有些信息安全意识培训，还没开始就已注定失败

信息安全培训,相信大家都不会陌生了吧？不少企业都会举办信息安全培训，希望提高员工的信息安全意识，减少因员工失误所造成的安全风险。

有研究表明，大部分的高级持续攻击（APT），都是由于人员安全意识缺失所造成的，也有大量案例表明，“人”在安全事件中的占比是十分高的。很多业内人士都戏称“人”是TCP/IP的“第8层”，必须受到良好的意识教育，才能降低系统的攻击面。

看到这里，很多人可能觉得每年开一场安全意识培训，结束后进行简单的考试，大家都通过的话，能满足合规要求，也能向领导交待工作啦。我只能说，图样图森破！有些信息安全意识培训，一开始就已经失败了！

意识到底是个什么鬼？

工欲善其事必先利其器，要知道安全意识培训教育怎么做，还得读懂“意识”这个词。意识是人脑对大脑内外表象的觉察，用于辨识真伪的功能，必须有一定的刺激强度和一定的持续刺激时间才能产生知觉。简单来说，就是要使意识长期存在，并且影响其个体的行为，是需要长时间和具备一定强度的刺激。

信息安全意识也是同样的道理，如果寄望于通过每年组织一场培训，就可以提高员工的安全意识，未免也有点天方夜谭了。

企业面临信息安全风险，一方面是信息安全意识不足，另一方面是信息安全技术能力不足和合规意识不足。从过往发生的安全事件来看，即使员工知道要这么做（need to do），但是不知道应该怎么做（how to do），这就是缺少实操训练的结果。

所以单纯的信息安全意识培训，不足以弥补人在信息系统中的缺陷。那么建立一个完整的信息安全培训体系就是大势所趋了。

信息安全培训体系的探索

唯品会早期的信息安全培训也是采用传统的形式，以现场面授培训为主。

主要特点如下：

• 培训内容主要以知识点为主，缺少生动的案例分享，员工代入感差，上课容易走神；

• 培训形式单一，只有面授培训课程；

• 培训对象没有合理区分，缺少针对岗位的培训；

• 培训内容只有安全意识，缺少安全技术培训和政策合规培训；

• 培训仅限于新员工入职培训，意识刺激强度不足，难以改变员工的行为习惯；

• 培训占用员工的日常工作时间，员工抗拒参加培训，或带有消极的情绪；

• 培训考试的成绩与员工的个人绩效不挂钩，员工不重视；

• 培训绩效无法度量，无法可视化，意识提升效果无法对比；

• 缺少有效的渠道收集反馈意见和建议。

上面的种种，都是唯品会在信息安全培训中遇到过的问题。简单总结起来就是“用户体验差，未形成体系”。

用户体验差，具体表现在培训内容不够吸引、培训形式单一、培训对象未区分和占用过多工作时间。在用户体验上，我们开始运用互联网思维，站在用户的角度上思考问题。

未形成体系，具体表现在员工缺少驱动力、培训绩效无法度量和缺少有效反馈渠道。我们开始考虑培训体系化，具有持续改进和闭环的特点。

这就是“互联网+培训”，将传统的培训方式与互联网思维进行深度融合，采用崭新的载体、创新的形式、丰富的内容使其成为一个用户体验至上，具备质量提升循环的唯品会信息安全培训体系。

图1、唯品会信息安全培训体系架构图 
 
唯品会信息安全培训体系介绍   

经过不断地探索实践和总结，唯品会已经形成相对成熟的信息安全培训体系（下面简称体系），如上图所示。体系分为五个层次，分别是体系管理层、培训载体层、培训形式层、培训内容层和培训对象层。体系结构层次分明，具备横向扩展性，有利于体系的发展。

体系管理层

该层是体系的基础，也是培训教育体系的核心要素。

• （1）内容管理：是对“培训内容层”中的安全培训内容进行管理，主要是根据需求和安全事件，梳理和扩充安全培训的知识点；

• （2）需求管理：是收集技术中心、业务部门、HR等安全培训需求，以及从“素材管理”中提取信息安全事件的知识点，形成安全培训需求；

• （3）培训开发：是根据“内容管理”中的安全培训知识点，综合考虑“培训载体层”中的载体和“培训形式层”中的表现形式，对培训课件、动画、海报等进行开发的过程；

• （4）素材管理：对构成最终培训课件的图片、文章、动画以及安全事件案例进行分类管理，可以根据安全培训需求进行快速迭代开发；

• （5）讲师管理：对于信息安全培训面授课程的讲师，实行讲师认证制度和课程满意度管理，通过“沟通交流”中的渠道反馈信息，使讲师能不断提升自己的讲课技能；

• （6）绩效评估：主要是两方面的绩效评估，第一是学员的考核管理，第二是信息安全部门的培训目标绩效管理。学员的考核管理主要关注学员的线下课程出勤率、线上课程完成率、考试通过率等指标。培训目标绩效管理主要关注年度的信息安全培训目标完成情况、员工主动上报安全事件数量、员工举报违规数量、安全培训满意度等指标。是培训体系测量和持续改进的重要环节；

• （7）沟通交流：是学员反馈信息安全培训效果、上报安全事件/安全违规、提出改进建议的有效渠道。这些渠道包括V-Learning论坛讨论区、电子邮箱、V课堂满意度调查问卷、IM聊天工具等渠道。

培训载体层

培训载体是紧随时代发展的，时代潮流发展到什么程度，就自然有了相应的载体。在没有电脑的时代，使用线下的面授课程和海报宣传。后来有了电脑、手机、微信之后，并且成为了生活的必须品，自然也是安全培训的新式载体。所以在培训载体层，我们只需要做到紧跟潮流发展即可，并无过多创新的地方。或许以后就是用全息投影、VR游戏做安全培训了。

为了具备一定强度和长时间对意识进行刺激，目前唯品会的培训载体分为线上和线下两部分。线下主要是以面授课程和实体刊物为主，线上则包括PC端的V-Learning、电子邮件、OA，移动端的V课堂和微信等形式。

培训形式层

培训形式与培训载体是紧密结合的，培训形式多种多样，都是为了提高用户体验，是使用互联网思维解决内容不吸引、形式单一乏味、占用工作时间的三大问题的关键要素。

• 内容不够吸引？我们通过有趣的动画视频以及紧贴时事的信息长图来宣贯安全内容。

图2 、安全技术培训动画视频

图3、安全意识信息长图——电信诈骗   

• 形式单一乏味？我们通过VSRC微信公众号、PPT、安全员工手册、信息长图、动画、安全小贴士、海报/易拉宝、信息安全活动多种形式对安全培训进行宣贯。确保形式多样，多看不腻。

图4、信息安全小贴士-1
图5、信息安全小贴士-2图6、VSRC微信公众号文章分享
图7、信息安全面授培训PPT-案例分享1图8 、信息安全面授培训PPT---案例分享-2图9 、信息安全活动周-热烈的现场图10 、信息安全活动周---踊跃的小伙伴图11、唯品会OA专栏图12、第十二期信息安全双月刊---封面图13、第十三期信息安全双月刊---封面图14、信息安全双月刊---安全漏洞预警

占用了员工宝贵的工作时间？我们充分利用员工的碎片时间！包括员工在上下班坐地铁、公交的时间，等待电梯的时间，经过走廊的时间，电脑锁屏后的时间。这些时间都是可以利用的碎片时间，我们在碎片时间中推送安全意识长图、播放安全意识动画视频、播放电脑屏幕保护图片，达到潜移默化提升安全意识的目的。
图15、屏幕保护图片---杜绝账号共享图16、屏幕保护图片---杜绝弱口令

培训内容层

在安全培训的内容上，主要分为三大块，分别是安全意识、安全技术和政策合规，覆盖了常见的安全内容。

安全内容的设计与开发，有三点来源。

• （1）常规的安全知识点，是培训对象必须了解的内容。

• （2）安全事件触发式的安全警示，例如公司出现了“钓鱼邮件”，则立即开发关于该安全事件培训内容，以安全小贴士邮件的形式发送给全公司，作为安全事件的预警，避免扩大影响范围。

• （3）根据“体系管理层”中的“需求管理”，通过收集不同的部门的培训需求，有计划地制作培训内容。

• 
  

安全意识培训的内容是最为广泛的，也是全公司员工都需要了解的安全知识点，其知识点都浅显易懂，并且以覆盖日常工作为主，辅以生活安全知识点。

图17、信息安全意识教育视频课程目录

图18、信息安全意识教育动画---数据安全

图19、信息安全意识教育动画---共享账号

图20、信息安全双月刊---生活相关的安全提醒
安全技术的培训内容，主要面向开发人员、运维人员以及安全人员，包括TOP10安全漏洞原理及规避方法、业务安全的最佳实践、安全编码标准、安全提测评审流程和一些技术规范。图21、信息安全技术培训动画---课程目录图22、信息安全技术培训动画---SQL注入漏洞图23、安全编码规范

政策合规，主要是公司需要满足的标准和法律法规要求，包括ISO 27001、PCI DSS、ADSS、SOX 404等标准。在唯品会实施ISO 27001时，实施了ISO 27001标准讲解以及建设的注意事项培训，使信息安全管理体系能够快速有效落地，并获得领导的大力支持。

5

培训对象层

培训对象层关注的是接受信息安全培训的人员，我们从两个维度分析培训对象，第一是培训课程的受众分类，第二是培训对象职业生涯发展的需求。

培训课程的受众分类，指除了全员“一刀切”的安全意识培训课程外，还应该针对各个岗位实施专门的岗位安全技能培训，例如安全开发、安全运维、安全应急响应等不同类别。

职业生涯发展需求，指员工进入公司后，随着技术提升和岗位晋升方面考虑，可能会产生不一样的安全培训需求。

例A，一位程序开发员，需要掌握的是安全编码知识，而程序开发员晋升成系统架构师后，可能需要了解安全模型、安全架构以及威胁建模等更深层次的技术。

例B，一位业务员，晋升到业务经理甚至业务总监。从以前可能只需要管好自己的安全意识就可以了，到现在需要管理好团队下面所有人的安全意识，这是一个不小的挑战，需要给他们一个身份转变后的安全意识培训。

相关标签： 培训 微软 安全意识 信息 安全培训 信息安全