網絡安全行業長期以來最大的誤區是將“人”看作是體系中最薄弱的環節，試圖用技術來壓制或修復“人的漏洞”。

根據Verizon的《2023年數據泄露調查報告》，2023年68%的網絡攻擊事件由“人為因素”導致，雖然比2022年的74%有所下降，但仍是最主要的威脅來源。然而，專家指出，以“技術壓制人為失誤”的錯誤思路并未幫助企業實現真正的網絡安全能力提升。

什么是網絡安全的“以人為本方法”？

為擺脫困境，美國國家標準與技術研究院（NIST）提出了一種全新的“以人為中心的網絡安全”（Human-Centric Cybersecurity，簡稱HCC）理念，強調以用戶為核心，從設計到實施都充分考慮用戶需求和行為習慣，激勵安全行為。

NIST定義的HCC大致包括員工對網絡安全的態度、安全意識培訓、安全產品的可用性以及政策的制定。

HCC的目標不僅在于技術解決方案，更在于改變網絡安全文化，通過對用戶友好的安全設計與政策，使員工成為企業網絡安全的合作伙伴，而非負擔。

讓人成為安全體系的核心

HCC并非僅僅強調用戶友好，而是要讓“人”成為安全體系的核心。NISTHCC項目負責人朱莉·哈尼指出：“如果不考慮人的因素，安全解決方案就難以使用，員工會傾向于犯錯、作出冒險決定，甚至采用不安全的變通辦法，只為完成工作。”

為推動HCC發展，NIST最近成立了“以人為中心的網絡安全利益社區”，匯集實踐者、學者和政策制定者，共同探討如何讓網絡安全變得更有效且更具用戶友好性。與此同時，企業領域也在采納HCC理念。

根據Gartner的預測，到2027年，50%的大型企業首席信息安全官（CISO）將采用以人為本的網絡安全實踐。Gartner提出的安全行為與文化計劃（SBCP）將HCC提升為頂級網絡安全趨勢，主張通過模擬威脅、自動化工具和數據分析來幫助用戶作出安全決策，同時獎勵員工報告潛在的安全事件。

Gartner高級分析師維多利亞·卡森強調：“人不是靜態的對象。他們的行為、需求和動機都在變化。以人為本的網絡安全需要滿足員工的這些需求，而不是單純地告訴他們該做什么。”

SBCP的主要步驟包括威脅模擬、添加自動化和數據分析以幫助用戶做出安全選擇、獎勵報告潛在安全事件的員工以及跟蹤指標以證明SBCP的實際效果。根據Gartner的數據，近一半專注于SBCP的公司正在采取上述每一步。

最大限度地減少網絡安全引發的摩擦不僅可以改善公司的安全態勢，還可以減輕傳統對抗性工作帶來的壓力。Gartner預計，一半的網絡安全領導者將在2023年至2025年期間換工作，其中四分之一的離職者實際上是由于壓力而永久離開該行業。

傳統安全意識培訓的進化方向

傳統的安全意識培訓主要依賴年度或季度課程，但這種模式往往只是“走過場”，未能真正解決員工行為背后的根本問題。Gartner的PIPE框架（實踐、影響、平臺和支持）提供了更全面的解決方案，例如利用身份與訪問管理（IAM）工具、生成式AI和行為分析技術，提升用戶的參與度與安全行為的效率。

此外，新的“人員風險管理”（Human Risk Management）服務成為HCC實踐中的重要產品類別。這種服務超越了傳統的安全培訓，將重點放在教育員工的同時，通過行為分析減少風險。例如，通過追蹤重復錯誤的員工行為，不是懲罰，而是識別培訓不足或流程問題，從而推動改進。

改變文化：將“最弱環節”轉變為“合作伙伴”

員工擔心自己可能成為網絡攻擊的“漏洞”。根據安永會計師事務所的調查，34%的員工擔心自己的行為會讓企業暴露在風險中。NIST指出，企業應將這種擔憂轉化為積極的行動支持，而非簡單地在安全事件發生后責怪員工。

“如果有人點擊了釣魚鏈接，組織往往把所有責任歸咎于員工，卻忽視了企業在流程、政策甚至工具方面可能存在的問題，”哈尼表示。她建議，網絡安全團隊應努力與員工建立合作關系，通過對話發現問題，賦予員工報告權限，從而更早地發現潛在風險。

“以人為本”成為網絡安全的核心支柱

美國政府2023年底發布的《聯邦網絡安全研究與發展計劃》將HCC列為優先事項，強調減輕人類在網絡安全中的負擔并提升技術的可用性。這不僅表明了政策層面對HCC的支持，也凸顯出企業需要加速行動的緊迫性。

總之，“以人為本”將不僅僅是網絡安全的補充理念，而會成為其核心支柱。通過更好地理解用戶行為，設計友好的安全工具，并構建支持性文化，“以人為本”有望成為未來網絡安全發展的重要驅動力和關鍵支點。