“防微杜渐，未雨绸缪。”——《礼记·祭统》

在信息化、数字化、智能化、自动化高速融合的当下，企业的每一次业务创新、每一次系统升级，都可能开启一扇潜在的攻击之门。信息安全不再是安全部门的专属职责，而是全体员工的共同使命。下面，我将通过两个鲜活且极具警示意义的案例，引领大家进入信息安全的“现场”，让我们一起审视风险、洞察危机、主动防御。

---

案例一：宏指令暗礁——财务报表“狗屎”宏导致全公司被勒索

背景

2023 年 9 月，一家中型制造企业的财务部在季报截止前夜，收到了供应商发来的《Excel》文件，文件名为《2023‑Q3‑供应商发票清单.xlsx》。文件打开后，财务人员发现表格里有若干红色标记的异常行，便手动点击按钮进行“自动校对”。谁曾想，这一次“点击”触发了隐藏在宏中的恶意代码。

攻击链

1. 宏植入：攻击者在文件的 VBA 项目中嵌入了恶意宏，恶意宏在打开文件时自动运行（宏默认开启），利用 Shell 调用 PowerShell 脚本。
2. 下载执行：PowerShell 脚本从暗网 C2 服务器（IP 203.0.113.45）下载了加密勒索木马 LockRansom.exe。
3. 持久化与加密：木马在系统中植入计划任务，随后对 C:*、网络共享文件夹以及关键业务数据库文件进行加密，留下 “您的文件已被锁定，请支付比特币” 的勒索信。
4. 勒索赎金：攻击者要求企业在 48 小时内支付 5 BTC，否则将永久删除密钥。

事后分析

• 宏是“偷天换日”的利器。根据 ThreatLocker 报告，70%–90% 的攻击涉及 Office 宏。宏能够在不触发传统病毒扫描的情况下，悄无声息地执行系统命令。
• 员工的“好奇心”与“急迫感”是最好的助攻。财务部门在报表截止前的紧张情绪，使得他们忽视了对文件来源的严格核验，直接点击了宏按钮。
• 缺乏应用白名单的防护：如果企业早已实施 Application Allowlisting，未经批准的 PowerShell、cmd.exe、LockRansom.exe 均会被阻断，攻击链将在第一步就被切断。
• 备份策略失效：该企业的备份仅存于本地磁盘，未实现离线或异地备份，导致加密后无可用恢复点，最后被迫支付赎金。

教训

1. 禁用宏或采用“白名单+环形封锁（Ringfencing）”：默认关闭宏，若业务需要，则在受信任的 Office 应用中仅允许宏调用受限的功能（如禁止启动 PowerShell）。
2. 实施应用白名单：所有可执行文件默认拒绝，只有经过安全审计的程序才能运行。
3. 完善备份三要素：完整性、离线、定期演练。备份应存放在与生产环境物理隔离的位置，并且每季度进行一次恢复演练。
4. 强化文件来源审查：对外部邮件附件、下载文件进行沙盒检测；对于关键业务文件，要求发送方使用数字签名或加密传输。

---

案例二：旧协议的余波——SMBv1 被“永恒之狼”复活，导致全球连锁门店业务瘫痪

背景

2024 年 2 月，一家跨国零售连锁集团在欧洲多家门店的 POS 系统突然失去网络连接，收银机显示 “无法访问服务器”。IT 运维团队紧急排查，发现所有受影响终端的服务器磁盘被加密，且攻击者在网络层面开启了 SMBv1 的回环流量，利用已知的 EternalBlue 漏洞进行横向扩散。

攻击链

1. SMBv1 漏洞利用：攻击者通过互联网上公开的 EternalBlue（CVE‑2017‑0144）代码，针对仍开启 SMBv1 的终端发起爆破，好像在旧时的 “黑客大会” 中常见的“玩具”。
2. 内部横向渗透：利用 SMBv1 的高权限特性，攻击者在内部网络快速复制勒毒木马至其它服务器、工作站。
3. 勒索加密：在每台受感染机器上部署 WannaCry 2.0 变体（加入了更强的 AES‑256 加密算法），对关键业务数据库、POS 程序进行加密。
4. 业务瘫痪：由于 POS 系统依赖本地服务器，所有门店在数分钟内陷入“收银机死机、交易中断”的混乱状态，导致 48 小时内累计损失约 600 万美元。

事后分析

• 老旧协议是潜伏的后门。虽然 SMBv1 在 Windows 7、Windows Server 2008 之前广泛使用，但即便在新版系统中也仍可能因兼容性需求被错误打开。禁用 SMBv1 可以直接切断此类攻击路径。
• 默认开放端口是攻击者的“高速公路”。RDP、SMB、VPN 等远程服务如果不加细粒度控制，极易成为攻击者的入口。报告显示 70% 的 ransomware 攻击涉及 RDP/SMB 端口被滥用。
• 缺乏网络分段：该集团的 POS 网络与内部管理网络未进行有效分段，导致攻击者能够在内部“一键穿梭”，实现快速横向扩散。
• 补丁管理不及时：即便 Microsoft 已在 2017 年发布了针对 EternalBlue 的补丁，仍有部分终端因业务兼容性或管理员疏忽未能及时更新。

教训

1. 彻底关闭 SMBv1：在服务器和工作站上执行 PowerShell 命令 Set-SmbServerConfiguration -EnableSMB1Protocol $false，并在组策略中禁用相关服务。
2. 细化远程访问：对 RDP、VPN、SMB 等端口实施 基于角色的访问控制（RBAC），仅允许可信 IP、使用 MFA。
3. 网络分段与微分段：将关键业务系统（POS、ERP、数据库）置于独立的 VLAN，并通过防火墙进行严格的流量过滤。
4. 自动化补丁管理：利用 WSUS、Intune 或第三方补丁平台，实现 Patch‑Tuesday 之后的 48 小时内自动推送并验证。
5. 最小化服务暴露：对服务器默认关闭不必要的服务和端口，采用 默认拒绝（default‑deny）防火墙策略。

---

结合数字化浪潮的安全新常态

1. 信息化、数字化、智能化、自动化的四重驱动

• 信息化：企业业务流程、协同办公、客户关系管理（CRM）等系统全部迁移至云端，数据流动速度快，触点众多。
• 数字化：通过大数据、 AI 与机器学习实现业务洞察，数据资产的价值倍增，亦意味着数据泄露的危害更大。
• 智能化：智能机器人、自动化运维（AIOps）在提升效率的同时，也为攻击者提供了“自动化攻击平台”。
• 自动化：CI/CD、DevOps 流水线实现代码快速交付，但若安全审计环节缺失，恶意代码可“随波逐流”进入生产环境。

这四大趋势如同“双刃剑”，既为企业创造竞争优势，也为攻击者提供了更广阔的攻击面。我们必须将安全思维深植于每一个技术节点、每一次业务决策之中。

2. 员工是最强的安全防线

“千里之堤，毁于蚁穴。”——《韩非子》

没有任何技术能够替代人的警觉与判断。每一位员工都是企业安全的“哨兵”。只要我们在日常工作中养成以下安全习惯，就能在攻击者进入门槛前，将他们拦在外面。

基础安全习惯清单

序号	行动	为什么重要
1	禁用 Office 宏，如需使用请在可信环境中白名单化	防止宏植入恶意代码
2	开启多因素认证（MFA），覆盖所有远程服务	防止凭证被盗后直接登录
3	定期更改密码，遵循 12 位以上、大小写+数字+特殊字符 组合	减少密码暴力破解成功率
4	不随意点击陌生链接或下载附件，尤其是来自外部邮件	阻止钓鱼和恶意软件的第一步
5	使用公司批准的 VPN/终端安全软件，禁止自行搭建 VPN	避免流量被劫持或泄露
6	对敏感文件进行加密、标记，并遵守最小权限原则	降低数据泄露风险
7	保持系统、应用及时更新，开启自动补丁	修复已知漏洞，阻止已公开的攻击手段
8	定期备份关键数据，并在离线介质上做恢复演练	确保在勒索或灾难时能够快速恢复
9	切勿在工作电脑上安装未经批准的第三方软件	防止潜在的后门或间谍软件
10	遇到可疑情况及时上报，使用内部安全平台或直接联系安全团队	集体防御、快速响应

3. 信息安全意识培训的价值

• 提升防御深度：根据 Gartner 预测，组织的 人因防御能力提升 30% 可直接降低 40% 的安全事件发生概率。
• 降低合规成本：符合《网络安全法》《个人信息保护法》等监管要求，避免因违规产生的巨额罚款。
• 增强业务连续性：在业务高峰期，若出现安全事故，能快速定位并恢复，避免业务中断导致的经济损失。
• 塑造安全文化：安全不再是“IT 的事”，而是全员共同的价值观、行为准则。

---

动员召集令——让我们一起进入“安全训练营”

培训概览

项目	内容	时间	形式	目标
1️⃣ 基础篇	信息安全基础、密码管理、钓鱼识别	2025‑12‑10（周三） 14:00‑15:30	线上直播 + PPT	掌握最常见威胁的识别与防御
2️⃣ 进阶篇	应用白名单、Ringfencing、网络分段	2025‑12‑17（周三） 14:00‑15:30	线上直播 + 案例演练	能够自行配置安全策略
3️⃣ 实战篇	漏洞管理、补丁自动化、SOC 基础	2025‑12‑24（周三） 14:00‑15:30	线上直播 + 实机演练	掌握日常安全运营工具
4️⃣ 案例研讨	现场复盘宏攻击 & SMBv1 失控	2025‑12‑31（周三） 14:00‑15:30	线上+线下结合	提升安全事件快速响应能力

“千军易得，一将难求；千将易得，一员难保。”——在这场信息安全的战役中，每一位员工都是“一员”。只要我们共同学习、相互监督，就能让组织的防御体系如铜墙铁壁。

参与方式

1. 报名渠道：公司内部协作平台（WorkLink）→ “培训中心” → “信息安全意识培训”，填写姓名、部门、联系方式。
2. 报名截止：2025‑12‑05（周日）23:59 前完成报名，系统将自动发送参会链接和预习材料。
3. 奖励机制：完成全部四场培训并通过期末测评（满分 100 分）者，将获颁 “信息安全守护者” 电子徽章，并可在年度绩效评估中获得 信息安全创新加分。另外，前 50 名完成测评且得分≥90 分者，可获得价值 399 元的 数字安全工具套装（包括硬件加密U 盘、密码管理器一年订阅等）。

培训准备小贴士

• 提前测试网络：确保电脑能顺畅打开 Zoom/Teams 会议链接，避免因为网络卡顿耽误课程。
• 备好笔记本：本次培训将提供现场演练环境，建议准备纸笔记录关键操作步骤。
• 保持手机静音：实战演练期间请将手机调至振动或静音，以免干扰演示。
• 提前阅读材料：报名后系统会发送《信息安全基础手册》，建议在培训前先阅读第一章（约 5 页），对概念有个初步了解。

---

结语：从“防范”到“主动”，从“个人”到“组织”

在数字化浪潮的浩荡之中，安全不是锦上添花的装饰，而是组织生存的根基。我们每个人的一个小动作，可能决定了企业是安然无恙，还是陷入灾难。正如《孙子兵法》所言：

“兵者，诡道也；能而示之不能，用而示之不用。”

在信息安全的战场上，我们需要用技术的诡道，用制度的严明，用培训的力量，让攻击者的每一次尝试都无所遁形。让我们在即将开启的培训中，打通知识的血脉，点亮防护的灯塔，用每一次学习、每一次演练，筑起企业坚不可摧的数字城墙。

守护企业，始于你我；安全之路，携手同行！

信息安全意识培训

网络安全 防御 关键字

昆明亭长朗然科技有限公司致力于为企业提供定制化的信息安全解决方案。通过深入分析客户需求，我们设计独特的培训课程和产品，以提升组织内部的信息保密意识。如果您希望加强团队对安全风险的认知，请随时联系我们进行合作。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

---

前言：四桩警示案例，点燃安全意识的火花

在信息化浪潮汹涌澎湃的今天，企业的每一次数字化升级，都伴随着潜在的安全隐患。若不及时洞悉并加以防范，极易酿成“千里之堤毁于蚁穴”的惨剧。以下四个典型案例，均来源于近期业界公开披露的真实漏洞与攻击，充分展示了攻击者的聪明才智与企业防御的薄弱环节。让我们先抛出这些案例的概括，随后逐一剖析其技术细节、业务影响以及防御误区，帮助每一位职工在情感上产生共鸣，在认知上提升警觉。

案例编号	事件名称	漏洞/攻击手段	关键教训
案例一	FortiWeb 命令注入（CVE‑2025‑58034）被实战利用	通过 Web 界面发送特制 HTTP 请求，触发操作系统命令执行	未对用户输入进行严格过滤，导致攻击者直接获取系统最高权限
案例二	FortiWeb 相对路径遍历（CVE‑2025‑64446）静默修补	利用路径拼接缺陷读取任意文件，攻击者窃取配置和凭证	供应商未及时公开补丁信息，防御方错失风险感知窗口
案例三	漏洞链式利用 → 完全未授权 RCE	将案例一的授权注入与案例二的路径遍历结合，实现全链路远程代码执行	单点防护思维的局限性，需整体视角审视漏洞叠加效应
案例四	供应链攻击的致命连锁——SolarWinds 事件（虽非本篇重点，却是行业警示）	恶意代码植入合法更新包，横跨数千家企业网络	盲目信任供应商更新，缺乏独立完整性校验机制

下面，我们从技术、业务和管理三个维度，对上述四桩案例进行深度拆解，帮助大家从“看见”到“感受”，再到“行动”。

---

案例一：FortiWeb 命令注入（CVE‑2025‑58034）被实战利用

1. 漏洞概述

• 编号：CVE‑2025‑58034
• 影响产品：Fortinet FortiWeb（Web 应用防火墙）
• 危害等级：CVSS 6.7（中等偏高）
• 攻击路径：攻击者必须拥有受限的管理员凭证或已通过身份验证的会话，可向 FortiWeb 的 Web UI 或 API 发送特制的 HTTP 请求，利用“未过滤的系统命令参数”触发操作系统层面的命令执行。

2. 技术细节

FortiWeb 在处理某些配置接口时，会将用户提交的字符串直接拼接进系统 Shell 命令，如 ping -c 4 <user_input>。如果对 <user_input> 没有进行严格的字符白名单过滤或转义，攻击者可以注入诸如 ; rm -rf /; 的恶意代码，实现任意命令执行（Command Injection）。这类漏洞的核心在于 “信任用户输入” 与 “缺乏最小权限原则”。

3. 实际利用情景

Trend Micro 的研究员在与 Fortinet 的漏洞披露流程中，意外发现该功能在特定固件版本下仍可被利用。随后，他们利用真实的企业环境进行验证，成功在目标 FortiWeb 上打开了一个逆向 Shell，进一步获取了系统的 root 权限。随后，CISA 将此漏洞列入 已知被利用漏洞（KEV）目录，并在 72 小时内监测到多起针对该漏洞的网络探测和攻击流量。

4. 业务影响

• 系统全权控制：攻击者获得的 root 权限可以修改防火墙规则，甚至关闭安全策略，导致企业内部网络的防护形同虚设。
• 横向渗透：利用 FortiWeb 作为跳板，攻击者可进一步渗透至内部业务服务器、数据库乃至关键业务系统。
• 合规风险：若泄露了受监管的个人信息或业务数据，企业将面临 GDPR、网络安全法等多重合规处罚。

5. 防御失误与教训

失误点	解释
仅关注外部攻击	防火墙本身是内部资产，易被内部已认证用户滥用。
缺乏输入过滤	对所有外部输入采用白名单而非黑名单、正则过滤是根本防线。
未开启审计日志	若开启详细审计，异常命令执行可以及时告警。
未进行代码安全审计	关键功能的代码应定期进行静态与动态安全扫描。

---

案例二：FortiWeb 相对路径遍历（CVE‑2025‑64446）静默修补

1. 漏洞概述

• 编号：CVE‑2025‑64446
• 影响产品：同为 FortiWeb（同一代固件）
• 危害等级：CVSS 7.2（高危）
• 攻击路径：攻击者通过构造特定的 URL（如 ../..//etc/passwd）访问系统内部文件，成功读取敏感配置文件、凭证文件以及系统日志。

2. 技术细节

该漏洞源于 FortiWeb 在解析文件路径时仅做了相对路径拼接，而未对 “..” 等上层目录跳转进行规约（canonicalization）处理。攻击者只需在 HTTP GET 请求的参数中加入恶意路径，即可突破文件系统的根目录限制。由于大多数 Web 应用服务器默认会把路径解析为真实文件系统路径，未进行额外的安全检查，导致 路径遍历（Path Traversal） 成为可能。

3. 静默修补的争议

在 2025 年 10 月，Fortinet 通过内部渠道向受影响客户推送了紧急补丁，但 未公开披露 此次修复信息。Rapid7 的研究团队通过对比固件版本差异，发现了此补丁的存在，并在随后的安全社区报告中指出此举导致 信息不对称：安全团队仍然在监控该漏洞的攻击流量，却不知厂商已经修复，误判风险等级，从而影响了资源分配。

4. 业务影响

• 凭证泄露：攻击者可直接读取存放在 /etc/fortiweb/ 下的管理员密码文件。
• 内部网络探测：获取系统结构图后，攻击者可更精准地策划后续渗透。
• 信任危机：客户对厂商的透明度产生怀疑，导致 安全合作关系受损，甚至出现品牌声誉下降。

5. 防御失误与教训

失误点	解释
未进行安全更新的可视化	安全团队需要实时知晓所有补丁的发布与部署状态。
未对文件访问进行最小化授权	Web 服务只应拥有读取必要文件的最小权限，避免暴露系统关键文件。
缺乏路径规约机制	对所有文件路径进行正规化、白名单检查是阻断此类攻击的根本手段。

---

案例三：漏洞链式利用 → 完全未授权远程代码执行（RCE）

1. 漏洞叠加的威力

单一漏洞往往被视为“局部危害”，但当攻击者将 案例一 的 已认证命令注入 与 案例二 的 路径遍历 组合使用时，便可以实现 未授权（即无需任何凭证）即可在目标系统上执行任意代码的 完整攻击链。

2. 攻击链步骤

1. 路径遍历阶段：攻击者利用 CVE‑2025‑64446 读取 FortiWeb 的配置文件 admin.conf，其中包含了管理员的加密凭证或 API Token。
2. 凭证提取：通过离线破解或利用默认密码字典，获取有效的管理员凭证。
3. 命令注入阶段：使用获得的凭证登录 Web UI，向受影响的命令执行接口发送特制请求，触发 OS 命令执行（CVE‑2025‑58034）。
4. 持久化：植入后门脚本，实现后续持续访问与数据窃取。

3. 实际案例复现

Rapid7 Labs 在实验室环境中成功复现了上述完整链路：仅用了 两分钟 就完成了从无权限到根权限的飞跃。报告指出，该链路的成功率在实际环境中甚至更高，因为企业往往 未对内部必需的凭证进行分段隔离，导致一次泄露即可波及整个安全防线。

4. 业务影响

• 全局控制权丧失：攻击者可以修改防火墙规则，甚至关闭入侵检测系统（IDS），令后续的入侵行为难以被发现。
• 数据泄露与业务中断：利用 RCE，攻击者可以直接访问业务数据库，进行数据篡改或勒索。
• 合规与法律责任：一旦攻击导致客户数据泄露，企业将面临巨额的 赔偿、监管罚款 以及 诉讼。

5. 防御失误与教训

• 孤岛式安全：仅对单点漏洞进行修补，而忽视了 漏洞间的潜在联动。
• 缺少横向防御：未在网络层面部署 微分段（micro‑segmentation），导致一次凭证泄露可横向渗透。
• 未进行渗透测试：真实环境中缺少红蓝对抗演练，导致链式攻击未被提前发现。

---

案例四：SolarWinds 供应链攻击（行业警示）

“信任是一把双刃剑，若不加防护，便会被刀锋所伤。”
——《孟子·离娄》

虽然 SolarWinds 事件并非 FortiWeb 的直接漏洞，但它向我们展示了 供应链风险 的极端危害。黑客通过植入恶意代码至 SolarWinds Orion 的合法更新包，向全球数千家企业、政府机构递送后门，造成 后续的持久化渗透。

1. 攻击方式

• 代码注入：攻击者在 SolarWinds 的构建系统中植入隐藏的后门代码。
• 伪装更新：利用正规渠道发布带有后门的更新文件（.cab），被客户误认为安全补丁。
• 横向移动：入侵后，攻击者通过已获得的网络权限，逐步渗透至内部关键系统。

2. 教训提炼

• 更新即风险：即便是官方渠道的补丁，也可能被篡改。企业必须 验证签名、校验哈希，并结合 零信任 原则来限制更新过程的权限。
• 供应链可视化：对所有第三方组件进行 资产登记、风险评估，并在采购前进行安全审计。
• 持续监测：在更新后，必须对关键资产进行 行为基线监控，及时捕捉异常。

---

从案例到行动：企业数字化转型背景下的信息安全新逻辑

随着 信息化 → 数字化 → 智能化 → 自动化 的四位一体发展，企业的技术栈呈现多层叠加的趋势：

1. 多云、多租户：业务系统分布在公有云、私有云以及混合云环境中，边界模糊，攻击面扩大。
2. AI/大数据：机器学习平台、数据湖等新型资产带来数据泄露与模型投毒的双重威胁。
3. IoT/OT 融合：工厂自动化、物流机器人等设备与 IT 网络深度耦合，导致 传统 IT 防护不足。
4. DevSecOps：软件交付加速，代码频繁变更，安全审计必须嵌入 CI/CD 生命周期。

在上述宏观趋势下，“单点防护”已不再适用。我们需要构建 “全链路、全视角、全方位”的安全防御体系，而这离不开每一位职工的安全意识与实际操作能力。以下是我们在新形势下应当遵循的几大原则：

1. 零信任（Zero Trust）思维贯穿全局

• 身份即中心：不再默认内部网络可信，所有访问请求均需进行身份验证与授权。
• 最小权限：每个账号、每个进程只拥有完成任务所必需的最小权限。
• 持续验证：即便身份通过，也需在会话期间进行行为监控与风险评估。

2. 安全即代码（Security as Code）

• 将安全配置写入代码库、版本化管理，确保 “基础设施即代码（IaC）” 中的安全策略始终可追溯、可审计。
• 自动化安全扫描、合规检查纳入 CI/CD 流程，防止不安全的镜像进入生产环境。

3. 可观测性与自动响应

• 部署 统一日志、指标、追踪（日志、Metrics、Tracing） 平台，实现跨系统的威胁情报共享。
• 基于行为分析的 SOAR（Security Orchestration, Automation and Response），实现高置信度告警的自动化处置。

4. 人员培训与文化建设

• 安全文化 不是一阵子的大宣传，而是每一次登录、每一次提交代码、每一次系统配置的潜移默化。
• 场景化演练：通过红蓝对抗、钓鱼邮件模拟等方式，让员工在真实情境中学习防御技巧。
• 知识沉淀：每一次安全事件后都要撰写 事后分析报告（Post‑Mortem），形成组织的知识库。

---

立即行动：加入“信息安全意识提升计划”，让自己成为企业的安全第一线

亲爱的同事们，面对上述真实案例的冲击波，我们不能坐等风暴过去，而应主动 “抢先防范、主动出击”。为此，公司即将在 本月 15 日 正式启动 信息安全意识培训（Security Awareness Training），培训内容围绕以下四大模块展开：

模块	主要议题	预期产出
① 网络安全基础	OSI七层模型、常见攻击手法、密码学基础	了解攻击全景，识别异常流量
② 漏洞与补丁管理	漏洞生命周期、补丁发布流程、CVE 查询技巧	能主动发现并评估漏洞风险
③ 零信任与最小权限	身份认证、访问控制策略、微分段实施	构建内部防护的“深层壁垒”
④ 实战演练 & 案例复盘	对上述四大案例的现场渗透模拟、应急处置流程	通过“演练+复盘”，把知识转化为行动

培训形式

• 线上直播 + 课后测验：每期时长 1.5 小时，配备即时答疑环节。
• 互动实验室：使用隔离的演练环境，亲手复现“命令注入 → 路径遍历 → RCE”完整链路。
• 团队挑战赛：分组进行红蓝对抗，以“谁先发现并修复漏洞”为目标，培养协作防御思维。

参与方式

1. 登录公司内部学习平台（URL: https://training.ltrc.com），进入 “信息安全意识提升计划” 页面。
2. 填写 报名表（姓名、部门、工号），选择 首选时间段（上午 9:30‑11:00 / 下午 14:30‑16:00）。
3. 完成 预备测评（10 题选择题）后，即可获得培训资格凭证。

温馨提示：公司将对完成培训并通过测评的员工颁发 《信息安全合规证书》，该证书将在年度绩效评审中计入 “安全贡献度” 项目，优秀者有机会获得 专项奖金 或 晋升加分。

目标与期待

• 覆盖率：全员参与率>90%；关键岗位（运维、研发、网络）>99%。
• 合规度：2026 年前实现 ISO 27001 相关控制项的内部审计合格。
• 安全成熟度：在内部红队攻击演练中，将 漏洞利用成功率 从 42% 降至 <10%。

---

结语：让安全成为创新的基石，而非束缚

回溯四桩案例的脉络，我们不难发现：技术漏洞无所不在，攻击手段层出不穷；而防御的薄弱往往源于“人”而非“技术”。 正如《论语》有云：“工欲善其事，必先利其器。” 这把“器”正是我们每个人的 安全意识 与 专业技能。

在数字化浪潮中，信息安全不仅是 IT 部门的责任，更是全员的共同使命。让我们在即将到来的培训中，一起把抽象的漏洞、技术术语转化为可操作的防护行动；把“被动防御”升级为“主动监控”，把“事后补救”变成“事前预防”。只有这样，才能在激烈的竞争与日益严峻的网络威胁之间，保持企业 稳健运营、持续创新 的核心竞争力。

让我们携手，以防护为帆，以创新为舵，驶向更加安全、更加辉煌的明天！

安全，是每一次登录的第一句话；也是每一次代码提交的最后一句承诺。

网络安全意识提升计划

2025 年 11 月 27 日

在数据安全日益重要的今天，昆明亭长朗然科技有限公司致力于为企业提供全面的信息安全、保密及合规解决方案。我们专注于提升员工的安全意识，帮助企业有效应对各种安全威胁。我们的产品和服务包括定制化培训课程、安全意识宣教活动、数据安全评估等。如果您正在寻找专业的安全意识宣教服务，请不要犹豫，立即联系我们，我们将为您量身定制最合适的解决方案。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898