文章总结： 本文探讨了网络安全意识教育的新方法，包括模拟和游戏化。反钓鱼模拟虽能短期降低点击率，但可能引发信任危机或导致员工过度谨慎。CTF等游戏侧重专业人员，桌面游戏适合全员。基于Fogg行为模型，这些工具需作为长期行为改变计划的一部分，而非一次性干预，以实现真正的行为转变。 综合评分： 86 文章分类： 安全意识,安全培训

网络安全知识体系1.1人为因素（八）：网络安全意识和教育——支持安全意识和行为改变的新方法

祺印说信安

2026年2月6日 05:44 河南

以下文章来源于河南等级保护测评 ，作者河南等级保护测评

河南等级保护测评 .

等级保护，不只是等级测评！一起探讨更全面的等级保护制度！ 做对用户有真实价值的网络安全服务，等级保护测评、风险评估、网络安全培训、网络安全咨询、网络安全合规。 传播网络安全知识，分享网络安全政策，共建风清气正的网络安全氛围。

4.1 支持安全意识和行为改变的新方法

越来越多地使用模拟和游戏，以使安全意识更具吸引力，并有助于更复杂的教育措施和行为改变。

旨在教导员工不要点击可疑链接的反网络钓鱼模拟可能是当今组织中使用最广泛的。它们的受欢迎程度源于它们提供了衡量干预影响的能力，并且它们往往会在短期内显示点击率下降。论点是，被钓鱼的经历是一个“可教的时刻”，可以吸引员工的注意力并说服他们

图 3：RISCS 白皮书 中的行为改变模型

通过所提供的教育工作。但是，最先引入“触发时刻”概念（在最新的 Fogg 行为模型中称为鼓励（提示），参见图4 ）的 Fogg 非常清楚，只有当人具有足够的水平时，它们才会导致行为改变参与所提供培训的动力，以及应用所教授技能的能力。Joinson 认为，社会工程攻击者使用的某些情绪和上下文触发因素非常有针对性和强大（例如，声称在工作日结束前不久有关于交通或公共交通中断的信息的通知），它们无法通过培训来预防。

从人为因素的角度来看，反网络钓鱼模拟可能存在问题：1）因为员工可能认为这是受到他们自己的组织的攻击，这会降低信任和2）他们可能会导致员工变得非常不愿意点击链接他们不会对可能很重要的真实电子邮件采取行动。在任何此类模拟的设计中都需要仔细考虑这些因素。此外，正如我们上面所讨论的，使用DMARC等机制可以减少用户需要关注的可疑电子邮件的数量，从而使教育和培训能够面向解释社会工程和操纵技术。

图 4：Fogg 行为模型具有三个因素：动机、能力和触发器

| | | — | | 安全意识游戏Capture The Flag (CTF) 游戏旨在提高对漏洞以及如何利用漏洞的意识。这个想法是，通过了解他们如何利用漏洞来攻击系统，防御者学会了不将它们合并到他们自己的系统中。但是，重点是培训那些负责保护组织的人员，而不是更广泛的用户和员工。 有一些桌面纸牌游戏旨在为组织内更广泛的用户群提供安全意识，例如 Ctrl-Alt-Hack 、dox3d！a和其他专门针对ICT专家和开发人员，例如 Microsoft 的微软特权的提升。还有一些棋盘游戏旨在由工作组玩，以提高对网络安全威胁和网络风险决策复杂性的认识，例如决策和中断。如果在团体环境中玩，所有这些游戏都具有提供社交学习体验的潜在优势。但是，如果将它们作为一次性练习提供，它们不太可能产生持久的效果。 总体而言，游戏和模拟具有提供引人入胜的新元素的潜力，这些元素可以部署在行为改变模型的不同阶段（见图3），但它们需要成为计划的行为转变计划的一部分，而不是一次性干预。 |

网络安全知识体系1.1人为因素（一）：了解安全中的人类行为

网络安全知识体系1.1人为因素（二）：可用的安全性——基础

网络安全知识体系1.1人为因素（三）：可用的安全性——目标和任务

网络安全知识体系1.1人为因素（四）：可用的安全性——交互上下文

网络安全知识体系1.1人为因素（五）：可用的安全性——设备的功能和限制

网络安全知识体系1.1人为因素（六）：人为错误

网络安全知识体系1.1人为因素（七）：网络安全意识和教育

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 《网络安全知识体系1.1人为因素（八）：网络安全意识和教育——支持安全意识和行为改变的新方法》