近年来，针对各类型机构，不法分子实施了大量的网络攻击，包括身份盗窃和传播破坏性恶意软件，这些攻击带来了严重的风险。犯罪分子通过窃取用户名、密码和电子邮箱，并使用该用户身份标识对系统进行身份验证或窃取系统访问权限。每种系统权限的失窃都会带来不同的风险，从利用账户信息进行进一步的商业财务欺诈、知识产权等敏感信息盗窃，到使用员工身份访问内部系统进行系统破坏或修改、或对机构的内部数据进行篡改或损毁。对此，昆明亭长朗然科技有限公司网络安全研究员董志军称：其实，我们从大量安全事件的调查响应情况来看，追查到底，类似机密信息失窃、钱财被骗走等等的根本原因往往都是账户被黑客入侵了，或者系统由于感染了病毒、木马等恶意软件而被黑客远程操控了。当然，我们不排除某些系统在设计和开发方面存在安全弱点，被技艺高超的黑客发现而利用。不过，由于所谓的“零日漏洞”所造成的安全事故其实非常少，大部分由于系统软件或应用程序的安全弱点所造成的安全事故，还是由于管理员或用户们没有及时安装安全更新（补丁）的原因。

因此，各类型的组织机构需要使用科学的技术方法，从而减轻各种信息技术风险，这些技术包括持续的信息安全风险评估、安全监控、定期对关键系统的控制措施实施测试、以及为员工提供安全意识和培训计划。

传统上，组织机构依靠IT专家来专门处理网络安全问题，不过这个“技术保障安全”的时代已经结束，在新时期，网络安全上升到管理层面，管理层必须采取必要的措施，以确保在网络攻击后迅速恢复、重启和维护机构的运营。

那么，该如何减轻风险？董志军表示：组织机构应设计多层安全控制措施，以建立多道安全防线，并考虑诸如下列的行动步骤：

信息安全风险评估。组织机构应该持续进行安全性的评估，以应对新出现的和不断发展的威胁。识别、确定、分级并评估关键系统的风险，重点在于识别出包括对各种控制系统以及其他安全和防欺诈措施的应用程序的威胁。第三方服务提供商也应接受对其安全控制措施的定期测试，并有责任和义务在出现安全问题时提交安全事件报告。

安全监控、预防和风险处置。组织机构应首先建立基准环境，以使其能够检测异常行为，并监视防护和检测系统，以及随后的防火墙访问控制系统。同时，还应根据需要进行渗透测试和漏洞扫描，并迅速管理漏洞。

访问权限管理控制。为了降低风险，组织机构应限制特权用户账号的数量，并定期进行审核以确保访问权限适合工作职能的需要。同时，应该为不活动的账号建立严格的到期期限，并为基于Web的网络应用设立多因素协议身份验证规则。此外，提供用于远程访问系统的安全连接并设置默认密码的修改策略和密码的使用期限策略也将有所帮助。

关键系统的控制。组织机构应定期检查和测试关键系统的适当控制措施（例如访问控制、职责分离和欺诈检测系统），并在必要时将结果报告给高级管理层和董事会。传输和存储中的数据都应进行加密，并且在超过尝试次数阈值后限制并锁定对关键系统的登录。

安全意识和培训。在整个组织机构范围内，进行定期的和强制性的信息安全意识培训，包括如何识别和防止成功的网络钓鱼企图。要让员工们理解并接受信息安全要求，需确保安全意识培训能够反映员工们的安全角色和职责。

参与安全情报信息共享。由于威胁和手法可能会快速变化，因此参加诸如安全前线之类的博客、论坛、公众号等威胁情报发布渠道，组织机构可以提高识别攻击手法并成功缓解新型网络攻击的能力。

在此要补充声明，组织机构应特别注意破坏性恶意软件的危害，员工下载附件、连接外部驱动器或访问受感染的网站都可能会将破坏性恶意软件引入系统。组织机构的管理人员应维持足够的业务连续性计划流程，以确保在涉及破坏性恶意软件的网络攻击后，组织机构的业务能够快速恢复、重启和维护。

如果组织机构或其关键服务提供商成为此类网络攻击的受害者，则组织机构应制定适当的流程来恢复数据和业务运营，并解决网络功能重建和数据恢复的问题。这应该包括保护离线数据备份不受破坏性恶意软件攻击的能力。

总之，数十年来，尽管信息技术自身不断演变并带来了各种新的变化，但是信息安全管理手法无甚新招。尽管如此，仍然有不少信息安全人员以及管理层对这些知之甚少，所以有必要再次回顾这些信息安全管理的科学方法，从风险管理的角度实施关键的安全管控措施。话说回来，对于很多网络安全专业人员来讲，动动嘴皮容易，道理也很容易懂，然而，真正能做好安全管理工作落实的，却总是那么的稀少。如果您对本文所倡导的信息安全科学管理方法有意见或建议，欢迎不要客气地联系我们。如果您有安全意识和培训方面的需求或想法，更欢迎您联系我们，洽谈业务合作机会。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

网络钓鱼防范的现状与挑战

传统上，应对网络钓鱼和电信诈骗，我们有一些网站信誉评测、诈骗监控与响应以及用户安全意识教育等措施。网站信誉评测的覆盖面和强制力有限，特别在移动互联网时代开始没落；诈骗监控与响应措施依赖对钓鱼网站地址的及时发现，往往比较滞后，并且犯罪分子不断变化域名和服务器，所以打击起虽有一定的效力，但仍然面临不少困难。

于是大家将最后的希望转移到对用户的防钓鱼意识教育培训上，这个大方向无疑是正确的。对此，昆明亭长朗然科技有限公司防钓鱼安全专员董志军说：在信息安全管理最佳实践方面，用户是第一道安全防线，这是被业界广为认可的。只不过，“钓鱼”术也在不断的变化，那些人类中的败类，总是不断挖掘着人性的弱点并加以利用。比如，传统上，我们宣传防范网络钓鱼，告诉用户“不要点击邮件中的陌生链接，不要开启未知来源的附件。”而新型的网络钓鱼则潜伏进被入侵的邮箱，冒充熟人发送附件，并将钓鱼网站链接放在附件中，还搞些技术欺骗性的语句诱惑收件者。

从图例中，我们可以看出，诈骗分子不直接在邮件正文中放置钓鱼链接，而是将钓鱼网站链接附在网页、Word、Excel等文件中，诱导人们点击链接的理由往往是些技术原因，比如软件版本低需要登录进行功能更新、内容已经加密等等。

接下来的钓鱼网站除了网址，登录界面和常用的QQ邮箱、网易邮箱等一模一样。那些受害用户要么没有注意看网址，要么根本不知道网址还有假的。

问题的根源何在？

如果您是有IT背景的人士，您可能会觉得那些轻易上当的职场受害人也太菜了，缺乏计算机使用方面的基础知识。不要怪这些职员们“不学无术”，想想我们有向这些受害者提供过必要的计算机基础知识，和防钓鱼方面的教育培训了吗？很多职位的用户，除了使用业务所必须的操作，可能也就只知道个开机和关机。对此，昆明亭长朗然科技公司董志军深表痛心：计算机用户只知道在应用层面照葫芦画瓢，不懂原理，是我们整个信息产业的硬伤。

敢问路在何方？

冲突源自知识上的不对等，钓鱼分子在技术层面糊弄小白用户，小白只能为自己的无知埋单。我们的很多服务商也经常是在概念上忽悠客户，在培训落实上，只简单教教操作便草草了事儿。这种不负责任的做法需要得到改变，我们需要踏踏实实地告诉用户系统的工作原理，要把计算机小白变成电脑达人。就拿上述图例来讲，当用户有了知识上的提升，懂些Office软件的原理和网址的意思，那些钓鱼分子的技术理由就会显得可疑和可笑了。

另外，钓鱼防范知识和技能的普及任重道远，新手法不断出现，我们要不断跟进，及时向用户展示新的钓鱼手法。同时，我们也得培养用户对网络钓鱼技术的识别力和敏感度，只有用户们拥有了足够的防钓鱼能力，能够辨识新型的诈骗手法，那才是钓鱼防范教育工作的成功。具体如何做呢？亭长朗然公司董志军建议：宣教一些普及性的防钓鱼知识，多加练习，借助大量的（几十个）钓鱼的模拟场景，让用户进行判断，找出其中的疑点，是练就火眼金睛的法宝。当然，也应该定期搞一些无害的网络钓鱼测试，以看看哪些用户的防钓鱼安全意识薄弱，在提升用户防钓鱼能力的同时也可用来衡量钓鱼防范教育工作的成效。

信息安全管理方面的建议

多数安全事故所借助的因素往往不是唯一和独立的，这也正是我们提倡多重防御的原因。在信息安全管理方面，董志军也给出一些附加的建议，比如对用户进行安全意识教育，建议其修改公共电子邮件中的私人邮箱密码，将潜伏的钓鱼分子踢出邮箱，不让其再害别人；发布规章制度并告知员工，避免将私人邮箱用于工作，将工作用密码和私人密码设为不同等，以防私人信息的失窃，影响到工作。

总结

说到底，防范不断翻新的网络“钓鱼”术，需要多方工作的协同努力，特别是加强用户计算机基础原理的教育，以及强化信息安全意识教育。

如果您对本文的观点和看法有意见或建议，欢迎您联系我们进行指正。同时，昆明亭长朗然科技有限公司提供针对用户的信息安全意识教育服务，包括大量的防钓鱼培训模块，以及模拟钓鱼测试系统等等。如果您有这方面的需要，或者对此感兴趣，也欢迎联系我们，预览产品和进行洽谈合作。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

QQ: 1767022898