近年来，各类型的组织机构在信息安全、网络安全与数据安全方面面临着各种各样的逆境和挑战。疫情大流行改变着人们的生活和工作方式，进而改变着组织机构的数据安全需求。随着数字资产价值和数量的不断增加，内部人员泄露或窃取敏感数据的风险也越来越大。据有关机构统计，内部威胁现在占所有安全事件的23%。内部威胁的范围比人们想象中的要普遍，58%的公司企业认为安全事件的起因源于内部人员。64%的安全事故都是由内部人员疏忽引起的，而23%与内部人员犯罪有关。

在国内，内部威胁更多被认为是违法乱纪行为，对于官场人员来讲，应该不陌生，即使是疏忽大意造成的事故，也有“玩忽职守罪”或者“过失犯罪”。对于有心想干出点业绩却不少心因此而倒霉的国家机关工作人员，特别是官员来讲，这些罪名显然是“追责过度”，极不合理的。更有意思的是，面对同样的“过失”，有些人员有些时候能“躲过一劫”，而另一些人员在另一些时空则会成为“阶下囚”，这表明，违法与否的认定，存在很多主观判断因素。对此，昆明亭长朗然科技有限公司网络安全专员董志军补充称：我们不是说法律本身不公平，而是说在“内部威胁”的认定和处理领域，缺乏足够详细和透明的评判机制，进而给“徇私枉法”者留有相当大的空间。在这种状况下，必定有嗅觉敏感的投机官员借机来打击异己、培植亲信、结党营私。因此，除了事件本身的直接影响外，内部威胁的影响余波还伴有系列的人事组织风险，严重到会威胁国家安全。

说到国家安全，不得不说到防间谍，有来自外部的间谍人员，也有来自内部的“汉奸”，不排除有一些主动吃里扒外的“内奸”，然而更多的则是无意中泄露国家秘密或被设计“圈套”利用的，或者是在被动中由于疏忽大意而被策反的。十几亿国民有上亿党员干部，不管如何，总会有一定数量的叛徒出现。然而，即使是微小的概率，也可能“一颗老鼠屎，坏了一锅汤。”

对于公司企业来讲，管理层及雇员们滥用职权，内鬼作案，恶意操作，内外勾结，引狼入室等等情形也很常见。如果资方没有足够的措施，那么管理者及雇员们可能会肆无忌惮地疯狂作案，给公司企业带来重大损失，直到掏空公司，甚至让公司负债累累。即使是上市公司，高管利用职务之便，借助特权和信息优势，搞内幕交易、职务侵占、贪污受贿、欺诈作假等情形也是非常普遍，当然这些高层“内鬼”多数是“知法犯法”，想要他们提高道德水平与自律能力，显然是痴心妄想，不懂人性的天真想法。

因此，我们有必要，从网络安全领域，讨论组织机构如何增强其安全性并减少恶意或疏忽内部人员的威胁。从网络安全方面看，内部威胁可能导致专有信息和知识产权的损失。与攻击相关的系统停机时间会对公司的正常生产产生负面影响。此外，数据丢失造成的客户伤害会降低公司的商业形象和信誉度。

我们偶尔会从媒体上看到，某些IT人员在离职之前，向关键信息系统中放置“逻辑炸弹”，数月甚至一两年后，“炸弹”爆炸，导致重要数据被删除，IT人员出了一口“恶气”，也为之付出了巨大的代价。由心怀不满的员工故意窃取数据或者破坏系统（使系统无法使用）的原因和动机有很多，对薪资、职位的不满，认为受到主管或公司的不公正待遇，与某些同事关系不佳，产生敌意等等因素，都有可能。非常不幸的是，如果威胁是恶意的，则很难预防。这是因为：心怀不满的员工很可能已经拥有系统和数据的特权，这是他们日常工作的一部分。

如果我们分析多起安全事件，就会发现事实证明，执行有害或危险活动的合法用户总是比典型的外部威胁更难被发现。尽管大多数内部威胁都是无意的，而且通常是偶然发生的，但它们造成的损害仍然会影响业务成果和稳定性。虽然恶意内部人员构成了实实在在的危险，但许多内部人员威胁是无意错误造成的：比如单击导致网络钓鱼攻击的URL，意外将机密通过电子邮件发送给错误的收件人，或者将笔记本电脑遗忘在了公共交通工具上。

尽管外部风险水平较高，但组织最大或最直接的网络威胁可能来自内部。由于无意的失误，通常是由于过时的安全系统或软件版本未及时更新，公司员工经常卷入重大数据泄露或者加密勒索事件。这些通常不是故意的，而是缺乏普遍的最佳安全实践而导致的不良结果。在认识到问题的严重性后，重要的是要保持对这种风险的高度认识并认真对待这些威胁。当检测到异常行为时，应将其视为可能的攻击，存在各种内部威胁指标，防范它们的关键步骤是识别这些迹象并为员工设定正常阈值，并及时发出警示，比如未及时安装软件更新的弹窗消息，设置计划任务之前的安全警告等等。

安全意识对于预防内部威胁至关重要。由于《网络安全法》、《数据安全法》、《个人信息保护法》等等很可能在接下来的几个月和几年内更加细化，员工可能会获得更多对客户个人数据的访问权限，因此需要充分了解安全政策及法规的所有后续细化。总之，有效的安全意识培训和教育，对于遏制内部威胁显得非常重要。通常，这种威胁源于不知情的、非恶意的员工犯了简单的错误。使用引人入胜资源内容，定期进行网络安全意识培训是将这种内部风险降至最低的最佳方式。

一方面，组织机构需不断强化安全团队的内部威胁侦测及防范能力，为信息安全团队提供培训、配置和监视计算机系统、网络、移动设备和备份设备的培训。

另一方面则是定期培训员工网络安全意识，向员工们定期提供培训，以告知他们如何处理安全风险，例如网络钓鱼和保护他们在笔记本电脑和移动设备上携带的公司外部数据。最重要的是要告知员工从事恶意活动的后果。

内部威胁（间谍、内贼）是一个可大可小的话题，随着法制的逐渐健全，相信这个问题会得到国家层面的重视。为帮助广大客户在信息安全方面教育员工，以确保将组织中的内部威胁降至最低，昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

引言：数字时代的安全隐患，无处不在

在信息爆炸的时代，互联网如同潘多拉魔盒，为我们带来了前所未有的便利。然而，便利的背后也潜藏着巨大的风险。我们每天都在与各种网络威胁赛跑，而最常见的入口，往往是那些看似无害的缩短链接。你是否曾好奇过，点击一个神秘的链接，会带你通往何方？它可能是一片阳光明媚的网站，也可能是一场毁灭性的灾难。

作为信息安全意识专员，我深知信息安全意识的重要性。它不仅仅是技术层面的防护，更是全社会、每个个体都要重视的责任。今天，我们就来深入探讨一下点击不明来源缩短链接的潜在风险，并结合现实案例，探讨如何提升我们的信息安全意识。

一、缩短链接：隐藏的陷阱

缩短链接，也称为 URL 短缩，是将冗长的网址压缩成更短的字符串的技术。它们在社交媒体、广告、短信等场景中广泛应用，方便分享和传播。然而，缩短链接也为恶意行为者提供了便利。

• 信息隐藏： 缩短链接可以隐藏真实的网址，让用户无法轻易判断链接的指向。
• 欺骗性： 恶意攻击者可以利用缩短链接伪装成合法网站，诱导用户点击。
• 恶意重定向： 缩短链接可以重定向到恶意网站，窃取用户账号、密码、信用卡信息，甚至感染恶意软件。

二、信息安全事件案例分析：警钟长鸣

为了更好地理解信息安全风险，我们结合现实案例，深入分析了四个信息安全事件，这些事件都与缺乏信息安全意识密切相关。

案例一：擦除器（Wiper）的无情摧毁——“雪崩”事件

事件描述： 2022年，全球范围内爆发了一场名为“雪崩”（Avalanche）的擦除器攻击。这场攻击利用一个看似普通的电子邮件附件，感染目标系统的操作系统，并彻底删除所有数据，导致企业运营瘫痪，经济损失惨重。

人物分析： 一家中型制造业企业的财务主管李先生，对信息安全意识缺乏认知。他收到一封看似来自供应商的邮件，附件标题是“财务报表”。由于他没有仔细检查发件人的真实性，也没有对附件进行病毒扫描，直接点击并打开了附件。

安全意识缺失表现：

• 不理解/不认可安全行为实践： 李先生认为，供应商发来的邮件应该可以信任，无需进行额外的安全检查。
• 避开/抵制： 他对安全部门建议的附件扫描和邮件验证措施表示抵触，认为这些措施会耽误工作进度。
• 违反安全行为实践： 他没有按照安全规范，对附件进行病毒扫描，导致恶意软件感染。

教训： 擦除器攻击的危害不容小觑。即使是看似无害的邮件附件，也可能隐藏着致命的恶意代码。我们需要时刻保持警惕，对所有来源的邮件附件进行严格的扫描和验证。

案例二：内部破坏的隐形威胁——“失落的财富”

事件描述： 一家大型银行的系统管理员王先生，因为个人原因，故意破坏了银行的核心数据库，导致大量客户信息泄露，银行遭受巨额经济损失，声誉也受到严重损害。

人物分析： 王先生长期以来对工作缺乏热情，对信息安全意识淡薄。他认为，银行的系统安全措施过于繁琐，影响了他的工作效率。

安全意识缺失表现：

• 不理解/不认可安全行为实践： 王先生不理解信息安全措施的必要性，认为这些措施是多余的负担。
• 避开/抵制： 他故意绕过安全检查，试图修改系统权限，以达到自己的目的。
• 违反安全行为实践： 他违反了信息安全规范，非法访问和修改了银行的核心数据库。

教训： 内部破坏是信息安全领域的一大威胁。我们需要建立完善的内部控制机制，加强员工的安全教育，提高员工的信息安全意识，防止内部人员的恶意破坏。

案例三：钓鱼攻击的精心布局——“虚假投资”

事件描述： 一位退休老人张奶奶，收到一封伪装成投资机构的电子邮件，诱导她点击一个缩短链接，进入一个虚假的投资网站，并泄露了她的银行账号和密码，损失了数万元。

人物分析： 张奶奶对网络安全一无所知，没有意识到钓鱼攻击的危害。她相信邮件中的信息，并轻易点击了缩短链接。

安全意识缺失表现：

• 不理解/不认可安全行为实践： 张奶奶不理解网络安全的重要性，认为自己不会成为攻击目标。
• 避开/抵制： 她没有咨询家人或朋友，也没有向银行或警方报告，而是选择默默承受损失。
• 违反安全行为实践： 她没有仔细检查邮件发件人的真实性，也没有对链接进行验证，导致账号信息泄露。

教训： 钓鱼攻击是信息安全领域最常见的攻击方式之一。我们需要提高警惕，仔细检查邮件发件人的真实性，对链接进行验证，不要轻易泄露个人信息。

案例四：恶意软件传播的无意助推——“免费软件”

事件描述： 一名大学生赵同学，为了免费获得一款软件，点击了一个缩短链接，下载并安装了该软件。该软件包含恶意代码，感染了他的电脑，并窃取了他的个人信息。

人物分析： 赵同学对软件下载的安全性缺乏认知，没有仔细阅读软件的安装协议，也没有对软件进行病毒扫描。

安全意识缺失表现：

• 不理解/不认可安全行为实践： 赵同学认为，免费软件应该可以安全使用，无需进行额外的安全检查。
• 避开/抵制： 他没有查看软件的来源和用户评价，也没有下载正版软件。
• 违反安全行为实践： 他没有对下载的软件进行病毒扫描，导致恶意软件感染。

教训： 免费软件往往隐藏着安全风险。我们需要谨慎下载和安装软件，选择正版软件，并对下载的软件进行病毒扫描。

三、信息化、数字化、智能化时代的挑战与机遇

随着信息化、数字化、智能化的深入发展，我们的生活、工作、娱乐都与互联网紧密相连。然而，这也带来了新的安全挑战。

• 攻击面扩大： 越来越多的设备接入互联网，攻击面不断扩大，安全风险也随之增加。
• 攻击手段智能化： 攻击者利用人工智能技术，开发更加智能、隐蔽的攻击手段。
• 数据泄露风险： 数据泄露事件频发，个人隐私和企业机密面临严重威胁。

面对这些挑战，我们不能坐视不理，必须积极提升信息安全意识、知识和技能。

四、全社会共同努力，构建安全防护体系

信息安全不是一人的责任，而是全社会共同的责任。我们需要：

• 企业： 加强内部安全管理，建立完善的安全制度，加强员工的安全教育，定期进行安全漏洞扫描和渗透测试。
• 机关单位： 严格遵守信息安全法律法规，加强数据保护，建立完善的安全应急响应机制。
• 学校： 将信息安全教育纳入课程体系，培养学生的网络安全意识和技能。
• 个人： 提高自身安全意识，学习安全知识，保护个人信息，不点击不明来源的链接，不下载不明来源的软件，不随意泄露个人信息。
• 技术厂商： 开发更加安全可靠的产品和服务，及时修复安全漏洞，提供安全技术支持。
• 媒体： 积极宣传信息安全知识，提高公众的安全意识。

五、信息安全意识培训方案

为了帮助大家提升信息安全意识，我们提供以下简明的培训方案：

• 外部服务商购买安全意识内容产品： 选择专业的安全意识培训产品，涵盖钓鱼攻击、社会工程学、密码安全、数据保护等内容。
• 在线培训服务： 参加在线安全意识培训课程，学习安全知识，进行安全技能演练。
• 定期安全意识培训： 定期组织安全意识培训，更新安全知识，提高安全意识。
• 模拟钓鱼攻击： 定期进行模拟钓鱼攻击，检验员工的安全意识和技能。
• 安全意识宣传： 通过海报、邮件、微信公众号等方式，宣传安全意识知识。

六、昆明亭长朗然科技有限公司：您的信息安全坚强后盾

在构建安全防护体系的道路上，昆明亭长朗然科技有限公司始终与您并肩同行。我们致力于提供全方位的信息安全意识产品和服务，包括：

• 定制化安全意识培训课程： 根据您的具体需求，量身定制安全意识培训课程，涵盖各种安全风险和应对措施。
• 安全意识评估测试： 通过安全意识评估测试，了解员工的安全意识水平，发现安全漏洞。
• 模拟钓鱼攻击服务： 提供模拟钓鱼攻击服务，检验员工的安全意识和技能，并提供改进建议。
• 安全意识宣传材料： 提供各种安全意识宣传材料，包括海报、邮件、微信公众号等，帮助您提高员工的安全意识。
• 安全意识知识库： 建立安全意识知识库，提供最新的安全知识和信息。

我们相信，只有每个人都提高信息安全意识，才能构建一个安全、可靠的网络环境。选择昆明亭长朗然科技有限公司，就是选择一份安心、一份保障。

昆明亭长朗然科技有限公司致力于让信息安全管理成为企业文化的一部分。我们提供从员工入职到退休期间持续的保密意识培养服务，欢迎合作伙伴了解更多。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898