引子:两场信息安全的警示案例
案例一:NHS 病房系统被勒索,数千名患者的诊疗记录被锁住
2025 年 7 月,英国国家医疗服务体系(NHS)北约克郡的一家大型医院遭遇了勒戒软件“LockDown‑X”。攻击者首先利用其内部网络的弱口令,渗透到医院的核心信息系统。随后通过横向移动,控制了存放患者电子健康记录(EHR)的数据库服务器。仅在 48 小时内,约 35,000 份诊疗记录被加密,病毒赎金要求高达 3.2 万英镑。医院被迫停诊,手术室的预约被迫取消,急诊患者只能转诊至其他医院,导致治疗延误、患者不满以及媒体的强烈舆论压力。
事后调查显示,攻击者的成功关键在于以下三点:
1. 缺乏及时的漏洞扫描和补丁管理——攻击者利用了旧版 Windows Server 上的未修补漏洞(CVE‑2024‑XXXXX)。
2. 未实行多因素认证——涉及关键系统的管理员账户仍使用单因素密码登录。
3. 信息共享和事件通报机制不健全——医院在发现异常流量后迟迟未向英国国家网络安全中心(NCSC)报告,错失了外部协助的最佳时机。
这起事件直接导致 NHS 仅在 2025 年一年里因网络攻击产生的经济损失超过 1500 万英镑,且对公共医疗服务的信任度产生了深远的负面影响。
“在公共服务领域,信息安全不再是‘技术部门的事’,而是全社会共同的责任。”——Shona Lester,英国网络安全与复原法案(CSR Bill)负责人。
案例二:一家云计算托管商的供应链被攻破,导致上千家企业业务中断
同年 10 月,英国一家中等规模的托管服务提供商(Managed Service Provider, MSP)“CloudEdge”被曝光其内部管理平台被植入后门。攻击者利用该平台为数百家客户(包括金融、零售、制造业企业)提供的远程桌面与VPC(虚拟私有云)服务,注入了恶意脚本,实现对客户系统的隐蔽控制。
受影响的企业中,有一家大型零售连锁店的线上支付系统在黑色星期五期间出现交易延迟,导致当日交易额下降约 12%。另一家生产型企业的生产调度系统被篡改,导致装配线误停,累计产能损失约 800 万英镑。
调查显示,攻击者之所以能够在 MSP 层面实施攻击,主要因为:
1. MSP 本身缺乏强制性的安全基线——在英国 CSR Bill 之前,MSP 并未被列入关键服务提供者的监管范围。
2. 供应链安全管理缺口——对第三方合作伙伴的安全审计不系统,导致恶意代码在供应链中悄然蔓延。
3. 事件响应和报告迟缓——CloudEdge 在检测到异常后,仅在内部完成自查,未按规定在 24 小时内向监管机构报告,导致损失扩大。
该事件催生了英国议会对 CSR Bill 第三阶段立法的进一步关注,强调了 “从供应链视角审视安全” 的迫切性。
一、从英国 CSR Bill 看信息安全的全新要求
2025 年 11 月,英国《网络安全与复原法案》(Cyber Security and Resilience Bill,以下简称 CSR Bill)正式进入立法程序。该法案在以下几个维度对企业提出了更高、更细致的要求,值得我们在国内信息安全建设中借鉴与提前布局。
1. 扩大监管范围:关键资产不再局限于传统行业
CSR Bill 将 数据中心、智能电网负荷控制器、托管服务提供商(MSP)以及被监管机构指定的“关键供应商” 列入 运营者(Operators of Essential Services, OES) 范畴。对应到国内情境,大型数据中心、云服务平台、工业互联网平台、以及涉及国家关键基础设施的供应链企业 都应视作潜在监管对象。
“关键服务的安全是国家安全的基石。”——Shona Lester
2. 强化事件报告:24 小时通报、72 小时完整报告
过去,监管机构往往只能在事故造成实际损失后才能获取情报。CSR Bill 要求 OES 在意识到安全事件的第一时间(24 小时内) 必须向监管部门报告,并在72 小时内提交完整的事件分析报告。这对企业内部的 监测、预警、应急响应流程 提出了硬性时限要求。
3. 统一的安全基准:采用 NCSC 网络评估框架(CAF)
CSR Bill 将 NCSC Cyber Assessment Framework(CAF) 设为所有 OES 必须遵循的安全基准,涵盖 治理、风险管理、治理结构、技术防护、人员培训 等六大类。对我们来说,参考 CAF 建立 “六大防线”(治理、风险评估、技术防护、检测响应、持续改进、人员意识)是提升整体安全成熟度的有效路径。
4. 加大处罚力度:依据企业营业额设定罚金上限
法案提出 “基于营业额的比例罚金”,最高可达年营业额的 4% 或 2,000 万英镑,以此形成强有力的威慑。例如,若一家年营业额为 5 亿元人民币的企业因未按时报告重大安全事件被处罚,其最高罚金可能高达 2000 万人民币。
5. 监管协同与跨部门统一目标
CSR Bill 授权 国务大臣 为12个监管机构设定统一的安全目标,各机构可以针对国家安全威胁直接采取 “针对性行动”。在国内层面,这相当于 工信部、网信办、发改委、卫健委等多部门的协同监管,要求企业必须在多个监管维度统一合规。
二、信息化、数字化、智能化、自动化时代的安全挑战
1. 云计算与多租户环境的隐蔽风险
随着 多云战略 成为企业数字化转型的标配,数据与业务被分散在不同云平台(公有云、私有云、混合云)中。租户间的隔离不足、API 暴露、配置错误 都可能成为攻击者突破防线的入口。CSR Bill 对 MSP 的监管正是对这一趋势的前瞻性回应。
2. 人工智能与大数据的双刃剑
AI 赋能的 异常检测、自动化响应 为安全运营中心(SOC)带来效率提升,但 对抗性机器学习(Adversarial AI) 让攻击者能够伪装流量、生成更具欺骗性的钓鱼邮件。我们必须在 AI 安全 与 AI 防御 两方面同步布局。
3. 物联网(IoT)与工业互联网(IIoT)的扩散
从智能灯光到自动化生产线,数十亿终端设备 接入企业网络。它们往往缺乏足够的计算资源进行传统防护,又常常 固件更新不及时,成为 “预置后门” 的温床。案例二中的 智能负荷控制器 正是此类资产的真实写照。
4. 自动化运维(DevOps/DevSecOps)与代码安全
持续集成/持续部署(CI/CD)流水线如果缺少 安全扫描 与 治理控制,恶意代码可以在 代码提交阶段 就进入生产环境。供应链攻击(如 SolarWinds)再次提醒我们,安全必须嵌入每一次代码变更。
三、行动号召:加入信息安全意识培训,共筑防线
同事们,信息安全不是 IT 的专属,更是每一位员工的职责。从前端客服到后端研发,从行政人事到业务运营,任何环节的失误都可能成为黑客的突破口。为帮助大家在日新月异的网络环境中保持警觉、提升技能,公司即将启动为期 两周 的 信息安全意识培训计划,内容包括但不限于:
- 密码与身份认证:密码管理工具、一次性密码(OTP)与生物特征的安全使用。
- 邮件与钓鱼防御:真实案例拆解、常用社工手段识别、快速举报渠道。
- 数据分类与合规:个人信息、商业机密与公开信息的划分,以及 CSR Bill 类似法规的核心要点。
- 云安全与权限管理:最小权限原则、云资源标签治理、跨租户访问控制。
- AI 与大数据安全:对抗性 AI 识别、数据脱敏与匿名化处理。
- IoT 与移动设备安全:固件更新、网络分段、设备访问控制。
- 应急响应与报告流程:24 小时通报机制、内部报告链路、演练演示。
培训形式
- 线上微课(每期 15 分钟,随时随地学习)
- 线下实战演练(模拟钓鱼、渗透测试场景)
- 情景案例研讨(案例一、案例二深度剖析)
- 知识竞赛(答题闯关,丰厚奖品赠送)
参加方式
请登录公司内部学习平台,查找 “信息安全意识培训(2025)” 课程,完成 “自报名” 后即可获得培训链接。每位同事完成全部课程并通过最终考核后,将获得 《信息安全合规证书》,并计入年度绩效考核的 “安全贡献” 项目。
“安全是企业的软实力,也是竞争的硬杠杆。”——若将此理念贯彻到每一次点击、每一次配置、每一次沟通中,企业才能在激烈的市场竞争中立于不败之地。
四、结语:把安全意识写进企业文化的血脉
从 NHS 的诊疗系统被锁,到 CloudEdge 的供应链失守,“一时疏忽,千金代价” 再次得到印证。英国 CSR Bill 的出台,是对过去监管碎片化、责任不清的制度性纠正,也是对 “全员、全流程、全链路” 安全治理的明确宣言。
在数字化转型的大潮中,我们每个人都是 “安全守门员”。只要我们从 “防范于未然” 做起,从 “细节抓起” 做起,将 “安全思维” 融入日常工作、业务决策与技术实现,企业的网络防线将更加坚固,信息资产的价值也会得到最大化的保护。
让我们一起加入即将开启的信息安全意识培训,用知识武装头脑,用行动守护企业,用合规谱写未来。安全不是口号,而是每一天的实践。愿每位同事在培训中收获洞察,在工作中践行安全,在生活中传播正能量!
信息安全,刻不容缓;
我们一起,守护未来。
随着数字化时代的到来,信息安全日益成为各行业关注的焦点。昆明亭长朗然科技有限公司通过定制培训和最新技术手段,帮助客户提升对网络威胁的应对能力。我们欢迎所有对信息安全感兴趣的企业联系我们。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898