每个企业的安全负责人都面临过同样的难题：纵使不断增加在复杂安全技术上的投资，针对企业的网络犯罪仍在持续上升。诚然，世上没有绝对的安全环境，但绝大多数企业宁愿花重金在安全技术和产品上，也不愿在全员信息安全意识教育上有所投入，黑客往往能够采用最低的成本，从企业最薄弱的人员突破，使得企业的安全防线如同虚设。由此可见，从容易被管理者忽视 的企业内部员工安全意识着手，定期进行安全意识培训和模拟社会工程演练才是根本上降低企业安全风险的最优方案。

今年Verizon的《2020年数据泄露调查报告》显示，网络钓鱼仍是社会工程和恶意软件最常用的攻击手段和载体。根据国内全网监测评估，2019年， 全国企业邮箱用户共收到各类钓鱼邮件约344.3亿封，相比2018年收到各类钓鱼邮件的204.3亿封增长了68.5％。2019年全国企业邮箱用户收到的 钓鱼邮件数量约占企业级用户邮件收发总量的5.3％，平均每天约有0.9亿封钓鱼邮件被发出和接收。

这里引入一个我们钓鱼系统中常用的概念“钓鱼邮件中招率”表示员工收到钓鱼邮箱后，做出点击链接，扫描二维码和下载附件等危险操作的倾向。这里我们通过将风险转化为可衡量的术语和数值，方便企业领导者识别与排列人为风险优先级，从而有针对性地对症下药。