思杰 (Citrix) 公司大中華區總裁 曹衡康 盡管全球有數十億美元的資金投入到了安全解決方案上，但所有企業用戶都仍然覺得安全是個大問題。技... 思杰 (Citrix) 公司大中華區總裁 曹衡康盡管全球有數十億美元的資金投入到了安全解決方案上，但所有企業用戶都仍然覺得安全是個大問題。技術在增進人類福祉的同時，也給人們帶來了全新的安全困擾和挑戰。防范企業安全風險看起來是一項“技術活”，但其實無論是安全攻防還是技術對抗，網絡安全領域的自然法則其實與“人“息息相關。

過去這幾年，越來越多的企業利用移動辦公解決方案打造了更加敏捷、高效的辦公環境，卻也同時帶來新的風險，如安全漏洞增多、網絡攻擊加劇等。數據顯示，中國企業用戶面臨的安全狀況日益嚴峻，他們更容易受到網絡攻擊，其脆弱性是其他亞洲經濟體的9倍(詳情點擊這里)。

在網絡安全危機的推動下，國內企業不斷更新部署前沿、加固的IT基礎設施，以保護數據、資產安全和企業品牌。從熱門的機器學習、人工智能，到基于云的監控和分析技術，中國企業用戶采用了很多最新的解決方案，以抵御網絡犯罪。然而，這類方案實施的有效性卻取決于一項容易被忽視的因素，即企業組織的重要部分——員工。

隨著BYOD靈活辦公的普及，在保護企業的數據、應用、知識產權等安全時，員工常常成為最大的安全威脅。

員工對IT安全政策的疏忽，以及對網絡威脅的漠不關心是云安全最大的障礙之一。員工，顯然對安全問題缺乏充分的了解，調查顯示，幾乎2/3的企業將“員工缺乏網絡安全知識”歸結為最大的內部威脅，公司內僅有1/10員工的完全了解網絡攻擊實施的全過程。

近期思杰和波耐蒙研究所(Ponemon Institute)針對IT安全基礎設施所展開的一項題為《全球調查：需要一種新的IT安全架構》的全球調查顯示，超過一半(66%)的被訪者表示，由于操作太過復雜，員工和第三方會選擇繞過安全策略和技術。事實上，這種復雜性更會加劇“影子IT設備或軟件”的增多，它們不受IT管理員監管。

缺乏安全培訓和安全意識不足常常導致兩種截然不同的結果——知道自己遭遇了黑客入侵，以及完全不知道自己的網絡被入侵。如果企業員工沒有充分了解到攻擊是如何發生的，既沒有采取措施保護數據安全，也不會對網絡風險進行監控并向IT管理人員求助，那么遭受網絡攻擊的隱患就會一直存在。

企業怎樣才能既讓員工享有移動、高效、便捷的工作方式，又確保數據、應用和具備競爭優勢的知識產權的儲存安全?企業該如何提倡靈活、積極的IT安全管理文化，又該如何通過增加培訓來提升員工的安全意識?

1. 讓員工成為安全解決方案，而非安全隱患

首先，企業確保把安全問題放在第一位，并使安全性要求牢牢植根于業務流程之中。安全要求需要嵌入到企業的日常運作中，讓“人體防火墻”發揮作用，讓員工成為安全解決方案，而不成為是安全隱患的組成部分。

嚴格說來，應該在公司制定從上到下的安全策略，讓盡可能多的部門員工、利益相關方提出意見和建議，網絡安全問題人人有責。集中開展安全講座，每年應該組織至少一次以上的常規培訓。

開展有趣的網絡安全教育活動，數據泄露事件與社會工程學事件和魚叉式網絡釣魚攻擊有關。網絡釣魚攻擊通常是電子郵件釣魚，騙取受害者點擊惡意鏈接，有些企業據此“定制”了假的釣魚郵件，將郵件發送給員工，使IT團隊能夠了解哪些員工更容易受到攻擊，從而為這些員工提供額外的培訓，幫助他們了解如何發現更復雜的欺詐和騙局。

我們提倡企業有責任為所有員工提供必要的工具、指導和培訓，以提升員工保護企業安全的主觀能動性。通過提供認證、全面的課程培訓以及免費的學習機會，提高員工識別潛在攻擊并及時做出響應的能力。

2. 激勵員工守護企業網絡安全

進一步說，企業還應該讓員工更加積極地參與到抵御安全攻擊、維護網絡安全的日常工作中去。明智的企業應該讓員工樹立安全觀——安全是發展的前提，也是發展的保障，員工必須幫助企業保護知識產權等數據安全，與企業共筑網絡安全防線。

與此同時，建立持久的安全保護意識，提倡員工學習安全知識，讓員工感到網絡安全防護能力對個人成長至關重要。比如，此前提到的用“偽造”釣魚郵件“模擬”安全攻擊，就是幫助員工做好安全意識教育的一種方式，旨在培養員工識別潛在攻擊的能力。

這種模擬安全攻擊是行之有效的培訓工具，既可以測試企業員工遇到威脅、受到攻擊時的反應，也可以作為一種互動式的員工培訓活動，向員工介紹最佳實踐和安全做法，激勵員工創造一種自然抵制安全威脅的公司文化，減少大規模安全事件的發生幾率。

這種方法同時能夠賦予企業員工更大的預防攻擊的責任，每個人都可以培養出相應的安全習慣和意識，共同推進和保護企業網絡安全。

3. 自下而上保護數據安全

員工的安全意識很重要，但采取協作和移動辦公的新員工們，不僅需要培養安全防護知識，更應該獲得具有保障的技術基礎設施，以確保應用、數據等安全。沒有這樣的IT安全基礎設施，任何“有安全意識的”企業文化本質上都是脆弱的。

為了應對網絡威脅格局的日新月異，安全的核心技術支柱應該包括：身份和訪問安全、網絡安全、應用安全、數據安全以及監控和響應。企業歷經數十年已經學會了一些基本措施、應急響應機制以及更為規范的安全流程，滿足企業安全需求的解決方案，可以為企業用戶全盤提供企業、網絡、應用、數據直至員工的相關安全培訓。最終讓員工能夠在任何地方安全、高效工作的同時，還能兼顧滿足隱私、合規和安全風險管理的要求。

網絡威脅的不斷演變推進了安全技術的發展，在媒體和公眾對網絡安全持續關注、移動辦公方式越來越流行的今天，企業只有積極主動開展培訓并充分提升員工的安全意識，同時加固IT基礎設施，才能真正增強網絡安全信心。

這對所有企業而言，都是切實可行并能夠實現的，隨著數字化轉型的加劇、互聯網+的盛行、監管環境的變化，網絡安全不僅對我們的工作、企業安全非常重要，而且對國家安全、國際事務的影響也不斷增大，這些因素都將促使企業更加積極主動地升級保護措施，從“人“和技術兩個方面增強安全性和可持續性。