<aside> 📌
不论您目前处于哪个学习阶段、或者有或没有任何行动预案,都不重要,只要您愿意开始保护自己,我们建议您从S01开始。
前线社区培训工作也应从S01开始。
</aside>
多年来在全世界范围内进行安全培训工作的人们都有一个共同的挫折,即苦于可持续性的不足。其中最突出的有两点特征:
1、很难持续地维护 —— 众所周知,随着周边和用户自身环境变化,应对策略也需要随之更新;并没有持久有效的安全策略,也没有适用于所有人的通用安全策略,更新越及时和准确,保护性就越高。
如果只有专业人士能提供并维护更新,资源耗费是显著的,且实用性并不能确保到每个人。
这就是为什么作为普通用户,一方面您经常会感觉谷歌到的热门安全建议似乎“不怎么适合”自己;而另方面,有不少多年前制作的安全教程内容相当细致,但大多已经过时,后期缺乏维护,已经不能提供帮助。非常可惜。
<aside> 💡
所以,培训工作的首要目标应该是培养学习者全方位的自主性 —— 从风险评估、威胁模型、技术逻辑、到安全方案策划和适时更新 —— 而不是背诵安全工具列表。
</aside>
2、多数用户难以坚持安全操作 —— 几乎所有安全操作都在一定程度上不那么“便捷”,它要求用户对常规使用习惯进行足够的改变。
于是,能坚持采取安全策略的人基本都是已经了解如何更新策略的人,也就是从原理层面熟知其必要性的人。反之则不会。这就是为什么培训结束后没多久,很多学员又回到了以前的操作习惯,尤其常见于新学员。培训工作的能效水平很低。
<aside> 🔑
所以,安全培训不应该是一个“单独”的项目 —— 不能让学员将其视为“额外的标准”;它需要能结合到具体的战略中,成为战略部署的一部分。培训教材应该突出安全思维的框架和原理,便于不同社区在采用时可以将教材进一步本地化处理,以贴合具体需要。
</aside>
这就是S01教程所致力于的。通过采取一种全新的安全视角 —— 整体视角 —— 以最大程度上缓解上述问题。
尤其,S01教程不仅仅是一套基础训练,更重要的是它作为一套思考方式,可帮助本站中其他主题教材的学习更加容易。尤其对初学者来说。始终都是安全思考方式在指导安全操作。
IYP在相关工作中得出的主要经验可以大致总结为两条:
1、通过预示(而不是硬性指令)会有很大帮助 —— 与其一上来就组织教学工作,倒不如直接营造一个理想的空间,邀请大家“生活中其中”,在“生活”过程中找到“我们还需要学习、完善、提升”哪些部分,再针对性地教学。
“理想空间”可以是虚拟的,也可以是实体的,根据您的需求和具体条件;还可以是局部的/模拟特殊环境的,就像演习。这对社区新成员更有效,新人缺少实战经验,而实战经验大多属于隐性知识,言语描述总有欠缺。身临其境可能更容易激发学习者的主动思考。
这点在“心理安全”和人际结构安全两方面同样有效。
2、将安全纳入社区/团队文化成为其基础的一部分,远超过刻板的规范和考核流程 —— 就像洁净作为美德的文化环境那样,在您的团队中推崇安全操作的素养作为美德将是很有帮助的。
不要高高在上,尽可能不要说教,即便您的确是拥有丰富经验的资深人士。我们所注重的培训工作与通常意义上“教育”工作有一些区别,后者始终是自上而下的,且存在所谓的正确答案;培训则在很大程度上是横向的,培训师和学员彼此是战友关系 —— 为同一战略而共同努力。因为“安全”必须通过合作来实现;每个人越是深刻体悟共识合作的意义,我们所有人的安全程度就越高。
总之,本教程是一个主体框架,即不论您从哪个角度或层面上进入安全性培训和学习时,首先需要掌握的部分。