第48章

    第48章 (第1/3页)

培训的一个主要目标就是让每一个员工认识到他们处在保护企业整体安全的最前沿。

      安全培训必须要有一个深入的、较大的目标，而不是简单地制定规则。培训程序设计者必须认识员工所面对的巨大的诱惑，为了完成工作而忽略他们的安全职责。了解社会工程学策略和怎样防范攻击非常重要，但这只在培训程序激发了员工使用这些知识的情况下才有效。

      公司可以用一个类似于会议基本目标的概念来判断培训程序是否有效：在结束培训之后，他（或她）是否认为信息安全是他（或她）的工作之一。

      员工们必须认识到来自社会工程学的威胁是真实的，敏感企业信息的损失会危及到公司和他们自己的个人信息。在某种意义上说，忽视信息安全相当于泄漏某人的自动取款机PIN码或者信用卡号，类似的比喻可以增加员工培养安全习惯的积极性。

      建立知识与培训程序

      负责设计信息安全程序的人必须认识到这不是一个一刀切的项目，培训程序需要适应企业内不同组的特殊需要。在16章描述的许多安全策略都是全体适用的，而很多其它的策略是针对指定员工组的。大部分公司的培训程序都需要适应以下这些组：管理人员、IT职员、计算机用户、非技术人员、行政助理、接待员和安全警卫。（请看第16章，根据工作分配分解策略）

      因为公司的商业安全警卫通常并不精通电脑，并且，他们接触公司电脑的几率很小，所以在设计培训程序时通常不会考虑他们。但是，社会工程师可以欺骗安全警卫或其他人放他们进大楼或办公室，或者让他们协助实施计算机入侵。警卫当然不需要像操作电脑的人那样参加全部的培训，但是他们必须了解安全知识程序。

      在企业内部或许会有哪些是所有员工都需要培训的重要、固有的安全缺陷，设计优秀的信息安全培训程序必须获知并捕捉学习者的积极性和注意力。

      信息安全知识与培训的目标应当包括一次迷人的交互式体验，可以通过角色扮演演示社会工程学攻击，评价最近媒体对那些不幸的公司的攻击报导，讨论这些公司怎样才能避免损失，或者播放既生动又有教育性的安全视频，有几家安全公司销售这些视频和相关的资料。

      注释

      对于那些没有资源开发内部程序的公司，有几家培训公司提供安全知识培训服务，可以在Secure World Expo （www.secureworldexpo.com）上找到这些公司的信息。

      本书中的故事提供了许多材料说明社会工程学方法和策略来加强威胁意识，展示人类行为的弱点，可以考虑使用他们的方案进行角色扮演活动，这些故事同时也提供了有趣的讨论机会，比如受害者可以怎样回应来抵御攻击。

      熟练的课程设计者和熟练的讲师会发现很多挑战，但也有很多机会让课堂活跃起来，还可以在此过程中促使人们成为解决方案的一部分。

      培训结构

      所有员工都必须参加基本

    （本章未完，请点击下一页继续阅读）