Uncategorized

最容易忽视的个人信息保护权利

admin

2021年8月20日,全国人大常委会表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。该法明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制……对此,昆明亭长朗然科技有限公司信息安全专员董志军表示:这部专门法律及时充分地回应了社会关切的热点,也让往年面对各种个人信息非法收集、使用、提供、买卖或者公开等活动时,“没有专门的个人信息保护立法”的说辞和借口成为历史。

法律出台后,社会关注的热点问题主要局限在过度收集信息、大数据杀熟的问题,以及滥用人脸识别技术的问题,这些问题当然很重要,尤其与消费者权益保护及公平公正的商业环境密切相关。然而,仅仅局限于社会关注热点的问题并不足够,既然是个人信息保护,视角似乎应该从社会层面转向个人层面,而这就需要让公司在个人信息保护方法“知法”、“懂法”、“用法”。通过海量公民在个人层面的“依法维权”,来驱动社会层面的“执法”和“守法”。唯有这样,法律才会有执行力,法律才会有威严。

四川德阳旌阳区法院审理的那起知名的案件,消费者在火锅店就餐时被要求扫码点餐,消费者认为该店获取的诸如手机号、生日、姓名、通讯录等信息与餐饮消费无关,侵犯其个人信息。法院审理后,判决餐厅停止侵权。该案虽然不是什么大案要案,但是无疑应该成为公民个人信息保护方面的经典普法案例。个人信息保护有一些重要的原则,包括:合法、正当、诚信原则;必要和目的特定原则;适量和最小范围原则;知情同意原则等等。火锅店老板要么不懂法,不知道法规中的这些基本原则,要么心存侥幸甚至漠视这些原则。不管如何,作为个人信息的处理者,您若不懂或不法,个人信息的所有者(公民、消费者)就可以对你采取法律行动。这种法律行动多起来,就会在全社会层面形成一种知法守法的良好法制环境。

需知,这种“依法维权”行动不一定非要严重到“对簿公堂”,公民在日常工作、日常生活中,面对个人信息保护疑虑或问题时,简单的沟通、质疑或向其个人信息处理者提出权利要求,即是正向的能量。那么,公民需知的个人信息保护权利有哪些呢?知情权、同意权,这些是最基本的权利,相信大家都不陌生,包括查询隐私保护政策、个人信息处理规则等文件,点击“同意”,以及对敏感个人信息及出境个人信息的单独同意。如果个人信息处理者没有这些文书和流程,比如某APP收集个人信息却没有这方面的文书告知,或者某网站没有个人信息处理方面的疑问沟通渠道,则是违法无疑,公民可以积极维权。

接下来,就是不为大家所熟知的,个人信息所有者的更正权和删除权,甚至还有可携带权(转移权),如果说知情权、同意权只是“表面工作”的话,那么,更正权、删除权和转移权则是公民在以“实际触摸”的方式履行个人信息的“所有权”。“更正权”好理解,数据主体有权更正错误的个人数据,通常是通过编辑或更新个人信息的等方式来实现。“删除权”的典型场景包括:用户有撤回同意、注销账号的权利,控制者有配合删除其个人数据的义务。“可携带权(转移权)”的意思是数据主体有权要求将自己的数据,转移到另一家数据控制者,数据控制者应当配合。例子包括用户将某服务平台中所有的个人数据打包,转移到另一家竞争者的服务平台中。

在此,我们强烈倡议、大声号召、热切呼吁国民重视个人信息的更正权、删除权和可携带权(转移权),因为这些权利的保障,如果能够得到系统自动化的实施,无疑是给数据处理者(数据控制者、平台、商家等)的一记“重棒”,因为这些才是真正体现处理者尊重用户数据“所有权”的根本核心所在。

说了这么多,我们自己又做的怎么样呢?除了展示“个人信息及隐私安全保护政策”以彰显对用户的知情权、同意权之外,我们的在线学习应用允许学员“编辑个人资料”(更正权),“联系隐私官和进行数据请求”(知情权),还允许学员“导出我所有的个人数据”(转移权)以及“删除我的账号”(删除权)。

非常好的消息是,有一些学员开始主张自己的权利,这种态势非常好,虽然这种既重视个人信息保护,又懂得“维权”的用户占比还比较低。但是有了这个好的开端,我们就有理由相信:关于个人信息的保护,未来不再迷茫,航向已定,前程会越来越文明。

昆明亭长朗然科技有限公司推出了大量的网络安全与保密意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有个人信息安全与隐私保护相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

从邮件逆向解析到智能化时代——筑牢信息安全防线的全员行动

admin

前言:脑洞大开,安全先行

在信息化浪潮的冲击下,企业的每一次网络交互、每一封邮件、每一条数据都像是链条上的环节。若链条的某一环出现裂纹,整体的稳固性便会瞬间失效。为了让大家在阅读中产生共鸣、在案例中看到警钟,我先以“头脑风暴”式的想象,呈现两个极具教育意义的典型安全事件。通过这两个案子,既能让大家感受到“逆向 DNS 与 SMTP Banner 不匹配”背后的危害,也能让我们深刻体会到在智能体化、数据化、无人化的融合环境中,信息安全意识的全员参与有多么关键。

案例一:全球电子商务巨头的邮件“暗箱”

背景
某跨国电子商务平台(以下简称“该平台”)在 2024 年底迎来了“双十一”大促。营销团队通过自动化系统向全球 500 万注册用户发送促销邮件,邮件内容带有专属优惠券链接,预期提升转化率。

问题的根源
该平台的邮件服务器在迁移至云提供商后,并未同步更新其 Reverse DNS(PTR)记录。原本指向 mail.olddomain.com 的 PTR 记录仍保留,而新服务器的 SMTP Banner 却改为 mail.newdomain.com。由于两者不匹配,Gmail、Outlook、Yahoo 等主流邮件服务在接收邮件时触发了“reverse DNS does not match SMTP banner”检查,直接将邮件标记为 高风险,并进入收件人的 垃圾箱阻止列表

后果
投递率骤降:原本 95% 的投递率在数小时内跌至 38%,促销邮件几乎全部失效。
品牌声誉受损:用户在社交媒体上投诉“优惠券邮件根本收不到”,导致品牌美誉度下降。
经济损失:据公司内部财务统计,仅此一轮促销的直接收入损失约 2500 万美元。

分析
1. 技术细节缺失:管理员在更换 IP 地址后,只更新了 A 记录,却忽视了 PTR 记录的唯一性。
2. 监控不足:缺乏邮件投递监控与异常报警,未能在早期发现投递率异常。
3. 跨部门沟通缺口:运维、市场、产品三方未形成统一的变更审批与验证流程。

教训
正所谓“防微杜渐”,即便是看似微不足道的 DNS 记录不匹配,也能在高流量业务场景下酿成巨额损失。企业必须在任何基础设施变更时,严格执行 “DNS 完整性检查 + SMTP Banner 同步” 的双重验证。

案例二:金融机构的“钓鱼邮件”引发的欺诈风暴

背景
2025 年 3 月,一家国内大型商业银行收到内部员工报告,称收到一封自称“风险监控部”发出的邮件,要求员工点击链接更新账户安全设置。该邮件采用了银行内部常用的邮件模板,标题为《紧急:账户异常登录提醒》。

问题的根源
攻击者通过 域名伪造SMTP Banner 伪装,借助公开的邮件中继服务器发起攻击。攻击者的发送 IP 的 Reverse DNS 指向 mail.spamdomain.net,但在 SMTP 会话中,服务器返回的 Bannermail.bank.com,成功欺骗了部分邮件安全网关,使其误判为内部合法邮件。随后,邮件中嵌入的钓鱼网站利用 HTTPS 伪造证书,诱导员工输入银行内部系统的登录凭证。

后果
凭证泄露:约 27 名员工的登录凭证被窃取,攻击者利用这些凭证尝试转账。
内部审计混乱:银行的安全审计系统在异常交易检测上出现延迟,导致部分资金在 48 小时内被转移至境外账户。
合规风险:因未能及时发现并阻断钓鱼攻击,银行被监管机构追责,面临高额罚款与整改期限。

分析
1. SMTP Banner 伪装:攻击者利用邮件服务器的 HELO/EHLO 指令返回伪造的主机名,规避了部分基于 SMTP Banner 的防护规则。
2. 逆向 DNS 检查缺失:内部邮件安全网关仅依赖 PTR 与 A 记录 的对应关系,而忽视了 Banner 与 PTR 的联动检查。
3. 安全意识薄弱:员工对邮件标题与内容的真实性缺乏辨别能力,未能在第一时间报告可疑邮件。

教训
古语有云:“千里之堤,溃于蚁穴”。即便是小小的邮件标题、简单的链接,都可能成为攻击者的突破口。企业必须构建 多层防御:邮件网关要同时校验 Reverse DNS、SMTP Banner、SPF/DKIM/DMARC,并且在员工层面开展 持续的安全意识教育,让每个人都成为防御链条中的关键节点。

Ⅰ. 信息安全的时代坐标:智能体化、数据化、无人化的融合

1. 智能体化——AI 伙伴的“双刃剑”

随着大模型(LLM)与生成式 AI 的广泛落地,企业内部已经开始使用 AI 助手 来撰写文档、生成报告、甚至自动回复邮件。AI 的高效让工作流更流畅,却也带来了 新型攻击面
提示注入(Prompt Injection):攻击者在邮件中植入特定指令,诱导 AI 生成恶意脚本或泄露敏感信息。
模型投毒:对内部培训的 AI 模型进行数据投毒,使其在判断邮件安全时出现偏差。

防御建议:对所有 AI 接口设置 输入审计输出过滤,并在模型训练数据中加入 安全链路标记

2. 数据化——大数据平台的“信息泄露危机”

企业的业务系统正日益向 统一数据湖实时数据分析平台聚合,数据的价值与风险并存。若 日志、备份、监控数据 中包含未脱敏的邮件头信息、SMTP Banner、IP 地址等元数据,黑客即可利用这些信息进行 精准攻击(如利用逆向 DNS 信息进行邮件钓鱼、伪造域名)。

防御建议
脱敏与分级:对所有可视化数据进行脱敏处理,敏感字段加密存储。
最小权限原则:仅授权必要部门访问邮箱日志,避免全局读取。

3. 无人化——自动化运维的盲点

容器编排(K8s)、Serverless、自动化部署流水线让运维无人化成为常态。自动化脚本若未考虑 Reverse DNS 与 SMTP Banner 检查,可能在部署新邮件服务器时直接导致投递异常。更糟糕的是,攻击者可以通过 CI/CD 流水线注入恶意代码,在构建镜像时植入伪造的 DNS 记录。

防御建议
– 在 CI/CD 中加入 安全检测阶段:验证 PTR 与 SMTP Banner 是否匹配。
– 使用 签名镜像供应链安全(SLSA)来确保构建过程不可篡改。

Ⅱ. 信息安全意识培训的意义与目标

1. 培训的根本目标:从“被动防御”到“主动防御”

  • 认知提升:让每位员工了解 Reverse DNS、SMTP Banner、SPF/DKIM/DMARC 的基本概念以及它们在邮件安全链路中的角色。

  • 技能赋能:培训中将教授使用 nslookup、dig、telnet 等命令验证 DNS 与 SMTP Banner 的匹配情况;演练 邮件头分析钓鱼邮件识别
  • 行为养成:通过情景模拟,让员工在收到可疑邮件时能够第一时间上报,形成 安全报告文化

2. 培训的核心内容概览

模块 关键要点 预期产出
邮件安全基础 Reverse DNS 与 PTR 记录、SMTP Banner 机制、HELO/EHLO 规范 能独立检查并解释邮件服务器配置
身份验证技术 SPF、DKIM、DMARC 体系、域名对齐 能在邮件头中定位身份验证失败的根因
实战案例剖析 案例一、案例二深度解析、常见钓鱼手法 形成案例驱动的风险感知
AI 与自动化安全 Prompt Injection 防御、CI/CD 安全检查 能对 AI 生成内容进行安全审计
应急响应 事件报告流程、取证要点、内部沟通模板 在真实事件中快速响应并协同处置

3. 培训方式的创新

  • 线上微课堂 + 实时互动:每周 30 分钟的短视频+答疑,让碎片化时间也能学习。
  • 情景沙盘演练:搭建模拟邮件系统,让员工亲手执行 nslookupdigtelnet 验证过程。
  • 知识争霸赛:通过答题积分系统,激励员工主动学习,前 10 名可获得公司内部的 “安全先锋”徽章
  • 跨部门安全社区:建立 安全知识共享群,鼓励开发、运维、市场等部门互相交流经验。

4. 建立安全文化的关键要素

“不积跬步,无以至千里;不积小流,无以成江海。”(《荀子·劝学》)

信息安全不是技术部门的专属,而是全体员工的共同责任。只有当 每个人都把安全视作日常工作的一部分,企业才能在智能体化、数据化、无人化的浪潮中稳步前行。

Ⅲ. 行动号召:从今天起,让安全成为每一天的习惯

  1. 立即报名:本公司将在本月 15 日至 20 日 开启 “星盾护航——信息安全意识培训计划”,全体职工均可免费参加。请登录企业内部学习平台,填写报名表单,确认您的参训时间段。

  2. 自查自纠:在培训正式开始前,请各部门主管组织一次 邮件服务器自查,核对 PTR 与 SMTP Banner 的匹配度;若发现不一致,请及时提交工单至运维中心。

  3. 案例分享:鼓励大家将自己在工作中遇到的 邮件投递异常、钓鱼邮件 等案例通过 内部知识库 进行记录和分享。优秀案例将有机会在公司月度安全简报中展示,并获 “安全之星” 奖励。

  4. 持续跟踪:培训结束后,将设立 安全能力评估,每季度对全员的邮件安全检测能力进行抽样检查,确保所学知识能够在实际工作中落地。

Ⅳ. 结语:构筑未来的安全基石

在信息化、智能化、无人化深度融合的今天,企业的每一条数据流、每一次邮件交互,都可能成为攻击者的突破口。我们已经看到,“逆向 DNS 与 SMTP Banner 不匹配” 这类看似技术细节的错误,足以让全球电商平台在促销高峰期跌入投递深渊,也能让金融机构在内部钓鱼攻击面前失守。

然而,技术的缺陷并不可怕,可怕的是 缺乏认知、缺少防护、缺少共识。通过本次 信息安全意识培训,我们将把这些细节化为每位员工的日常操作,把风险转化为可视化的警示,把防御提升为全员的自觉行动。正如《论语》所言:“吾日三省吾身”,让我们每天都审视自己的安全行为,让每一次发送、每一次接收都成为对企业安全的再次确认。

让我们以“安全第一、预防为主、全员参与”的原则,携手共进,构筑面向未来的坚固防线!

昆明亭长朗然科技有限公司研发的安全意识宣传平台,为企业打造了一套可操作性强、效果显著的员工教育体系。我们的平台易于使用且高度个性化,能够快速提升团队对信息安全的关注度。如有需求,请不要犹豫地与我们联系。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898