态发生了很大变化。 因此，更多的安全专家重写了这份指南，提出了几种简单、可行、直接的方法，仍然坚持“调动最少的资源”的原则。

安全意识

方式一、简单明了的消息通知

(1) 内网横幅

使用在线广告的概念在贵公司内部网页的顶部添加横幅，以提高安全意识和传达安全信息的能力。

(2) 登录信息

Word 和 Unix 等应用程序和操作系统为管理员提供了一种在系统登录时发送消息的方法。 管理员可以自定义消息推送，提醒用户需要遵守哪些安全要求，推送最新的安全提示，或者发送任何增强安全性的消息。 但是请注意，消息应保持简短且不经常发送。 如果信息过于复杂或持续推广，将降低其对用户的印象，并可能存在部分国家和地区的违法风险。

(3) 被阻止的站点页面

限制员工访问各种网站（包括社交媒体、搜索、购物等）或阻止访问被视为有风险的网站是企业中常见的安全策略。 但是，请注意不要只使用您的网络阻止服务提供商提供的默认“阻止站点”页面，而只是简单地写上“违反公司安全政策”。 最好在页面上为被阻止的站点创建一条自定义消息，告诉用户他们无法访问该站点的原因。 使用 Sites 通过为员工提供额外的内容来阅读或查看相关联系人的信息来创造良好的主动学习机会。方法 2，各种会议

（一）远程培训

如果公司很大，不方便把所有员工集中在一起培训。 提供在线视频培训。 员工无需离开办公桌即可参与。 通常，它有利于分享安全提示，例如安全提示和问答。

(2) 与安全监督员共进午餐

与安全主管共进午餐是向特定受众传达关键信息的一种简单有效的方式。 另一方面，现实生活中的讨论可以提高员工敬业度。

（三）行业专家现场培训

邀请外部行业专家（如执法人员或专业公司）进行现场演示，为观众提供与安全行业领导者和从业者互动的机会。 受邀的行业专家可以通过讲故事的方式分享真实的信息和经验，使整体内容更有趣，更能吸引观众。

方法三、提高安全专家出场率

(1) 拍摄短片

内部安全专家可以尝试拍摄特定主题的短视频，解释每个问题并提供解决方案，清晰、有意地传达信息，并拉近员工与内部安全人员之间的距离。 添加安全专家的出现可以帮助提高员工对专家的熟悉度，提高视频的点击率和参与未来的线下会议。 这些视频可以存放在首页的固定区域。

(2) 专用信箱

企业可以设立内部安全问题专用邮箱，与员工保持不间断的沟通渠道，提供必要的信息交流。 此电子邮件地址可用于回答安全问题或提供反馈。 然后，邮政管理员可以将问题和答案上传到企业内的常见安全问题和答案页面。 这样，您就不必与人面对面交流。 这是一种低参与度的互动形式，可能对某些员工更有吸引力。

(3)定位安全专家站

安全专业人员的工作站可以更加开放，增加食品供应和舒适的座椅等。 正式鼓励员工坐下来与安全专家交谈。 在舒适的环境中，员工更愿意畅所欲言it技术人员，提出一些重点。 问题。 除了被动接受员工咨询，还可以主动发出讨论邀请。

(4) 写博客

博客是培养长期追随者并巩固您作为该领域安全专家的权威的一种方式。 反对博客的建议特别具有前瞻性。 最好的办法就是“守真”，有故事有细节，增加员工代入感，有利于建立长期关系，促进员工安全意识的培养。 其次，博客的篇幅不必很长。 越短越好，讲述故事的前提就越好。

方法 4，让员工更多地参与

(一)摄影比赛

企业可以通过间接的、基础的活动，从侧面提高员工的安全意识。 例如，举办摄影比赛相对简单、人性化，并且能够联系和吸引各个部门的员工。 摄影比赛可以围绕安全主题设定游戏目标和规则，例如为员工提供安全照片。 吸引企业高管可以极大地扩大活动的影响范围，还可以表明高管对安全的重视程度。 此外，此类活动的影响范围要广得多，除了公开邮寄方式外，还可以在开幕会议期间通过行政渠道加以强调。 当然，奖品的好坏直接决定了活动的数量和质量。 (2) 保安站

保安站可以采用公共展示和互动区的形式。 可以提供一些经过处理的数据图表，让员工更直观的了解安全情况。 如果能提供一个模拟安全攻击的交互项目或小游戏就更好了。 例如，当勒索软件出现在计算机上时it技术人员，如何以高级交互的形式正确修复它，可以让参与者更加致力于安全问题。

(三)攻防打法

根据公司自身情况，在严格的限制和手段下，开展一系列的网络攻防竞赛。 例如，在公司员工面临的主要网络风险——网络钓鱼电子邮件上展开竞争。 游戏可以分为攻击者和防御者。 攻击者对防御者进行网络钓鱼攻击，而防御者则处理大量电子邮件以避免踏入陷阱。 最成功的攻击者和最少的防御者将获得公司的奖励。 要注意竞争的手段和措施，厘清与企业正常业务的界限。

(4) 将安全延伸到私人时间

员工可以将不再使用或准备处置的旧设备带到公司。 安全专家将解释和指导如何清除个人信息，消除因处置或转售而带来的安全风险。 将来，在处理客户或业务数据时采取相同的步骤。

方法五、正面奖励