研究表明，95% 的网络安全漏洞都是人为失误造成的。不幸的是，这也是最难纠正的问题——与其他漏洞不同，你不能仅仅向人们的大脑上传补丁来解决这个问题。你能做的最好的事情就是安排一些网络安全培训，但对一些人来说，这些课程根本无法持久。

但是，有一种久经考验的方法可以解决这个问题，那就是将你的培训游戏化。在本文中，我将介绍什么是游戏化，并解释如何将其应用于你当前和未来的网络安全培训。

什么是游戏化？

游戏化是指将类似游戏的元素（例如积分和奖励）添加到非游戏任务（例如教育或工作）中。这会使原本无聊的任务变得更有趣，因此人们会更投入并更有动力参与其中。简而言之，常规任务变成了令人兴奋的挑战。

以面向技术人员的教育平台 Pluralsight Skills 为例。通常，学习新技能可能是一件非常令人头疼的事情——死记硬背和重复。然而，Pluralsight 已将其平台游戏化，使用每周目标、徽章和排行榜来吸引用户。一个例子是Pluralsight 移动应用中的Stack Up 游戏。

另一个这样做的很好的例子是语言学习应用程序 Duolingo，它为用户提供了可供遵循的路径和可供收集的宝石，真正使整个过程变得像游戏一样！

虽然游戏化几乎可以应用于任何任务——销售、医疗保健、入职、回收——但教育无疑是应用它的最佳领域之一。这包括您的网络安全意识培训！

游戏化是一种行之有效的成功策略

游戏化的伟大之处在于，在 2023 年，它已经成为一种常见的模式。许多研究表明，它是一种有效的学习方法，包括网络安全：

• 游戏化使培训课程的用户参与度提高了 60%

• 实施游戏化培训的公司员工生产力提高了 43% 

• 研究表明，当用户接受游戏化的网络安全意识培训时，他们会对密码安全等基础知识有更深入的了解

游戏化如何应用于网络安全

您可以通过三种方式将游戏化应用到您的网络安全培训中：使用现有的培训平台、将现有的材料游戏化或举办新的游戏式活动。每种方法都有其优缺点，因此您可能需要混合使用这些方法。

1. 使用游戏化的训练平台

采用现成的解决方案进行网络安全培训有许多好处：

• 一切都是内置的：您不必自己想出游戏化的东西，例如建立排行榜、徽章或跟踪进度。

• 交钥匙且用户友好的界面：这些解决方案设计为即插即用，可轻松在整个组织中推广。

• 标准化、专家培训：培训由网络安全领导者制定，他们通常将其模块与行业标准和法规保持一致，并了解最新的威胁。

• 按需远程学习：用户可以按照自己的节奏学习，而不必参加固定地点的研讨会。

• 认证：如果员工想要获得认可的认证，通常可以为用户提供获得认证的途径。

• 跟踪：根据平台，您可以分配课程并单独跟踪其进度。

这一切听起来都很棒！那么缺点是什么呢？ 

• 金融投资：这些平台通常不是免费的，因此您需要考虑到这一点。

• 一般材料：如果您的公司有特定需求或弱点，一般的学习模块可能无法涵盖这些需求或弱点。

何时使用此方法

游戏化培训平台非常适合在中大型企业中提高网络安全意识。这些类型的组织有足够的预算，并且拥有更大的员工基础，可以从标准化培训中受益。拥有工作繁重的 L&D 和 IT 团队的组织也能从这些解决方案中受益匪浅。

这些平台还非常适合为中级和高级网络安全专业人员提供提升技能的途径，以便他们进一步提升知识和职业。如果您正在努力培训或留住网络安全专业人员，为他们提供此类平台对他们和企业都有好处。

2. 将现有的培训材料游戏化

当游戏化培训平台无法满足您的需求，或者您的预算有限时，您可以将自己的培训材料游戏化。这也不是那么难！

积分和奖励制度

为不同的培训模块或测验问题分配分值。员工可以通过完成任务或正确回答问题来积累积分，积分可兑换小礼物，如礼品、贴纸、硬币或数字团队徽章。

徽章和成就

用数字徽章奖励完成某些模块的员工，例如“网络钓鱼预防”或“密码最佳实践”。 

排行榜挑战

引入排行榜，培养员工之间的良性竞争精神。随着员工在培训模块中取得进步、获得徽章或在测验中取得高分，他们在排行榜上的排名也会提高。月度或季度冠军可以获得表彰和小奖。

现实世界的任务

发送模拟钓鱼邮件，并奖励那些将其标记为可疑的人。将其视为“真实世界的任务”，并为成功检测的人提供徽章。

抽认卡和微学习

游戏化包括模拟游戏！创建员工可以在休息期间快速浏览的闪存卡或微学习模块。通过结合积分系统、时间挑战或同伴挑战将这些资源游戏化，使学习变得简短而有效。

制作自己的游戏

这可能是最耗费资源的解决方案，但肯定是有效的。如果您有能力创建“选择自己的冒险”式解决方案（也许使用相当简单的游戏制作工具，例如Twine），您可以构建自己的内部游戏化培训资源。

案例研究：新南威尔士州政府如何利用游戏化

在澳大利亚，新南威尔士州政府曾遭遇过不良分子针对其行为弱点（例如忙碌和专注于工作）的攻击。他们开发了一款名为“Tour de Phish”的内部培训游戏来强化其网络安全知识。

其结果非常积极：

• 完成 Tour de Phish 后，所有用户（100%）都对识别网络钓鱼电子邮件更加有信心。

• 与在线课程或面对面研讨会相比，89% 的用户更喜欢它

• 92% 的用户只是喜欢玩游戏

何时使用此方法

将现有的培训材料游戏化是一种经济实惠且适应性强的方式，可以为您的网络安全教育计划增添趣味，尤其是对于规模较小的机构或精打细算的机构而言。此外，如果您的组织面临现成平台无法解决的独特网络安全障碍，那么 DIY 培训材料可以帮助弥补这些差距。 

请注意，要使这种方法奏效，您需要内部专业知识来制作和维护这些游戏化元素。您还需要留出时间来维持它们并创建网络安全意识文化。

3. 举办类似游戏的活动

打造生动活泼的网络安全文化有时需要跳出传统培训的思维框架。举办类似游戏的活动是一种富有想象力的方式，可以让您的网络安全培训保持新鲜感和吸引力。您可以采用以下方法实施此方法：

网络安全竞赛

定期举办“夺旗战”(CTF) 挑战赛，让团队或个人在友好的环境中竞争，解决现实世界的网络安全挑战。这些挑战包括识别网络中的漏洞、应对模拟数据泄露或解决加密难题。 

竞争精神可以激发人们在实用而愉快的环境中学习和应用网络安全概念的热情。Pluralsight 的内部安全团队和内容创作团队全年参加 CTF 挑战赛以提高技能，这是一项非常成功的举措。

密室逃脱场景

设计网络安全密室逃脱场景，让团队必须解决网络安全难题才能“逃脱”模拟威胁或防止模拟数据泄露。这种亲身实践、压力驱动的环境既有趣又有教育意义，有助于以令人难忘的方式巩固网络安全概念。

寻宝游戏

创建一个寻宝游戏，员工需要在其中找到并解决工作场所内的网络安全挑战。

黑客马拉松

组织黑客马拉松，让员工齐心协力解决网络安全挑战或开发新的安全解决方案。除了促进对网络安全原则的更深入了解外，黑客马拉松还鼓励创造力、团队合作和创新。

角色扮演游戏 (RPG)

开发角色扮演场景，让员工在网络安全事件响应团队中扮演不同的角色。这些角色扮演游戏可以帮助个人了解网络安全团队中的各种职责，以及协调努力在管理网络威胁方面的重要性。

何时使用此方法

游戏式活动非常适合具有持续学习文化和喜欢竞争的组织。当您想加深对网络安全概念的理解、鼓励团队合作并促进积极主动的网络安全文化时，它们尤其有用。

此外，这些活动提供了更实际、更实用的网络安全培训方法，这对于让您的团队做好应对现实世界网络威胁的准备非常有价值。它们还为个人提供了一个机会，让他们将培训中学到的知识应用到更具活力和现实的环境中。

结论：最好的方法是以上所有！

如果您想在组织中创建真正强大的网络安全文化，请结合使用上述解决方案。通过使用游戏化的平台、游戏化的现有材料和类似游戏的活动，您可以创建一个强大且引人入胜的网络安全培训计划。 

这些游戏化方法都迎合不同的学习风格和组织需求，从而可以创建既有效又有趣的全面网络安全教育计划。通过营造有趣且互动的学习环境，您不仅可以提高网络安全意识和技能，还可以创造一种持续学习和改进的文化，这在快速发展的网络安全世界中至关重要。

想要开始使用游戏化的学习平台吗？

Pluralsight Skills为各个级别的学习者（初学者、中级或专家）提供完全游戏化的学习体验，提供每周目标、徽章和排行榜以保持他们的参与度。它有数千个按需、专家指导的课程以及动手实验室、测验和技能智商测试。它非常适合提高您组织的网络安全意识。注册10 天免费试用，无需承诺即可试用