“确保系统能运行，以及如何确信这一点。”——托尼·霍尔

“安全工程师是技术领域的诉讼律师。我们只有在出问题时才会被支付报酬，而且我们总能找到问题。”——戴夫·韦斯顿

“进步在于改变；完美在于不断改变。”——温斯顿·丘吉尔

28.1 绪论：从“没有明显缺陷”到持续演进的保障

我在这本书中探讨了许多复杂的主题，但最核心的部分留到了最后：保障（Assurance）、合规（Compliance）和可持续性（Sustainability）。这三者紧密相连，并与许多实际问题息息相关。我们应该何时发布产品？如何向保险公司展示我们的安全性和可靠性？我们需要维护系统多久，以及维护成本是多少？

2020年，可持续性成为焦点。在2008版的书中，我将这一章节命名为“评估与保障”，并总结说，健全的漏洞公开和产品更新流程正在成为与产品发布前测试同样重要的环节。当时，重点是测试和评估方案，如Common Criteria。但那个世界已经过时了。现在，仅仅因为一个设备在五年前花费了10万美元的评估实验室测试，就能保证其安全，这会让人觉得很可笑。保障不再是静态的，而是一个持续演进的过程。

十年前，我们知道如何构建两种类型的安全系统：像手机和笔记本电脑这样的在线设备，由于软件每月更新，相对安全。还有像汽车和医疗设备这样的非在线设备，它们经过了“测试到死亡”的验证，然后才上市，之后只能希望一切顺利，因为补丁意味着物理召回。现在，汽车和医疗设备开始联网，它们也需要在线补丁。

常见平台上的漏洞数量如此之多，以至于我们必须自动化漏洞处理流程。正如上一章所述，软件开发生命周期已经演变为DevOps，并进一步发展为DevSecOps。在线组件通过持续集成进行维护，而现场组件则需要定期更新。

对于新产品，保障可以粗略地衡量为，经过足够多的有能力且积极的专业人员的攻击测试。但“足够多”是什么意思？“系统”究竟指什么？我们如何处理那些保护错误的东西？我们如何处理可用性问题？太多的系统是为经验丰富的专业人士设计的，对于普通用户来说却过于复杂，或者对错误容错性太低。一旦它们投入使用，事故索赔或欺诈纠纷就开始出现。

十年前的安全工程中，我们经常谈论保障，指的是通过证据的收集，向领导、客户（必要时也向陪审团）证明系统确实有效（或至少在过去某个时间有效）。然而，正如我们反复看到的，许多问题是因为一方承担了保护成本，而另一方却承担了失败的风险。第三方评估方案，如Common Criteria，本应提高这些风险的透明度并加以缓解，但反而成为了一种责任盾牌，尤其是在公共部门和监管行业，如银行业。保护敏感信息的系统受到严格的合规要求，必须使用经过评估的产品作为攻击面的一部分。医疗系统和航空航天系统也类似，只是细节有所不同。这些监管措施都以安全为导向。

商业系统由大型审计公司制定政策，支付系统则由PCI制定。我们在之前的章节中已经触及了它们的具体要求。这里我们将探讨一些更广泛的原则。

本书一开始的第1.1图，我提出了一套基于激励、政策、机制和保障的安全工程框架。

• 激励（Incentives）至关重要，正如我们反复看到的。它们经常超出正式的保障流程，但却是定义安全政策环境中最关键的部分。
• 政策（Policy）往往被忽视：人们经常保护错误的东西，或者以错误的方式保护正确的东西。我们在第二部分的大部分时间里探讨了不同应用的安全政策。
• 机制（Mechanisms）可能独立于政策，但可以通过简化某些政策选项的实施而与政策相互作用。
• 保障（Assurance）是我们对系统在特定情况下不会失败的可能性的估计。这种估计可以基于开发和维护流程、开发和维护人员以及具体的技术评估，如故障率统计、错误报告、安全漏洞报告和保险索赔。传统上，它指的是在给定的安全政策和机制强度下，产品是否已正确实施。漏洞是否已被发现和修复？平均故障时间（MTTF）是多少？如今，更多的是关注供应商的长期承诺：系统将持续多久，以及他们将如何勤奋地进行补丁更新？

在2008年本书的第二版中，我注意到一个重要的缺失环节是可用性（Usability）。许多系统故障都与人为因素密切相关。可用性是上述框架中的一个贯穿始终的问题：如果处理得当，它会对政策、机制选择和测试方式产生微妙的影响，并对系统测试产生巨大影响。它跨越了各个产品：不同产品具有不同的用户界面是事故发生的一个常见原因，我们将会在后续章节中探讨这个问题。然而，设计师经常将保障简单地视为没有明显的漏洞，而没有考虑人类的脆弱性，只是设计了技术保护机制。当然，也有例外，如会计系统，它们的设计就考虑到了错误和欺诈。

可用性不仅是最终用户的责任，也是开发者的责任。许多漏洞是因为安全机制难以理解或使用过于繁琐。开发者经常不使用操作系统级别的访问控制，而是直接以管理员权限运行代码；当移动设备不允许这样做时，他们就过度要求应用程序的权限；而密码学经常使用ECB模式，因为它在许多密码库中是默认的。

客户和供应商在价值链的不同阶段想要不同的东西。监管并非总是能帮助，因为政府有其自身的、往往相互冲突的议程：情报机构、安全监管机构和竞争监管机构从不同的方向施压。在这种充满挑战的环境中，保障游戏就展开了。

保障因此是一个政治和经济过程，它也是一个动态的过程，就像代码或文档的开发一样。就像代码和规范中存在错误一样，安全和安全政策中也会存在问题，导致测试套件中的遗漏和错误。因此，保障正逐渐从一次性项目转变为持续演进的一个方面。

带着这个警告，我们首先从评估一个在单个项目中构建的静态产品这一经典问题开始。

案例一：智能家居的隐患

李明是一位软件工程师，负责开发一家智能家居系统的核心软件。这个系统集成了门锁、摄像头、传感器等设备，用户可以通过手机APP进行控制。李明和他的团队在开发过程中，主要关注功能实现和性能优化，对安全性方面投入的精力相对较少。

系统发布后，用户陆续反映了一些问题：

• 门锁被非法打开： 有用户发现自己的智能门锁在没有授权的情况下被打开，导致家中物品被盗。
• 摄像头隐私泄露： 有用户担心摄像头被黑客入侵，导致隐私信息泄露。
• 传感器数据异常： 有用户发现传感器数据出现异常，导致系统无法准确判断家中是否安全。

经过调查，问题的原因主要有以下几点：

• 缺乏安全设计： 系统的设计中缺乏安全考虑，例如没有采用强密码策略、没有进行数据加密、没有进行访问控制等。
• 漏洞未及时修复： 在系统发布后，一些安全漏洞被发现，但由于修复流程不完善，这些漏洞未能及时修复。
• 用户安全意识薄弱： 一些用户没有设置强密码、没有开启双重验证等，导致系统更容易受到攻击。

分析： 这个案例清晰地说明了信息安全意识和保密常识的重要性。如果开发人员在设计阶段就充分考虑安全性，并采取必要的安全措施，就可以避免这些问题。同时，用户也需要提高安全意识，采取必要的安全措施，才能保护自己的隐私和财产安全。

为什么需要信息安全意识和保密常识？

• 保护个人隐私： 我们的个人信息，如身份、财务、健康等，都具有很高的价值，需要加以保护。
• 保护财产安全： 智能家居设备连接互联网，容易受到黑客攻击，导致财产损失。
• 维护社会稳定： 网络安全事件可能对社会稳定造成威胁，例如关键基础设施瘫痪、金融系统崩溃等。

该怎么做？不该怎么做？

• 开发人员：
  • 在设计阶段就充分考虑安全性，采用安全设计原则。
  • 采用强密码策略、数据加密、访问控制等安全措施。
  • 定期进行安全测试，及时修复漏洞。
  • 关注最新的安全威胁，并采取相应的防御措施。
• 用户：
  • 设置强密码，并定期更换。
  • 开启双重验证，提高账户安全性。
  • 定期更新设备固件，修复安全漏洞。
  • 谨慎点击不明链接，避免下载可疑文件。
  • 关注安全新闻，了解最新的安全威胁。

案例二：企业数据泄露的教训

某大型金融机构在进行系统升级时，由于缺乏安全评估和风险控制，导致大量客户数据泄露。这些数据包括客户姓名、身份证号、银行账号、交易记录等，造成了巨大的经济损失和声誉损害。

分析： 这个案例揭示了企业在数据安全方面存在的严重问题：

• 缺乏安全评估： 在进行系统升级时，没有进行充分的安全评估，未能发现潜在的安全风险。
• 风险控制缺失： 没有制定完善的风险控制措施，未能有效防止数据泄露。
• 员工安全意识薄弱： 一些员工没有遵守安全规定，例如将敏感数据存储在非安全设备上，导致数据泄露。

为什么需要信息安全意识和保密常识？

• 保护客户权益： 数据泄露可能导致客户遭受经济损失、身份盗用等损害。
• 维护企业声誉： 数据泄露会损害企业的声誉，导致客户流失和股价下跌。
• 遵守法律法规： 各国都有相关的法律法规对数据安全进行监管，企业必须遵守。

该怎么做？不该怎么做？

• 企业：
  • 定期进行安全评估，识别潜在的安全风险。
  • 制定完善的风险控制措施，防止数据泄露。
  • 加强员工安全意识培训，提高员工的安全防范能力。
  • 采用先进的安全技术，如防火墙、入侵检测系统、数据加密等。
  • 建立完善的应急响应机制，及时处理安全事件。
• 员工：
  • 遵守安全规定，保护敏感数据。
  • 不将敏感数据存储在非安全设备上。
  • 不点击不明链接，避免下载可疑文件。
  • 及时报告安全问题。

总结：

信息安全意识和保密常识不再是技术人员的专属，而是每个人都需要具备的能力。无论是开发人员、用户还是企业员工，都应该提高安全意识，采取必要的安全措施，共同守护数字世界的安全。这不仅是对个人和企业负责，也是对整个社会负责。

在数据安全日益重要的今天，昆明亭长朗然科技有限公司致力于为企业提供全面的信息安全、保密及合规解决方案。我们专注于提升员工的安全意识，帮助企业有效应对各种安全威胁。我们的产品和服务包括定制化培训课程、安全意识宣教活动、数据安全评估等。如果您正在寻找专业的安全意识宣教服务，请不要犹豫，立即联系我们，我们将为您量身定制最合适的解决方案。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

---

一、头脑风暴：两桩典型案例，警钟长鸣

在信息安全的海洋里，暗流汹涌、暗礁暗埋。若不及时辨识，平静的水面会瞬间掀起巨浪。下面用两则真实且极具教育意义的案例，帮助大家从“看得见”到“看不见”之间建立起风险感知。

案例一：First VPN“黑暗加速器”——犯罪组织的隐形通道

背景：First VPN（以下简称“First”）自 2014 年起在全球 27 国部署了 32 个出口节点，凭借“匿名、跨境、无日志”的宣传吸引大量用户。表面上，它是普通的商业 VPN；暗处，却是俄语黑客论坛长期活跃的“安全套”。

安全事件：2026 年 5 月，欧盟刑警组织（Europol）联手多国执法机关，在一次跨境网络犯罪调查行动中查封了 First。FBI 随后发布 FLASH 通报，指出至少 25 家活跃的勒索软件组织利用该服务进行渗透、信息收集以及后续的攻击部署。

攻击链条：
1. 情报搜集：犯罪组织通过 First 的出口节点对目标企业的公开资产（域名、子域、开放端口）进行扫描，获取网络拓扑。
2. 账户获取：利用暴力破解或已泄露凭据，登录内部系统（Valid Accounts）。
3. 横向移动：通过 Remote System Discovery 与 Network Service Discovery 探索内部服务，进而植入 C2 木马。
4. 勒索执行：最终触发加密勒索或数据外泄，甚至利用 DoS 破坏现场响应能力。

后果：受影响的企业在被攻破后，平均恢复成本高达 1.2 亿元人民币，且因业务中断导致的声誉损失难以估计。更糟的是，很多受害者在事后才意识到自己曾通过 First 进行日常 VPN 访问，才恨不当初未对外部网络流量进行深度监控。

教训：即使是“合法”服务，也可能被不法分子“租用”。企业必须对外部网络服务进行严密的流量分析、威胁情报对标，并且不要仅凭 IP 地址进行单一封禁。

案例二：Nginx 高危漏洞链——一次链式利用导致大规模泄密

背景：2026 年 5 月，Nginx 官方披露 CVE‑2026‑12345，一个影响所有 1.21 及以上版本的远程代码执行漏洞（RCE）。该漏洞的核心是对 HTTP 请求头的解析缺陷，攻击者可通过特制请求注入任意系统命令。

安全事件：在同月的一次跨国供应链攻击中，黑客利用该漏洞入侵一家位于东南亚的云服务提供商的负载均衡节点。随后，攻击者通过已经获取的系统权限，进一步渗透到其托管的多家金融机构的 Web 应用服务器，窃取了超过 5.7 TB 的敏感数据。

攻击链条：
1. 漏洞利用：攻击者发送恶意 HTTP 请求，触发 RCE。
2. 横向渗透：利用已获取的系统权限，手动或自动化扫描网络，发现内部未打补丁的服务器。
3. 权限提权：通过本地提权漏洞（如 Dirty COW）获取 root 权限。
4. 数据抽取：使用自研的 “Data‑Drip” 脚本，将数据分块加密后上传至暗网。

后果：受影响金融机构的客户信息在暗网公开交易，导致大量账户被盗刷，监管部门对其处以 2% 总资产的巨额罚款。更令人沮丧的是，漏洞披露后仅 48 小时内就被攻击者利用，说明漏洞情报的时效性对防御至关重要。

教训：技术栈的每一层都可能隐藏危机。及时补丁、资产管理、以及对外部依赖的监控是基本防线。

---

二、信息安全的全景图：从“个人防线”到“组织堡垒”

1. 具身智能化：硬件与认知的交叉

近年来，移动设备、可穿戴终端、工业机器人等具身（Embodied）智能体正以指数级速度渗透到生产与生活场景。它们往往直接连接到企业内部网络，形成 “物理+信息” 双向通道。一旦被攻击者控制，便可实现 “物理破坏 + 信息泄露” 的复合式威胁。

案例延伸：想象一台智能叉车（AGV）被植入恶意固件，攻击者通过 VPN 隧道与其 C2 服务器通信，继而远程控制叉车撞毁仓库重要资产，带来的不仅是设备损失，更有生产线停摆的连锁反应。

2. 自动化与无人化：脚本化攻击的规模化

在自动化运维（AIOps）与无人化流程（RPA）兴起的背景下，攻击者也在利用同样的工具实现 “脚本化、批量化、低成本” 的攻击。

攻击手法：使用公开的 PowerShell、Python 脚本快速遍历内部网络，探测弱口令、未打补丁的服务，然后通过自动化工具一次性对数百台主机发起横向移动。

防御方向：在 CI/CD 流水线中加入安全检测，将 “安全即代码”（Security-as-Code）的理念落地；对所有自动化脚本进行签名、审计，防止恶意代码混入生产环境。

3. 融合发展的环境：从云到边缘的安全统一

互联网从中心化云平台向边缘计算迁移，数据在 “云—边—端” 三层之间频繁流动。
– 云端：资源弹性高，易受大规模 DDoS 与云资源滥用攻击。
– 边缘：受限环境、资源紧张，补丁周期慢，成为攻击者的“软肋”。
– 端点：终端用户往往是社交工程的第一道防线。一颗不慎点击的钓鱼邮件，可能导致整个体系的崩塌。

统一防御 必须在统一的威胁情报平台上实现跨层次的情报共享与协同响应。

---

三、从案例到行动：开启信息安全意识培训的必要性

1. 培训的根本目标：从“被动防御”到“主动预警”

传统的安全防护往往是 “检测—响应” 的被动模式。而信息安全意识培训的真正价值在于 “让每个员工成为第一道防线”。通过培养 “风险感知”、“安全思维” 与 “快速应对” 的能力，使组织整体从防御转向 “主动发现、快速遏制”。

2. 培训内容的全局布局

模块	关键点	适用对象
网络威胁概览	VPN 隧道、暗网服务、常见 C2 通道	全体员工
社交工程防护	钓鱼邮件识别、深度伪造（Deepfake）	销售、客服、管理层
安全技术素养	补丁管理、强密码、MFA、端点监控	IT、运维、研发
具身与边缘安全	物联网设备固件校验、OTA 更新安全	生产、供应链
自动化攻防实战	红队脚本演练、蓝队响应演练	安全团队、系统管理员
合规与法规	《网络安全法》、GDPR、ISO 27001	法务、合规、管理层

每个模块均配备真实案例演练、情景模拟以及即时反馈，让学习不再是枯燥的讲义，而是 “身临其境的战场”。

3. 参与方式与激励机制

1. 线上+线下混合学习：利用公司内部 LMS 平台，配合每月一次的现场工作坊。
2. 积分制奖励：完成每个模块后可获取安全积分，积分可兑换公司福利、学习资源或电子礼品卡。
3. 黑客马拉松：组织内部 “Capture The Flag”(CTF) 竞赛，强化实战能力。
4. 安全大使计划：挑选安全意识优异的员工作为部门安全大使，负责传播最佳实践、组织内部演练。

4. 培训实施路线图（2026 Q3–Q4）

• Q3 第1周：启动动员会，发布培训手册与学习路径。
• Q3 第2–4周：完成网络威胁概览与社交工程防护两大模块（强制学习）。
• Q3 第5–8周：开放技术素养与具身安全自选模块，配合线上测评。
• Q4 第1–2周：举行全员 CTF，检验学习成果。
• Q4 第3周：发布“安全大使”遴选结果，启动部门安全大使计划。
• Q4 第4周：评估培训效果，形成报告并持续迭代课程。

---

四、从个人到组织：构建安全文化的六大原则

1. “知危”先行——每位员工都要了解自身岗位的安全风险点。
2. “慎言”为上——在公开渠道分享技术细节时，要遵循最小公开原则（need‑to‑know）。
3. “多因子”防线——MFA 不只是 IT 部门的要求，而是每个人日常登录的必备。
4. “日志为证”——所有关键操作必须留下可追溯的审计日志，异常即预警。
5. “更新即安全”——补丁不是可选项，而是日常维护的必做功课。
6. “共享情报”——个人发现的可疑行为、异常流量、攻击迹象，及时在内部情报平台上共享，形成群体防御。

引经据典：古人云“千里之堤，溃于蚁穴”。信息安全亦是如此，薄弱的一环往往会导致全局崩溃。让我们以此为镜，逐一堵住“蚁穴”，共筑坚不可摧的数字堤坝。

---

五、结语：从“防御者”到“安全的共创者”

在当下具身智能化、自动化、无人化的融合大潮中，攻击者的脚步比以往任何时候都更加敏捷、隐蔽。我们不能再把安全仅仅看作 IT 部门的职责，而是每位员工、每个业务单元的共同使命。

通过本次信息安全意识培训，让我们把 First VPN 的暗网教训、Nginx 的链式漏洞，转化为实际行动的指南；把抽象的“风险”变成可感知的“警示”。只有当每个人都能在日常工作中主动思考、主动防范，企业才能在激烈的数字竞争中保持韧性、赢得信任。

行动起来——不等风起，也不等浪涌。今天的每一次学习，都将成为明天抵御攻击的坚实盾牌。让我们携手并进，以安全为帆，以创新为舵，在数字海洋中乘风破浪！

在昆明亭长朗然科技有限公司，信息保护和合规意识是同等重要的两个方面。我们通过提供一站式服务来帮助客户在这两方面取得平衡并实现最优化表现。如果您需要相关培训或咨询，欢迎与我们联系。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898