网络安全培训不简单

网络安全培训在一些单位，可谓经常抓、反复搞，甚至贯穿单位日常工作中，但实际取得的效果与理想的期望要求，仍然有不小的差距。究其原因，主要就是一些单位将网络安全培训看得太简单，安全培训管理存在盲区现象。

现在，本文就对当前单位网络安全培训工作较易忽视的几个细节进行分析，确保网络安全培训效果落到实处。

安全培训人员全覆盖

一些单位在开展网络安全培训过程中，经常出现盲点区域，一些特殊员工成为网络安全培训的“漏网之鱼”，给单位网络的安全运行带来了隐患。这些特殊员工主要包含下面几类群体：

一是单位管理人员。主要是指单位或部门副职领导人员，他们特殊的身份让其成为“管理员不能管，正职人员不管”的群体，长期游离于网络安全培训之外。

二是各类处于休假的工作人员。在享受法定假期期间，无法参加单位组织的各类网络安全培训活动，假期结束返回单位后，单位又没有及时落实好补课措施，造成这类人员在特定时间段内，不能参加网络安全培训学习。

三是单位后勤工作人员。主要是包括单位的值班员、打字员、服务员等，他们的安全意识几乎是空白的，单位领导也认为网络安全与他们是八竿子也打不上关系。最后就是单位临时聘用的人员。这些人由于工作关系不稳定，认为自己还不是单位正式员工，所以在思想上往往不重视参加网络安全培训学习，只知道将自己份内的工作完成好就行，其他事情几乎是两耳不闻。

要想避免安全培训盲区，我们就应该着眼工作实际，努力健全完善各类网络安全培训机制，探索全新的网络安全管理模式，实施全面的网络安全培训教育，使安全培训人员全覆盖：

一是建立完善的网络安全培训检查考核制度。单位组织专门人员，加强对处室、各部门工作人员安全培训的监督考核力度，定期或不定期对处室、部门网络安全培训学习情况进行督察，按照督察考核指标，逐项进行考核，具体检查内容包括网络安全培训内容、网络安全学习记录、网络安全培训效果、领导参加培训情况以及工作人员签到情况等。

二是对网络安全培训情况进行定期抽查。安全培训效果有没有落到实处，主要看单位员工应知应会的内容掌握得如何，实际操作熟练程度怎么样，定期由网络安全考核小组组织开展一次培训情况抽查考试，惩罚和奖赏相结合，促进员工的培训学习热情，解决领导员工参加安全培训活动应付差使的现象，使被动的培训学习逐步向主动培训学习转变。

三是建立及时培训补课制度。对于休假结束的员工，要及时对他们组织进行网络安全培训补课，做到措施落实，有专人负责，确保单位员工安全培训的参学率，提高网络安全培训效果。

安全培训形式要创新

为了增强单位领导员工安全上网意识，切实做好网络安全防范工作，单位应制订专门的安全培训活动制度，比方说每周安全上网日，每月安全培训大课，每年安全上网月等等。通过这些安全培训形式，负责网络安全培训的部门或人员，可以根据单位工作实际，从宏观上集中安排一些学习内容，主要有上级部门或本级单位的一些安全要求，其他一些单位的网络安全事故案例，以及政府部门下发的一些网络安全管理文件等。对于部门比较多的单位来说，安排的网络安全培训内容很难对每个部门都有很强的针对性。加上，一些部门人员缺乏网络安全培训的灵活性，每次组织安全培训仅仅是照本宣科、泛泛而谈，时间一长以后，枯燥的学习培训内容会让大多数员工逐渐失去学习兴趣。同时，一些部门安全培训纯粹流于形式，只求培训次数多少，不求培训质量高低，从而形成“只开花不结果”的现象。

要想避免上述问题，就要紧贴单位实际情况，紧贴部门工作实际，按照“需要什么学什么”原则，经常性地开展针对性的安全培训学习。

一是强化特殊性，开展针对性培训学习。围绕不同时期的安全工作重点、员工现状，有的放矢地进行预防性的安全培训活动。如采取业余培训和集中培训相结合的方法，开展相关安全管理规定等内容的学习。要充分利用处室、部门安全培训这块阵地，尽可能地创新安全培训形式，丰富学习培训内容，按照工作实际进行因人而异、因时而异的安全培训。

二是强化实效性，开展情感性培训学习，发挥领导带头学、专业人员主动学等方方面面的优势，开展“安全上网知识答辩会”、“员工与单位签订安全上网公约”等情真意切的安全培训活动，增强单位员工的安全意识和上网自主安全防范能力。在学习过程中，特别要注意灵活性，如每位员工在上网从事重要公务之前，可以进行相互提醒，时间一久，员工自然就能养成安全上网习惯。

三是强化形象性，进行启发性培训。作为负责单位网络安全培训的管理人员，在传达贯彻上级主管部门安排的学习培训时，不能只讲大道理，不讲小道理，让网络安全培训活动缺乏形象化。要注重结合工作实际和员工现状，带着目的开展“你问我说”等启发式培训，让员工讲述身边的安全事故案例，引导大家设身处地的对具体案例进行剖析，这样员工参与培训的积极性就会被充分调动，培训效果自然就会好许多。四是强化可操作性。为了让网络安全防护落到实处，单位可以积极向相关员工培训一些安全工具的操作方法，让他们可以熟练利用这些安全工具，对单位中的重要数据或网络传输进行有效地监控管理，同时还应培训一些数据安全防护工具的用法，确保单位重要数据在网络访问过程中遇到安全威胁时能够化险为夷。例如，通过一些安全工具，定期或不定期地对单位重要应用系统进行安全检查，通过频繁安全检查，可以及时发现数据存在的安全隐患，堵塞单位应用系统的安全漏洞，消除可能存在的不安全苗头。

节点很关键 内容多宣传

对员工进行网络安全方面的培训，最好是在“违反时刻”和“使用时刻”进行。如果单位员工随意将重要数据发布到局域网或因特网上，从而违反了安全管理制度，这时候对他们进行安全培训学习最有效，让他们深刻意识到怎样合理地保护单位网络的重要资源或确保网络访问安全。倘若严重违反了网络安全管理制度，及时告知员工的主管领导，以便采取适当的惩罚措施。

加强员工在关键节点或特殊时刻的网络安全管理制度方面的意识培训，能够有效减少、甚至消除大部分意外或非故意发生的网络安全事件。所以，已知要访问重要数据的所有员工，都应当接受单位重要数据网络安全管理制度方面的培训学习，这样一来，员工们不但要为自己上网使用或访问重要数据负责，还有利于相互监督，确保每位员工都在遵守这些安全管理制度。

通过网络处理单位重要数据的员工，常见的无意而有安全威胁的操作或许比较多，比方说，通过网络电子邮件将重要数据分享给局域网之外的上网主机，以达到网络协同工作目的，通过USB设备将重要数据带出局域网等等。之所以会有这么多的网络安全违规操作，主要是单位员工在网络安全保护方面的意识还不够。

有鉴于此，必须在平时加强对员工网络安全培训内容的反复宣传，让员工意识到自己的哪些网络操作是违规的或有安全威胁的，以及在发生了违规操作后应该采取什么样的措施，来弥补可能发生的一些安全损失。比如，反复宣传的培训内容，可以包含员工怎样安全地打开网络电子邮件附件，来防止网络病毒的潜在威胁，可以包含员工如何设置高强度复杂密码来确保账号登录操作的安全，可以包含员工如何定义重要数据的访问权限，以避免普通用户的随意访问。

而且，反复的宣传网络安全培训内容，也能让单位员工转变观念，认为员工自身是单位的重要安全资产，而不是所谓的安全负担。当单位员工认为自己在保护网络安全方面的警觉性，与满足工作目标方面的警觉性同样强，他们就会成为对单位重要网络安全计划而言非常宝贵的资产。

通过不断的宣传学习和意识加强计划，认清各种网络安全事故带来的成本，同时熟悉采取哪些措施来预防网络安全威胁，员工们就不会担心所面临的网络安全威胁挑战了。