网络安全

如何建立网络安全文化

admin

根据网安科技的一项调查,中央国资企业仅将其IT预算的3.2%用于网络安全。对此,昆明亭长朗然科技有限公司网络安全专员董志军感叹道:这点支出与全球范围内的跨国企业13%的基准相比,显得多么的微不足道。

不可否认的是,很多中央企业担负着重要的政治任务,这就造成可能在非经济领域的事情上花了很多钱,因此尽管有庞大的开支,在网络安全方面,央企仍然会觉得处处都是威胁,尽管有如《网络安全法》、等级保护等法规驱动力来促进网络安全工作的开展,但是“巧妇难以无米之炊”,那紧张的预算,想买高端的设备和服务,是不可能的。

《网络安全法》实施几年来,相关细则不断出台,给互联网、金融等行业带来了巨大变化,许多公司正在不断加强对网络安全的关注和投入,但是这种情况似乎并没有在央企大量发生。为什么央企不带好头儿严格遵循网络安全相关的法律法规呢?要说他们不怕惩罚那是不可能的,要说没有资源那也说不过去,有国家做后盾的都是财大气粗的,而且有大量的服务商盯着看着。

一位常年与央企网络安全负责人打交道的超级销售称:“客户知道他们在信息安全方面的支出低于其发达国家同行的支出,但是他们也知道中国的国情,即使争取到了可观的网络安全预算,也很快会被领导一句话,就挪做他用。”

这就是央企国企的企业文化的一部分,网络安全负责人无奈也没有办法。不过,如果硬着头皮要上,那最好也是从文化入手,即少花钱买“物品”,多用“人力”,以建立网络安全文化。网络安全领域传统的观念就是安装硬件设备,安全人员喜欢这样做,因为外行的领导们不懂,当然,这闹出过很多笑话,比如一套软件一张光盘一千块领导觉得贵,把同样的软件装进工控机十万块领导却觉得值。不过近些年来,领导们越来越聪明了,他们不再迷信机器设备这些硬件,而是更注重人的因素。这也是一个潮流和趋势,设备设施是为人服务的,也要人来使用的,安全亦是如此,需要与人互动起来,才是真的安全。

建立企业网络安全文化,通过内部沟通,让人人懂安全,是最经济实惠的“秀”安全工作的方法,领导们可能不喜欢去机房看那些硬件设备,但一定会喜欢看到职员们展示出来的安全风貌,这就是领导们喜欢玩儿的,安全文化的体现。网络安全文化的体现会在哪些方面呢?董志军举出如下几个例子。

密码或口令的保护,密码出入各类信息系统的钥匙,是网络安全防御体系的重要一环,央企职员们可以使用容易创建、容易记忆、复杂而强大的密码来帮助提高网络安全性。这需要网络安全团队强化宣传,以激励职员们保持更健康的密码习惯。在职员们为领导们演示工作时,输入复杂的密码登录系统,与输入简单的密码,或者看着屏幕旁边的小纸片上记录的密码,给领导的印象会截然相反。

机密与隐私的保护,领导到办公区走走,看到有的员工不在座位上,但涉密信息却被摆放在桌面,有的员工在微信中随意披露工作内容,有的员工将工作文件上传到互联网云盘上,领导肯定会有些担心。与之相比,领导看到不在座位的员工桌面仍然很整洁,电脑屏幕也被锁定起来,其他的员工在离开座位时也收拾好桌面,并习惯性地锁起重要物品和电脑桌面。即使领导嘴上不说,心里也肯定会有自己的认识和看法。

恶意软件的感染,从来未感染过或听过受到恶意软件感染的机构,和感染了勒索软件的机构,给领导的印象绝对是截然不同的,即使领导是个网络安全方面的技术外行,但是显然,人们会有一个常识,电脑文件被勒索软件加密,绝不是偶然的因素,而无疑体现出网络安全综合水平的落后。

通常上述几个例子,相信不难理解网络安全文化的重要性,网络安全文化并不是虚无的东西,也并不是表面的东西,而是实实在在的网络安全治理管理体系的组成部分。文化的养成源自行为习惯的塑造,而行为习惯则源自于对网络安全的积极和正确的认识。如果人们不认为安装安全补丁有什么用处、甚至觉得是麻烦事儿的话,他们就不会及时安装软件的安全补丁,系统和网络的安全漏洞就会一直存在,一旦遭遇网络安全威胁,风险便随之而来。

不要以为通过扫描网络漏洞、识别和监控网络安全入侵行为,建立网络安全事件快速响应计划等等措施就可以替代掉对职员的安全文化熏陶工作,网络安全是一项全民的工作,针对网络安全威胁的战争亦是如此,不能仅仅依靠专业团队,全民用网络,全民要防范。

借助新型的安全意识培训产品,央企网络安全负责人可以快速、轻松地部署以培训员工安全意识的在线网络教育课程,内容包括安全意识基础和安全意识技术。在线网络教育系统通常还使管理人员下载报告以识别已完成课程和未能及时完成课程的职员。

当然,网络安全文化的建立并非一两次安全意识培训活动就可以达成,要不断地放在实践中去检验,网络安全现场审核与检查、人员网络安全意识访谈、模拟网络钓鱼攻击等等活动,都是花很少钱,却能同时衡量和促进网络安全文化建设的好方法和好工具。

确保网络安全法规与政策的落实,需要拿得出的东西来激励人们学安全、行安全。创建网络安全文化不能虎头蛇尾,要坚持不懈,定期进行全员安全意识刷新是必不可少的工作。

为帮助各类型企业机构的网络安全负责人员,昆明亭长朗然科技有限公司推出了网络安全意识培训与文化宣传服务及课程内容资源,欢迎联系我们,洽谈采购与合作事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

防止“敲门即付”——从真实案例看信息安全的必修课

admin

一、脑洞大开:若黑客敲响你的办公室大门……

在一次高层会议的头脑风暴中,我们不妨把信息安全想象成一场“抢劫现场”。想象一下,黑客像是持枪的劫匪,悄无声息地潜入企业的网络,锁住了关键的数据文件,然后举起“枪口”大声说:“给我钱,我就开门!”如果我们站在劫匪的对面,忘记了自己的防卫武器——备份、应急预案、法律与伦理的底线——那我们会怎么做?是慌忙掏钱,还是坚守原则,等待警方的增援?

正是这种极端假设,让我们在面对真实的网络勒索时,能够保持冷静。下面,我将通过两个典型案例,把这场“抢劫”从抽象的概念转化为血肉丰满的教训,帮助大家在日常工作中时刻保持警惕。

二、案例一:英国零售巨头M&S的“勒索追梦”

1. 事件概述

2025年4月,英国老牌零售商Marks & Spencer(以下简称M&S)在其内部物流系统遭遇一次大规模勒索软件攻击。攻击者通过钓鱼邮件成功获取了部分内部账户的凭证,随后利用这些凭证在企业网络内部横向移动,最终控制了核心的物流管理平台。所有关键文件被加密,攻击者留下了高额赎金要求。M&S决定不付款,坚持使用内部备份与手动恢复流程。结果,线上店铺被迫关闭数月,估计直接经济损失高达4亿美元。

2. 背后原因与失误

  • 缺乏多层次备份:虽然M&S拥有日常备份,但备份系统未实现离线、异地镜像,导致部分重要日志在攻击时同步受损。
  • 应急响应迟缓:安全团队在收到勒索提示后,未能立即启动预案,导致恢复窗口延长。
  • 缺少模拟演练:在真正灾难面前,团队对备份验证、业务连续性切换缺乏实战经验。

3. 经验教训

  • 备份要“三位一体”:本地+离线+异地三重存储,确保在任何单点失效时都有可用恢复点。
  • 演练必须上台:每年至少进行两次全业务恢复演练,检验备份完整性与恢复时间目标(RTO)。
  • 威胁情报要常更新:与行业共享平台对接,及时获取最新勒索软件家族(如Conti、LockBit)的攻击手法。

防微杜渐”,古语有云:“千里之堤,溃于蚁穴”。一次小小的凭证泄漏,若不及时堵住,最终会导致整座堤坝崩塌。

三、案例二:CISO“付费意愿”与现实的裂痕

1. 调查数据

2026年5月,由安全厂商Absolute Software委托进行的一项针对美国、英国750位CISO的调查显示,58%的受访者表示在遭遇勒索时会考虑支付赎金。与此同时,IDC去年的研究报告指出,37%的被攻击企业实际上选择了支付,且其中约5%的受害者在支付后仍面临解密不完整的困境。保险公司Hiscox在2025年的调查进一步发现,仅有60%的付费企业能够成功恢复全部或部分数据。

2. 关键冲突

  • 愿付与实际付:调查中,CISO们的“付费意愿”往往受到业务连续性压力与董事会激励的双重驱动。然而,一旦真正到付款环节,法律合规、声誉风险以及付款后仍不一定能恢复数据的事实,使得决定更加犹豫。
  • 法律与道德的天平:英国国家网络安全中心(NCSC)和美国联邦调查局(FBI)均明确警告:“支付赎金只会助长犯罪”。支付行为在法律层面可能触及制裁名单,甚至被视为间接支持恐怖组织。
  • 备份缺失的致命代价:IDC数据显示,在有完善备份方案的企业中,约29%能够在不支付的情况下从备份中恢复文件;而没有备份的企业中,33%在不付费的情况下完全失去数据。

3. 触发点与防御策略

  • 建立“支付禁令”制度:在公司治理层面,将支付赎金列入不可逾越的红线,任何部门在未获高层授权(包括法务与合规部门审查)前不得擅自付款。
  • 强化备份与恢复能力:采用零信任备份架构,确保备份系统与生产环境完全隔离,防止勒索软件横向渗透至备份库。
  • 实时监测与快速隔离:利用AI驱动的行为分析平台,实时捕捉异常加密行为,一旦发现即自动触发网络隔离、封锁可疑进程。

止于至善”。如果说偷窃的黑客已经敲开了门,那么我们必须提前在门口布置好绊脚石,让他们连敲也难。

四、当下的融合环境:智能化、信息化、智能体化的“三位一体”

1. 智能化——AI助力防御

在过去的两年里,AI技术在威胁检测、恶意代码识别、异常流量分析方面取得突破。通过机器学习模型,能够在毫秒级捕获异常加密进程,自动触发“零信任隔离”。然而,黑客同样借助AI生成的“深度伪造钓鱼邮件”,让防御者陷入“攻防同源”的悖论。
对策:企业应在AI防御体系中加入可解释性(XAI),让安全分析师快速定位模型判断背后的依据,避免盲目依赖。

2. 信息化——数字化业务的双刃剑

企业的ERP、CRM、云服务等系统已经高度信息化,业务流程几乎全部线上化。业务系统的高可用性带来了业务连续性的要求,但也让攻击面大幅扩大。
对策:实行最小特权原则(PoLP),对每一项业务功能进行精细的访问控制;同时对关键业务数据进行多重加密,即使攻击者突破防线,也难以直接读取。

3. 智能体化——物联网与数字孪生的崛起

智能工厂、智慧楼宇、车联网等场景出现了大量边缘设备(IoT),这些设备往往固件更新不及时、身份认证薄弱,成为黑客的“后门”。
对策:部署统一的设备身份管理平台(UEM),为每个智能体分配唯一的硬件根信任(Root of Trust),并通过区块链技术记录设备固件的版本变更,以防止篡改。

正所谓“木秀于林,风必摧之”。在智能化、信息化、智能体化的浪潮中,企业的每一层技术堆叠都是可能被攻击者利用的“树枝”。我们必须在每一根枝桠上装上防护网,才能让整棵树屹立不倒。

五、信息安全意识培训——从“被动防御”到“主动筑墙”

1. 培训的必要性

  • 提升全员防御能力:调查显示,超过70%的勒索攻击源于钓鱼邮件的成功点击。只有让每位员工懂得“不点、不下载、不泄露”,才能从根源削减风险。
  • 建立统一安全语言:在跨部门、跨地区的协作中,统一的安全术语与流程能极大降低误解导致的安全漏洞。
  • 符合监管合规:GDPR、ISO 27001、国内《网络安全法》等法规要求企业定期进行安全培训并留存记录。

2. 培训内容框架(结合案例与新技术)

模块 关键要点 互动方式
勒索软件认知 勒索链条、支付风险、备份价值 案例复盘(M&S、CISO付费意愿)
身份与访问管理 最小特权、零信任、密码管理 实时密码强度检测演练
AI驱动防御 行为分析、可解释AI、误报处理 模拟AI监测平台操作
IoT安全要点 设备身份、固件签名、网络分段 现场硬件安全芯片展示
应急响应流程 发现-隔离-恢复-复盘 桌面演练(红蓝对抗)
法律与合规 支付禁令、数据泄露报告期限 法务专家问答

3. 培训的形式与激励

  • 线上微课 + 实时直播:碎片化学习,适配移动办公。
  • 情景式闯关游戏:模拟真实攻击场景,完成任务可赢取“安全达人”徽章。
  • 绩效与奖励挂钩:将安全合规考核计入年度绩效,表现突出者可获得公司内部的“安全之星”荣誉及额外培训经费。

4. 行动号召

同事们,信息安全不是某个人的事,而是全体员工共同守护的城墙。在智能化、信息化、智能体化交织的今天,任何一个细小的失误,都可能导致整座城池的崩塌。让我们一起:

  1. 主动报名即将开启的全员信息安全意识培训(时间、地点将在内部平台公布)。
  2. 积极参与培训前的预热测验,了解自己的安全盲点。
  3. 在日常工作中坚持“三不原则”:不随意点击未知链接、不轻信外部来电、不泄露内部敏感信息。

只有每个人都把安全意识内化为习惯,我们才能在面对黑客的“敲门声”时,坚定地说:“请离开,这里已经布满陷阱!”

正如《孙子兵法》所言:“上兵伐谋,其次伐交,其下伐兵。”在网络空间,先手的谋划与沟通才是最有力的防御。让我们从今天做起,用知识与技巧筑起最坚固的防线。

六、结语:把安全写进每一天的工作日程

在企业的数字化转型之路上,信息安全是不可或缺的基石。通过学习M&S的血的教训、审视CISO的支付意愿,我们已经看清了“付钱不一定能解锁,备份才是钥匙”的真相。现在,借助AI、云计算、物联网等新技术,我们有机会将防御提升到前所未有的高度。但技术本身并非万能,最核心的仍是人的意识

让我们在即将开启的安全培训中,携手学习、共同进步,把每一次防御演练都当作一次“练兵”。只有这样,当真实的勒索软件敲响我们的“大门”时,我们才能胸有成竹,用备份、用法律、用技术,用我们的智慧和勇气把它踢回去。

安全,从今天开始,从每一个细节做起!

昆明亭长朗然科技有限公司通过定制化的信息安全演练课程,帮助企业在模拟场景中提高应急响应能力。这些课程不仅增强了员工的技术掌握度,还培养了他们迅速反应和决策的能力。感兴趣的客户欢迎与我们沟通。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898