我是董志军，在法律服务行业深耕网络安全领域已经十余年了。我常常思考，信息安全，不仅仅是技术层面的防护，更是我们行业赖以生存和发展的基石。作为一名信息安全专员，我亲历了无数信息安全事件，从窃听、恶意代码到视频钓鱼、身份盗窃，每一次事件都让我深刻体会到，人员意识的薄弱，往往是安全事件发生的根本原因。今天，我想和大家分享我多年来在信息安全建设方面的经验，希望能为我们行业的安全防护贡献一些力量。

一、信息安全事件的教训：人员意识薄弱的根源

我从业以来，参与处理过许多信息安全事件，其中一些案例至今让我不寒而栗。这些事件的类型各异，但背后却都指向一个共同的问题：人员意识的薄弱。

• 窃听事件： 曾经有一家大型律所，由于员工对网络安全意识淡薄，随意使用公共Wi-Fi进行敏感文件传输，导致窃听事件发生。攻击者通过中间人攻击，窃取了律所内部的机密信息，造成了巨大的经济损失和声誉损害。这充分说明，即使技术防护再强大，也无法抵御员工不安全的行为。
• 恶意代码事件： 还有一次，一名律师点击了一个看似无害的邮件附件，结果激活了一个恶意代码。该恶意代码感染了律所的服务器，导致大量数据丢失，业务中断。这再次提醒我们，员工对邮件安全风险的认知不足，是恶意代码传播的重要途径。
• 视频钓鱼事件： 视频钓鱼攻击日益猖獗，一些律师在收到伪装成客户或合作伙伴的视频通话邀请时，缺乏警惕，轻易点击了恶意链接，导致个人账户被盗，甚至影响到律所的客户关系。这说明，员工对钓鱼攻击的识别能力需要不断提高。
• 身份盗窃事件： 令人痛心的是，有律师因为疏忽大意，将个人账号密码保存在不安全的地方，或者在不安全的网站上输入密码，导致个人身份信息被盗，并被用于非法活动。这警示我们，个人信息安全意识的培养至关重要。

这些事件的背后，都反映出人员意识的薄弱。员工对网络安全风险的认知不足，对安全策略的执行不力，对安全工具的使用不熟悉，这些都为攻击者提供了可乘之机。

二、构建全方位安全体系：战略、技术与文化并重

面对日益复杂的网络安全形势，我们不能仅仅依靠技术手段来解决问题，更需要构建一个全方位的安全体系，包括战略规划、组织架构搭建、文化培育、制度优化、监督检查和持续改进等多个方面。

• 战略规划： 信息安全战略应该与律所的整体业务战略相一致，明确信息安全的目标、范围和优先级。要根据行业特点，制定针对性的安全策略，例如保护客户隐私、维护知识产权等。
• 组织架构搭建： 建立一个明确的信息安全组织架构，明确各部门的安全职责和权限。可以设立信息安全委员会，负责制定安全策略、协调安全工作、评估安全风险。



• 文化培育： 信息安全不仅仅是技术问题，更是一种文化问题。要通过各种方式，营造积极的安全文化，让员工认识到信息安全的重要性，自觉遵守安全规定。可以定期组织安全培训、安全演练、安全宣传等活动。
• 制度优化： 完善信息安全制度，包括访问控制制度、数据备份制度、应急响应制度等。要明确各环节的安全要求，并建立相应的监督机制。
• 监督检查： 定期进行安全评估、漏洞扫描、渗透测试等，及时发现和修复安全漏洞。要建立完善的日志管理系统，对用户行为进行监控和审计。
• 持续改进： 信息安全是一个持续改进的过程。要根据新的安全威胁和技术发展，不断更新安全策略、完善安全制度、提升安全防护能力。

三、常规网络安全技术控制措施：筑牢安全防线

除了完善的安全体系，我们还需要采取一些常规的网络安全技术控制措施，以筑牢安全防线。

• 防火墙： 部署防火墙，限制网络流量，防止未经授权的访问。
• 入侵检测系统（IDS）/入侵防御系统（IPS）： 监控网络流量，检测和阻止恶意攻击。
• 防病毒软件： 安装防病毒软件，扫描和清除恶意代码。
• 数据加密： 对敏感数据进行加密存储和传输，防止数据泄露。
• 多因素认证（MFA）： 启用多因素认证，提高账户安全性。
• 安全审计： 定期进行安全审计，检查系统和应用程序的安全性。
• 漏洞管理： 及时修复系统和应用程序的漏洞。
• 备份与恢复： 定期备份数据，并进行恢复测试，确保数据安全。

针对法律服务行业的特殊性，还需要特别关注客户隐私保护和知识产权保护。例如，可以采用专门的加密存储方案，对客户信息进行加密保护；可以建立知识产权保护制度，防止客户信息泄露。

四、信息安全意识计划：创新实践，提升员工安全认知

信息安全意识是信息安全体系的核心。我们律所在信息安全意识建设方面，采取了一系列创新实践，取得了良好的效果。

• 情景模拟： 定期组织情景模拟演练，模拟钓鱼攻击、社会工程学等场景，让员工在实践中学习安全知识，提高安全意识。
• 安全知识竞赛： 组织安全知识竞赛，激发员工的学习兴趣，提高安全知识掌握程度。
• 安全故事分享： 鼓励员工分享安全故事，交流安全经验，共同提高安全意识。
• 安全培训： 定期组织安全培训，讲解最新的安全威胁和防护技术。
• 安全提示： 在律所内部网站、邮件、宣传栏等渠道，发布安全提示，提醒员工注意安全。

通过这些创新实践，我们律所的员工安全意识得到了显著提升，安全事件的发生率也得到了有效降低。

五、结语：安全之路，任重道远

信息安全，是一项长期而艰巨的任务。我们不能掉以轻心，要时刻保持警惕，不断学习新的安全知识，提升安全防护能力。我相信，只要我们共同努力，就一定能够构建一个安全可靠的信息环境，为我们行业的成功保驾护航。

希望我的分享能对大家有所启发。信息安全，不仅仅是技术，更是责任，是担当，是行业共同的使命。让我们携手并进，共同守护我们的数字资产，共同构建一个安全、可靠、健康的法律服务行业！

昆明亭长朗然科技有限公司深知企业间谍活动带来的风险，因此推出了一系列保密培训课程。这些课程旨在教育员工如何避免泄露机密信息，并加强企业内部安全文化建设。感兴趣的客户可以联系我们，共同制定保密策略。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

各位同仁，各位朋友，大家好！

我是董志军，目前在昆明亭长朗然科技有限公司工作。过去多年，我深耕信息安全领域，从技术执行到管理领导，见证了行业的发展与变革，也亲身经历了无数信息安全事件的冲击。我曾担任信息安全主管、经理、总监，乃至首席信息安全官，在自动化行业积累了丰富的实践经验。今天，我想和大家分享一些我的思考，希望能引发大家对信息安全重要性的深刻认识，并共同探讨如何构建更加坚固的信息安全体系。

信息安全，绝不仅仅是技术问题，更是关乎企业生存、行业发展和社会稳定的重要议题。它如同现代社会的基础设施，一旦出现问题，后果不堪设想。在过去，我们常常将信息安全视为技术人员的专属领域，却忽略了人员意识薄弱在信息安全事件中扮演的决定性角色。我所经历的无数事件，都清晰地表明：技术防护固然重要，但人员意识的缺失，往往是安全漏洞的根本原因。

一、 警钟长鸣：四起典型事件剖析与人员意识的警示

为了更好地说明这一点，我将结合我亲身经历的四起典型信息安全事件，深入剖析人员意识在事件发生中的作用：

1. 邮件钓鱼： 曾经有一年，我们公司遭遇了一场精心设计的邮件钓鱼攻击。攻击者伪装成上级领导，发送包含恶意附件的邮件，诱骗员工点击并执行。结果，多名员工上当受骗，个人账号密码被窃取，公司内部系统遭受了严重威胁。事后调查显示，攻击者利用了员工对邮件发件人信息的轻信，以及对安全意识的淡漠，成功绕过了初步的安全防护。这充分说明，即使拥有强大的邮件安全系统，如果员工缺乏识别钓鱼邮件的能力，安全防护也如同纸糊一般脆弱。

2. 电磁干扰： 在一次重要的自动化设备调试过程中，我们遭遇了电磁干扰攻击。攻击者利用电磁波干扰设备通信，导致设备运行异常，甚至造成设备损坏。虽然我们部署了物理安全措施，但攻击者通过巧妙的电磁干扰手段，绕过了物理防护，直接攻击了设备的核心功能。这提醒我们，信息安全防护不能只停留在技术层面，还需要关注物理安全，并加强对员工的物理安全意识培训，防止员工疏忽导致安全漏洞。

3. 网络勒索： 去年，一家大型制造企业遭受了网络勒索攻击。攻击者通过入侵企业网络，加密企业关键数据，并勒索巨额赎金。企业内部员工在收到勒索邮件后，没有及时报告安全事件，而是试图自行解决，导致攻击者进一步扩大了攻击范围，造成了更大的损失。这充分说明，及时报告安全事件的重要性，以及员工在应对安全事件中的责任。如果员工能够及时发现并报告可疑活动，就能有效阻止攻击者进一步的行动。

4. 供应链攻击： 我们曾经遇到过一个供应链攻击事件。攻击者通过入侵一家我们合作的供应商的系统，成功植入恶意代码，并通过供应商的系统，入侵了我们的内部网络。这表明，供应链安全的重要性日益凸显。如果企业对供应链的安全风险重视不足，就可能成为攻击者的突破口。因此，企业需要加强对供应链的安全评估和管理，确保供应链合作伙伴的安全水平。

这四起事件，都与人员意识薄弱密切相关。攻击者往往利用员工的疏忽、轻信、以及缺乏安全意识，成功地绕过了技术防护，达到了攻击目的。

二、 强化信息安全：多维度的安全建设框架

面对日益复杂的网络安全形势，我们不能仅仅依靠技术手段来保障信息安全，还需要构建一个多维度的安全建设框架，从管理、技术和文化三个层面入手，全面提升信息安全水平。

1. 战略层面： 信息安全必须上升到国家战略层面，企业也需要制定明确的信息安全战略，将信息安全融入到企业发展的各个环节。这包括明确信息安全目标、制定安全策略、分配安全资源、建立安全组织架构等。

2. 技术层面：

   

   • 身份与访问管理 (IAM)： 实施多因素身份验证、最小权限原则、定期访问权限审查等，确保只有授权人员才能访问敏感信息。
   • 威胁情报与安全态势感知： 引入威胁情报平台，实时监测网络安全威胁，及时发现和应对潜在风险。
   • 数据安全与加密： 采用数据加密、数据脱敏、数据备份等技术，保护敏感数据，防止数据泄露。
   • 安全编排、自动化与响应 (SOAR)： 自动化安全事件响应流程，提高安全事件处理效率。

3. 文化层面：

   • 安全意识培训： 定期开展安全意识培训，提高员工的安全意识和技能。
   • 安全文化建设： 营造积极的安全文化，鼓励员工积极参与安全防护，及时报告可疑活动。
   • 责任制： 明确每个员工的信息安全责任，将安全意识融入到绩效考核中。

三、 经验分享：安全意识计划的成功实践

多年来，我们在信息安全建设方面积累了丰富的经验，特别是在安全意识计划方面，我们尝试了多种创新实践，取得了显著效果。

• 情景模拟演练： 定期组织钓鱼邮件模拟、社会工程学攻击模拟等演练，让员工在模拟场景中学习识别和应对安全威胁。
• 安全知识竞赛： 举办安全知识竞赛，通过游戏化的方式，寓教于乐地提高员工的安全意识。
• 安全故事分享： 鼓励员工分享安全故事，分享安全经验，营造积极的安全文化。
• 安全主题海报征集： 举办安全主题海报征集活动，激发员工的安全意识，增强安全氛围。
• “安全小贴士”微信公众号： 建立“安全小贴士”微信公众号，定期推送安全知识、安全新闻、安全提醒等，让员工随时随地学习安全知识。

这些创新实践，都取得了良好的效果，有效提高了员工的安全意识和技能。

四、 技术控制措施建议

基于行业特点，我建议重点部署以下三项技术控制措施：

1. 零信任网络访问 (Zero Trust Network Access, ZTNA)： 采用零信任安全模型，对所有用户和设备进行身份验证和授权，确保只有经过授权的用户和设备才能访问内部资源。
2. 云安全态势管理 (Cloud Security Posture Management, CSPM)： 持续监控云环境的安全配置，及时发现和修复安全漏洞，确保云环境的安全合规。
3. 零代码/低代码应用安全： 针对日益增长的零代码/低代码应用，采用自动化安全扫描和风险评估工具，及时发现和修复安全漏洞。

五、结语：共同守护信息安全，共筑行业未来

信息安全，是一项长期而艰巨的任务，需要我们共同努力。希望通过今天的分享，能够引发大家对信息安全重要性的深刻认识，并共同构建一个更加坚固的信息安全体系。让我们携手并进，共同守护信息安全，共筑行业未来！

昆明亭长朗然科技有限公司的服务范围涵盖数据保护、风险评估及安全策略实施等领域。通过高效的工具和流程，我们帮助客户识别潜在威胁并加以有效管理。欢迎您的关注，并与我们探讨合作机会。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898