2026-01-08 02:04:28 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档解读2025年网络安全意识培训现状，指出尽管近99%组织遭受人为失误导致的安全事件，现有培训仍因枯燥及投入产出比低而效果不佳。报告建议引入AI驱动的个性化与即时性培训方案，以解决维护繁重及成效难量化问题。数据显示78%组织计划采购此类工具以提升安全态势。 综合评分： 88 文章分类： 安全意识,社会工程学,安全建设

cover_image

《2025 网络安全意识培训现状》报告解读

原创

HardyXie

超安全

2026年1月7日 12:31 河北

前言

明智地投资于员工网络安全意识培训，对于有远见的企业安全领导者而言，可以带来可观的回报。当今最流行的网络攻击手段-例如网络钓鱼、社会工程学攻击以及商业电邮诈骗(BEC)等- 大多依赖于欺骗他人才能得逞。毕竟，人们难免会犯错，尤其是在疲惫、紧张、焦虑或单纯出于好心想帮人一把的时候。早在现代信息技术出现之前，诈骗分子就早已利用社会工程学在生活中制造恐惧或紧迫感，诱导受害者采取行动。将这种手法带入数字领域，并未改变其本质上具有欺骗性的特点。

另据安全厂商Abnormal发布的《电子邮件威胁报告》显示，攻击者最常通过电子邮件威胁锁定目标，近77%的高级网络攻击都是以网络钓鱼为起点的。此类手段因具有规模可扩展性、实施成本低、以及绕过技术防御成功率高等特点，因此成为网络犯罪分子的首选攻击策略。虽然，强大的电子邮件安全解决方案能拦截大多数钓鱼攻击，但没有任何技术是万无一失的。仅凭技术手段很难御此类以“人”为目标的攻击。企业必须采取“多层防御”措施，培养和提升员工识别各类网络钓鱼攻击迹象的能力，对降低安全风险具有重要意义。

员工安全意识培训在企业级网络安全防御中发挥着重要作用，可以降低人为因素安全风险，促进构建“安全为先”的组织文化。但很多组织实施的安全意识培训实际上收效甚微：或是培训内容无法真正吸引员工参与，或是员工感觉与工作关联性不强，或是实施频率过低难以对员工行为习惯和组织文化产生实质性影响，亦或是培训仅仅是为了满足合规要求而存在。

关键数字

Abnormal 《2025 网络安全意识培训现状》报告结果基于对来自美国和英国的300多名安全领导者和从业者的调研。其中超过三分之一(34%)的受访者在其组织中担任首席信息官、首席技术官、首席信息安全官或IT/安全副总裁职务。大多数受访者(60%)担任安全或安全意识培训领域的总监、经理或团队负责人。他们所在组织的规模从1,000名员工到25,000名员工不等，覆盖众多行业领域。

通过该报告，读者将了解到安全与IT专业人员如何看待安全意识培训，他们是如何制定安全培训改进策略的，以及如何实现培训投资回报最大化，最大限度地减少人为错误与风险。该报告揭示的几组关键数字如下：

100% 的受访者表示改进安全意识培训计划是未来12个月的目标之一；
99% 的受访者支持将人工智能安全纳入员工年度安全意识培训计划；
99% 的受访者表示，其所在组织在过去一年内发生过可归因于“本可避免的用户操作”而导致的安全事件；
98% 的受访者认为，能够根据每位员工的风险特征和过往行为，提供情境相关性高且及时的针对性安全意识培训，并定期开展钓鱼模拟演练，将显著提升组织的整体安全态势；
83% 的受访者表示，其组织当前的安全意识培训工具/平台需要投入大量精力进行操作和维护；
53% 受访者认为，实施和维护安全意识培训计划所付出的时间精力与收获不成比例，似乎并未产生预期的效果；
40% 的受访者表示，市场上缺乏有效的解决方案是其组织无法成功实施安全意识培训计划的主要原因之一。

安全意识培训真得奏效吗？

根据Gartner Peer Insights的一项调查,近75%的组织要求员工每季度至少完成一次安全意识培训课程模块的学习。然而，只有少数组织持续实施了培训计划，而且其中很多只是为了满足法规合规、监管审计或网络安全保险的要求。

尽管企业普遍实施了员工安全意识培训计划，但能够有效影响和改变员工风险行为的寥寥无几。员工普遍认为安全意识培训内容枯燥乏味、与实际脱节或陈旧过时，员工往往因视其为强制性而非有价值的任务而选择充耳不闻。鉴于威胁行为者极易针对人为因素发起攻击，这为当今企业安全防线埋下了重大隐患。

问卷1：贵组织过去一年发生的安全事件中，约有多少可归因于“本可避免的用户操作”？

因“本可避免的用户操作(AUA)”导致的安全事件屡见不鲜。几乎所有(99%)受访者表示，其所在组织在过去一年内曾遭遇本可避免的安全事件，且这些事件均可归因于终端用户操作—例如点击钓鱼邮件中的恶意链接或附件。

问卷2：贵组织目前采用了哪些策略或工具来培训员工，或对其进行安全制度与实践的考核？请选择所有符合项。

为降低这些人为因素风险及其引发的安全事件，组织正通过开展安全培训使员工掌握网络安全最佳实践，并运用各类工具测试员工的安全意识水平与应急响应能力。最常用的方法包括钓鱼邮件模拟演练（81%的组织采用）、基于安全意识主题的培训模块（80%采用）、以及基于电子邮件的提示或提醒（71%采用）。一些最有效的培训策略仍未得到充分采用，如即时性培训(JIT)、基于岗位角色的培训，以及游戏化培训。

问卷3：请描述您对以下每项陈述的认同程度。

尽管安全意识培训工作开展得十分广泛，其降低人为因素风险的效果也未必能达到利益相关者的期望。许多团队发现这些项目难以管理—83%的受访者认为，其组织当前的安全意识培训工具/计划需要投入大量精力进行操作和维护，但这些努力往往收效甚微。近半数(49%)受访者认为现有安全意识培训工具/计划的成效微乎其微，这种质疑在专门从事安全意识培训工作的受访者中尤为普遍。

安全意识培训计划投入与预期成效不匹配的原因有多重。关键因素之一在于：员工常常试图规避培训，参加培训只是走走过场，这极大削弱了培训的预期有效性。利益相关方质疑安全意识培训计划价值的另一原因在于：其降低人为因素风险的成效难以量化评估。

揭开安全意识培训计划的真实影响

衡量安全意识计划的有效性已成当务之急，然而，对于网络安全和风险领导者来说，这仍是一个棘手的难题。传统的度量指标，比如有多少员工在钓鱼模拟演练中中招，或有多少员工完成培训模块并通过考试等，只能勉强作为反映组织对真实网络攻击易感性的参考。而要找到更好的安全意识培训有效性评估方法，并付诸实践，并非易事。

问卷4：贵组织使用哪些指标来衡量其安全意识培训工作的投入与成效？请勾选所有适用项。

当被问及使用哪些指标衡量安全意识培训效果时，受访者表示最常采用的是钓鱼模拟演练指标(71%使用此方法)，其次是员工问卷调查(69%)，列为第三的评估指标是安全意识培训前后钓鱼事件的降低率。尽管钓鱼模拟演练能提供一些短期的参考，但其结果并不能很好地衡量长期行为变化或现实世界中的钓鱼风险。另外，由于员工往往意识不到自身认知盲区，问卷调查等反馈形式也无法准确反映安全意识培训的成效。

问卷5：您对现有安全意识工具/平台的使用满意度如何？

大多数调查参与者对当前安全意识培训工具/平台的表现总体满意，但与他们所在组织发生的大量可预防/可避免的安全事件或违规事件并不相符。约60%的受访者表示其现有安全意识解决方案的配置和部署能力较强（尽管开展钓鱼模拟演练及分析报告通常需要耗费大量人力）。然而在一些方面，担任安全意识培训岗位的受访者对其所在组织的表现不如整体平均受访者乐观。例如58%的安全意识专业人员表示对员工个体风险的可视性不足。此外，58%的专业人员表示当前创建培训新内容的能力不足。这些差异表明，实际应用安全意识解决方案(经验更丰富的)受访者可能比普通受访者更清楚其局限性。

问卷6：哪些因素是导致贵组织安全意识培训计划成效不佳的主要原因？请选出三项。

实施高效的安全意识培训计划所需投入的时间和精力，是阻碍组织取得成功的最大障碍。高达50%的受访者将安全意识培训计划的工作强度和劳动密集度列为影响其成功的首要因素。另有相当比例(40%)的受访者指出市场上缺乏有效的解决方案。近三成(39%)受访者指出，无法持续更新培训内容导致安全意识培训计划滞后而效果不佳。担任安全意识相关岗位的受访者比普通受访者更有可能(75% vs. 38%)认为：安全意识计划的成效与价值难以量化，是制约成功的关键因素。

改进策略

受访者们几乎都认可安全意识培训计划所能带来巨大的价值，但在大多数组织中，这种价值尚未充分开发和实现。所有受访者均表示，改进安全意识培训计划是其所在组织下一年度的安全目标之一。

问卷7：贵组织在未来12个月内提升安全意识培训计划的三大优先事项是什么？请选三项。

尽管超过三分之二的受访者(71%)未将“人员配备不足”列为阻碍成效的首要因素，但增加安全意识专业人员配备却是提及率最高的优先事项。其次是开发更具针对性的安全意识培训(49%提及)。相当多数受访者(78%)计划在未来一年内采购新型AI驱动的安全意识解决方案，用于补充现有安全意识平台/工具或直接替代现有系统。综合来看，这些发现表明有相当多的组织已准备好投入人力与技术资源，以提升其安全意识培训计划的计划的效率和效果。鉴于网络安全人才严重短缺仍是现实（尤其缺乏专攻安全意识培训的专家），这种AI驱动模式将为采用者创造显著价值。

问卷8：你理想中的安全意识培训解决方案应具备哪些最重要的能力/特征？最多可选四项。

受访者深知需要更好地吸引员工参与安全意识培训计划的重要性。当询问他们认为哪些能力对改进安全意识培训解决方案最为重要。主要反馈包括：引人入胜的内容（59%提及）、个性化培训（即针对不同岗位员工的定制化内容）（51%提及）、以及组织定制化内容（44%提及）。

安全意识专业人员对以下功能表现出显著兴趣：组织定制化内容、即时纠正风险行为的培训(JIT)、个性化培训内容的自动化生成，以及根据员工风险评分定制培训方案。个性化定制培训内容确保针对最相关的风险进行教学，而即时性培训则能在员工最需要学习的时刻，精准传授其最迫切所需的知识。毕竟，真正激发员工参与感才是为员工赋能，帮助他们学习并长期保持所学安全知识的最佳途径。

问卷9：请描述您对引入AI驱动的安全意识解决方案的期待。

98%的受访者认同：配备能根据员工风险特征和历史行为，提供情境相关且及时培训的钓鱼模拟攻击演练解决方案，将显著提升组织的整体安全态势。人工智能是安全意识培训计划的关键环节，也是普遍缺失的一环。

99%的人赞成/期待利用人工智能自动生成和管理培训活动和工作流程
95%的人赞成/期待利用AI自动化生成培训视频课程（从而无需人工操作）
95%的人赞成/期待基于员工个人档案自动生成定制化攻击模拟（而非仅提供通用模板）
95%的人赞成/期待运用大语言模型开展对话式辅导作为安全意识培训环节
96%的人赞成/期待利用AI根据员工历史行为及攻击类型动态生成风险评分

结语

尽管组织持续投入资金提升安全技术能力，以“人”为突破口的社会工程学及网络钓鱼攻击依然能屡屡得手。为降低风险，必须在技术防御基础上辅以一套强有力的安全意识培训计划，但当前大多数培训计划的效果远未达到应有的水平。面对收件箱里无休止的邮件和日程表上接踵而至的会议，员工们鲜少觉得自己有足够的时间和精力来认真对待安全意识培训。业务节奏越快，工作压力越大，就越难以指望人们能长期记住安全意识培训模块中的知识要点。

问题不在于缺乏努力或投入，而在于方法论与想象力的匮乏—利益相关方尚未预见到AI驱动的安全意识解决方案能带来的颠覆性变革。真正有效的安全意识解决方案能够以兼具成本效益和文化变革的方式，降低那些技术手段无法解决的风险（即人为错误）。让我们共同期待“AI+网络安全意识教育”的美好未来。

*该报告内容丰富，对安全意识与文化专业人士、安全意识服务厂商、及安全与风险领导者极具参考价值，欢迎加入超安全文化私享群英文原版报告，深入探讨交流。

欢迎加入超安全文化进化私享群！

私享群定位：超安全文化进化私享群是安全圈唯一一个面向网络安全意识宣贯与培训、人为因素安全风险管理、网络安全文化建设专业人士/研究者/兴趣爱好者的高端社群。
私享群愿景：让“人的因素”不再成为安全短板，让员工成为“最强大”的一道防线，让网络安全文化入脑、入心、入行！

入群方式详见：欢迎加入超安全文化进化私享群，一步领先，步步领先！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：超安全 HardyXie《《2025 网络安全意识培训现状》报告解读》