近年来，针对职员们“人性弱点”的网络攻击越来越猖獗，最流行的莫过于网络钓鱼邮件，就连知名大学的学生和教职工也大量沦陷于网络钓鱼攻击测试活动之下。这无疑是网络安全圈内的一个又一个炸弹，这些组织机构都部署了大量的网络安全控制、监管和审计设备，尽管如此，用户在IT安全意识方面的薄弱还是让人们有些汗颜。对此，昆明亭长朗然科技有限公司网络安全专员董志军称：二十年前，网络安全的主要工作还停留在设备的铺设期，主要网络威胁还是病毒以及黑客，网络钓鱼刚刚进入人们的视野，很多CIO和信息安全总监级的人物对此都还没有概念，知名黑客 Kevin Mitnick 因为开始使用“社会工程学”骗术的方式，前后进出监狱三次，还出了一本书，反欺骗的艺术 The Art of Deception，尽管这已经是非常前沿的预警，然而很多机构并没有意识到问题的严重性——当强大的外部威胁冲击内部弱点时，“固若金汤”的安全措施，将变得“不堪一击”。

而针对大学教授千万级的转账诈骗，以及针对电网公司CFO的千万级的转账诈骗，都暴露于媒体之后，近几年，人们开始警醒电信诈骗这个问题，同时犯罪分子也越来越狡猾，太多具有持久意义的警示故事了，它们强调了对机构内外所有人进行安全意识培训的重要性。

最终用户的天真可能导致代价高昂的安全事件，这凸显了安全意识培训的重要性。不久前，国务院某机构的负责人收到了一封声称来自组织部门的电子邮件，它看起来完全正常，并要求他核实一些信息。那位领导开始依照要求填写并提交内容，然后突然意识到他将敏感的涉密信息数据直接发送给了网络犯罪分子。

在没有电话也没有网络的时代，骗子可以伪装成某某领导的亲戚朋友，到处行骗，骗个大官当也都不是什么难事。而如今，电话和社交网络这么普及，骗子行骗的成本非常低，可以轻松实现大规模化群发诈骗消息。基本上，人们需要用脑子思考，我们不希望人们不能随便轻信，对于电子邮件，不可随意点击链接，不能轻易开启邮件附件。

不得不说，点击这些东西是人类的基本本能，有时它们非常吸引人，特别是如果它们具有一定的社会背景的话。因此，利用社会热点话题的诈骗消息，往往很容易成功。而社会工程学骗子会研究目标机构，通过媒体搜索等等，找出该机构正在进行的一些活动，并定制化相关的诈骗消息，这样做，无疑会让员工们对消息真假难辨，进而轻易上钩。利用快递信息进行的诈骗也几乎就是这个招数，当人们发现购物信息正确时，几乎相信该事情是真实的。如果担心收不到货，钱财两失，那正中了诈骗分子的圈套。其实，明白人不管那么多，快递丢了，您重新发嘛！退款？直接通过平台退嘛！问题就是明白人不多，傻傻的网购者却不少。对于如机关单位和公司企业等类型的组织机构来讲，员工们的IT安全水平和意识，也是类似的，厉害的没几个。

因此，我们需要帮助用户们避免“陷阱”消息，在防范电信诈骗方面，有防诈APP可用，警示人们境外来电是可疑的。对于员工们呢？无疑需要从一个基本的、温和的安全宣传活动开始，发起基本安全意识培训必不可少。可以制定了一项多管齐下的IT安全意识战略，优先考虑所有员工的持续学习。 首先，新员工通过基于视频的在线课程，了解安全政策和最佳实践，审查并签署可接受的网络使用政策。其此，需要对员工们进行定期的安全意识考核，可以通过在线电子学习的方式，也可以使用竞赛活动的方式。当然，安全团队还通过内部沟通频道、微信企业号和内部通讯月刊，分享相关的安全意识教育内容。当然，可以设计更高阶一些的模拟网络钓鱼活动，或者使用更低级一些的桌面壁纸或屏保。我们不建议使用海报、手册等印刷品，那些物资不够环保，在移动工作时代，效果也不够好。

说到安全意识培训的效果，在信息爆炸的时代，单向的图文甚至动画视频对于用户的意识留存，越来越无力，增加互动就显得非常重要。如果受制于空间场地的不足，比如有分支机构有疫情影响等等，可以搞线上竞赛活动激发用户们的参与度，比如信息安全征稿、在线安全答题拼比等等，成本低，覆盖广。当与最终用户互动时，希望他们从经验中学习，感觉良好，需要认真设计线上活动。通常来讲，在经历几次活动之后，人们会真正开始享受识别可疑消息，这同时还能增强全体职员的士气。

即使员工们对信息安全越来越有信心，安全意识培训负责人也不可高枕无忧。持续的IT安全意识培训的价值远远超过了在新员工入职培训期间提供的典型一次性培训。一方面，安全意识培训材料需要不断更新，不能总是吃一个菜，那样营养不充分。另外，也需要有新的玩法，比如移动工作流行时，有些员工喜欢在手机上打开了这些电子邮件，这时，就可以考虑使用一套新的针对移动设备的安全意识培训方案。

安全意识活动的报表及报告非常重要，这也是我们建议使用电子学习系统、在线测试系统和模拟钓鱼系统的原因之一。没有衡量就没有绩效，多少人员参训？完成学习的情况如何？通过测试的情况如何？哪些知识领域不被大家掌握？网络钓鱼模拟的点击量下降了还是上升了？具体数字怎么样？这些都可以是考核点和改进点，也可以是安全培训团队的工作绩效证明。

不管如何，我们要注意安全意识培训的持续重要性，即使用户精明程度在不断提高，也必须持续进行强化培训。人们往往会忘记并回到他们的旧习惯，所以需要不断地这样做，比如：每月一次小型培训，每季度一次中型测试，每年一次大型活动。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

在信息时代，我们如同生活在一个巨大的数字城堡里。城堡的坚固程度，取决于我们每个人的安全意识。社交媒体的便捷，信息技术的飞速发展，带来了前所未有的便利，也潜藏着巨大的安全风险。今天，作为昆明亭长朗然科技有限公司的网络安全意识专员，我将带您深入探讨信息安全的重要性，并通过生动的案例分析，揭示安全意识缺失可能导致的严重后果。

社交媒体：一把双刃剑

正如我们所知，社交媒体是信息传播的重要渠道。然而，在分享信息时，我们必须保持高度警惕。看似无害的个人信息，可能成为不法分子精心策划攻击的突破口。

• 生日照片的陷阱： 随意在社交媒体上分享生日照片，可能泄露您的出生日期，为身份盗窃者提供关键信息。
• 隐私细节的暴露： 不经意间透露母亲的娘家姓氏、身份证号码的部分数字，如同为盗贼敞开大门。
• 行程预告的风险： 在社交媒体上预告长时间离家，如同向入室盗窃者发出邀请函。

这些看似微不足道的行为，都可能引发严重的后果。我们需要牢记：“信息安全，防患于未然”。

信息安全事件案例分析：警钟长鸣

下面，我们将通过四个案例，深入剖析信息安全事件，并分析缺乏安全意识导致的安全漏洞。

案例一：间谍策反——“忠诚”的背叛

李明，一位在一家大型科技公司工作的工程师，工作能力突出，深受领导赏识。然而，他内心深处对薪资待遇不满意，并受到一家名为“寰宇科技”的竞争对手的巧妙诱惑。

“寰宇科技”的负责人王先生，通过频繁的商务洽谈和看似友好的社交活动，逐渐与李明建立了信任关系。王先生巧妙地赞扬李明的专业能力，并暗示公司对他的职业发展有更高期望。同时，王先生还不断向李明透露“寰宇科技”的未来发展规划，并承诺给予李明更高的薪资和更广阔的发展空间。

在一次公司内部的聚会上，王先生主动与李明攀谈，并暗示公司正在进行一项重要的技术项目，需要内部人员提供技术支持。他用看似关心的口吻询问李明对当前项目的看法，并暗示如果李明能够提供一些“建议”，将对项目进展有重要帮助。

李明原本对“寰宇科技”的承诺心动不已，但又担心自己的行为会被发现。在王先生的持续“关怀”下，李明逐渐放松了警惕，并开始在社交媒体上分享一些关于公司内部技术细节的信息，甚至主动与“寰宇科技”的员工进行私下交流。

最终，李明被“寰宇科技”成功策反，泄露了公司内部的商业机密，给公司造成了巨大的经济损失和声誉损害。

安全意识缺失表现： 李明缺乏对间谍行为的警惕性，未能识别王先生的潜在动机，以及在社交媒体上分享敏感信息的风险。他将“关怀”误解为真诚，未能意识到自己正在被利用。

案例二：恶意链接——“免费”的诱惑

张华，一位普通的办公室职员，对各种“免费”软件和资源非常感兴趣。一天，他在社交媒体上看到一个广告，声称可以免费下载一款强大的图像处理软件。广告中包含一个链接，并承诺该软件可以轻松处理各种复杂的图像任务。

张华毫不犹豫地点击了链接，下载了该软件。然而，该软件实际上是一个恶意程序，它会在用户电脑上安装木马病毒，并窃取用户的个人信息，包括银行账号、密码、信用卡信息等。

更可怕的是，该木马病毒还会将用户电脑添加到僵尸网络中，用于发起DDoS攻击，攻击其他网站和服务器。

张华的电脑最终被警方查获，他不仅损失了大量的经济利益，还面临法律的制裁。

安全意识缺失表现： 张华缺乏对网络安全风险的认知，未能识别广告中的恶意链接，以及下载不明来源软件的风险。他将“免费”视为理所当然，未能意识到免费软件可能隐藏着巨大的安全风险。

案例三：钓鱼邮件——“紧急”的指令

王丽，一位财务主管，每天需要处理大量的财务数据。一天，她收到一封看似来自银行的邮件，邮件内容声称她的银行账户存在安全风险，需要立即登录银行网站进行验证。

邮件中包含一个链接，并要求王丽输入她的银行账号、密码、身份证号码等个人信息。王丽担心账户安全，立即点击了链接，并按照邮件中的指示输入了她的个人信息。

然而，该链接实际上是一个伪造的银行网站，它会窃取王丽的个人信息，并用于进行欺诈活动。

王丽的银行账户被盗刷，损失了大量的资金。

安全意识缺失表现： 王丽缺乏对钓鱼邮件的识别能力，未能仔细检查邮件发件人的真实性，以及链接的安全性。她将“紧急”的指令视为理所当然，未能意识到钓鱼邮件的欺诈目的。

案例四：弱口令——“方便”的错误

赵强，一位程序员，为了方便记忆，给自己设置了一个非常简单的密码：“123456”。他认为这样设置密码可以节省时间和精力。

然而，他的电脑被黑客入侵，黑客轻松破解了他的密码，并获得了对电脑的完全控制权。

黑客利用赵强的电脑，窃取了公司的商业机密，并将其出售给竞争对手。

安全意识缺失表现： 赵强缺乏对密码安全性的认识，未能意识到使用弱口令的风险。他将“方便”视为首要考虑因素，未能意识到密码安全的重要性。

信息化、数字化、智能化环境下的安全挑战

随着信息化、数字化、智能化技术的快速发展，信息安全面临着前所未有的挑战。

• 物联网设备的漏洞： 越来越多的物联网设备接入互联网，但这些设备往往缺乏安全防护，容易成为黑客攻击的目标。
• 人工智能的风险： 人工智能技术可以用于恶意攻击，例如生成钓鱼邮件、进行深度伪造等。
• 云计算的安全隐患： 云计算虽然带来了便利，但也带来了新的安全隐患，例如数据泄露、权限管理不当等。
• 勒索软件的猖獗： 勒索软件攻击日益猖獗，给企业和个人带来了巨大的经济损失和精神压力。

全社会共同努力，提升信息安全意识

面对日益严峻的信息安全形势，我们需要全社会共同努力，提升信息安全意识、知识和技能。

• 企业和机关单位： 必须高度重视信息安全，建立完善的信息安全管理体系，加强员工的安全培训，定期进行安全漏洞扫描和渗透测试。
• 学校和教育机构： 应该将信息安全教育纳入课程体系，培养学生的网络安全意识和技能。
• 媒体和公众： 应该积极宣传信息安全知识，提高公众的安全意识，共同营造安全的网络环境。
• 技术服务商： 应该不断创新安全技术，为企业和个人提供可靠的安全防护产品和服务。

信息安全意识培训方案

为了更好地提升信息安全意识，建议采取以下培训方案：

1. 购买安全意识内容产品： 选择专业的安全意识培训产品，例如动画视频、互动游戏、模拟攻击等，以生动有趣的方式普及安全知识。
2. 在线培训服务： 购买在线安全意识培训服务，提供定制化的培训课程，满足不同岗位的安全需求。
3. 定期安全培训： 定期组织安全培训，更新安全知识，提高员工的安全意识。
4. 安全演练： 定期组织安全演练，模拟攻击场景，检验安全防护措施的有效性。
5. 安全提醒： 通过邮件、短信、微信等方式，定期向员工发送安全提醒，提醒他们注意安全风险。

昆明亭长朗然科技有限公司：您的信息安全守护者

在信息安全领域，我们始终秉承“安全至上，守护未来”的理念，致力于为企业和个人提供全方位的安全防护产品和服务。

我们的信息安全意识产品和服务涵盖：

• 定制化安全意识培训课程： 根据您的具体需求，量身定制安全意识培训课程，涵盖各种安全风险和防护措施。
• 互动式安全意识培训平台： 提供互动式安全意识培训平台，通过游戏、模拟等方式，提高员工的安全意识和技能。
• 安全意识评估工具： 提供安全意识评估工具，帮助您了解员工的安全意识水平，并制定相应的培训计划。
• 安全意识宣传材料： 提供安全意识宣传材料，例如海报、宣传册、视频等，帮助您提高员工的安全意识。
• 安全事件应急响应服务： 提供安全事件应急响应服务，帮助您快速应对安全事件，降低损失。

选择昆明亭长朗然科技有限公司，就是选择一份安心，一份保障，一份未来。

昆明亭长朗然科技有限公司致力于提升企业保密意识，保护核心商业机密。我们提供针对性的培训课程，帮助员工了解保密的重要性，掌握保密技巧，有效防止信息泄露。欢迎联系我们，定制您的专属保密培训方案。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898