培训

信息安全薪火相传:从真实案例看端点防护,携手数字化转型共筑安全防线

admin

头脑风暴:如果把一台未加固的笔记本电脑比作“破旧的城门”,那么黑客就是手持火把的夜行者;如果把企业的数字化平台比作“繁华的市场”,那么每一位员工就是守门的“摊贩”。在这场没有硝烟的战争里,端点安全是第一道防线,任何漏洞都可能让敌人顺利越墙而入。下面,我将以四个具有深刻教育意义的典型案例为起点,展开细致剖析,帮助大家从“看得见的危机”转向“未雨绸缪的防御”。随后,结合当下具身智能化、机器人化、数字化融合发展的新形势,号召全体职工积极参与即将开启的信息安全意识培训活动,提升安全意识、知识与技能,共同守护企业的数字资产与声誉。

一、案例一:“未加密的硬盘让数据在黑暗中‘裸奔’”

背景
一家跨国制造企业的国内分部派遣了20名技术人员赴现场调试新型工业机器人。每位技术员均配备一台便携笔记本,便于现场记录配置参数、拍摄现场照片。因项目进度紧张,IT部门未强制启用磁盘全盘加密,仅在出差前提醒技术员自行设置密码。

事件
项目结束后,一名技术员因个人原因在公共咖啡厅使用笔记本时,笔记本意外掉落并被路人捡起。捡到笔记本的路人利用简单的磁盘镜像工具,直接读取到了数十GB的项目文件、客户图纸以及涉及合作伙伴的商业机密。随后,黑客组织以“勒索+二手交易”的方式,将这些文件在暗网公开出售,导致合作伙伴对企业的信任度骤降,直接造成了约300万元的经济损失。

分析
1. 技术层面:未启用磁盘加密导致数据在物理失窃时毫无防护。BitLocker、FileVault等原生加密方案已在现代操作系统中集成,且可通过TPM硬件实现免输入密码的透明加密。
2. 管理层面:缺乏强制性安全基线,员工自主决定安全设置,导致执行差异。
3. 风险评估:对便携设备的使用场景(如外出、公共场所)未做细化划分,安全策略未能因场景动态调整。

教训
全盘加密是硬件失窃的第一道防线。企业应在笔记本出厂阶段即统一部署BitLocker或FileVault,并在管理平台强制开启。
安全基线执行必须具备可审计性,通过端点管理系统(EDR)实时监测加密状态并生成合规报告。
教育培训要针对“外勤”场景,让员工了解在公共场所使用设备的风险,养成“随身锁定、离席锁屏”的好习惯。

二、案例二:“管理员账号的‘超级钥匙’被滥用”

背景
某金融机构的内部审计部门在一次例行检查中发现,部分业务系统的日常操作均由同一套管理员账号完成,包括文件共享、报表生成以及客户信息查询。

事件
攻击者通过钓鱼邮件获取了该管理员账号的密码,并成功登录系统。凭借管理员权限,攻击者在内部网络中植入了特洛伊木马,进而窃取了数万条客户个人信息(包括身份证号、银行卡号)。更为严重的是,攻击者利用管理员权限关闭了安全日志功能,使得后续的取证工作变得异常困难。

分析
1. 特权滥用:业务部门未遵循最小权限原则(Principle of Least Privilege),导致普通业务人员拥有管理员权限。
2. 凭证管理薄弱:密码未采用多因素认证(MFA),且密码复杂度、定期更换制度执行不到位。
3. 审计缺失:安全日志被关闭,审计链路中断,导致攻击痕迹被隐藏。

教训
最小权限原则必须落实到每个岗位,通过角色分离(RBAC)实现细粒度权限控制。
多因素认证是防止凭证被直接利用的关键,尤其是对高危账号。
安全日志是取证的根本,必须在所有关键系统上启用不可篡改的日志收集,并通过SIEM平台集中分析。

三、案例三:“未关闭的老旧端口成了‘后门’”

背景
一家大型建筑设计公司在内部网络中部署了多台旧型号的CAD工作站,工作站默认开启了Telnet、FTP等古老协议的服务端口,以便老工程师使用旧版工具进行文件传输。

事件
网络安全扫描工具检测到这些工作站的23(Telnet)和21(FTP)端口对外开放。未加密的Telnet会话被攻击者捕获,FTP服务器的匿名登录被利用,导致恶意脚本被上传至工作站。随后,攻击者利用工作站的本地管理员权限,进一步渗透至公司的内部文件服务器,窃取了价值上亿元的项目设计图纸。

分析
1. 端口与服务管理不当:旧服务未及时停用,导致攻击面扩大。
2. 缺乏网络分段:工作站与核心业务系统在同一子网,横向移动成本低。
3. 异常流量未被监控:未在主机防火墙或网络IDS中对异常端口访问进行告警。

教训
禁用不必要的网络服务是降低攻击面的根本,应通过基线检查清单逐项核对。
网络分段与微分段(micro‑segmentation)可以限制攻击者的横向移动范围。
主机防火墙与入侵检测系统(IDS)要对高危端口进行严格监控,并及时阻断异常连接。

四、案例四:“USB ‘钉耙’ 让系统瞬间‘变形金刚’”

背景
某政府机关的工作人员在会议期间使用个人U盘拷贝会议纪要。该U盘在某次旅行中被感染了“Rubber Ducky”恶意脚本,该脚本在插入后会自动执行键盘指令,打开PowerShell并下载远程后门。

事件
后门成功连接至外部C2服务器,攻击者通过该后门在内部网络中植入后续木马。最终,攻击者窃取了数千条机密文件并对外泄露,导致该机关面临舆论危机与行政处罚。事后调查发现,工作站未关闭“自动运行”功能,且系统未对外部USB设备进行白名单管理。

分析
1. 外部介质管理缺失:未实行USB设备白名单或基于序列号的授权机制。
2. 自动化脚本执行未受限:PowerShell执行策略宽松,导致恶意脚本可随意运行。
3. 安全监控盲区:缺乏对USB设备插拔事件的实时监控与告警。

教训
USB端口的使用必须实行白名单策略,仅允许经过审计的设备接入。
PowerShell等高级脚本解释器应设置受限执行策略(如Constrained Language Mode)并配合Application Control(AppLocker)进行白名单管理。
对外设操作进行审计,通过EDR平台捕获并记录USB插拔事件,以便快速响应异常行为。

五、从案例到行动:端点防护的“七大根本”

结合上述四个真实案例,我们提炼出端点防护的七大根本措施,每一项都是实现“硬化工作站、守护数据”不可或缺的环节:

序号 核心要点 实施建议 关键技术
1 磁盘全盘加密 统一部署BitLocker/FileVault,强制开启TPM绑定 硬件根信任(TPM)、BitLocker、FileVault
2 最小特权 & MFA RBAC+MFA组合,管理员账号独立、密码轮换 Azure AD MFA、Okta、IAM系统
3 服务与端口闭环 基线检查禁用Telnet/FTP等老旧服务,开启主机防火墙 Windows Defender Firewall、iptables、WSUS
4 补丁自动化 自动化Patch管理,关键软件全周期更新 WSUS、Intune、SCCM、Patch My PC
5 固件安全 BIOS/UEFI密码、Secure Boot、固件完整性检查 TPM、Secure Boot、UEFI密码
6 外设白名单 USB白名单、禁止自动运行、PowerShell受限 AppLocker、Device Guard、EDR
7 安全审计 & 可视化 开启不可篡改日志、SIEM关联告警、行为分析 Elastic Stack、Splunk、Microsoft Sentinel

《孙子兵法·计篇》曰:“上兵伐谋,其次伐交,其次伐兵,其下攻城”。在信息安全的疆场上,“伐谋”即是通过策略、制度与技术手段削弱攻击者的计划;“伐交”体现在限制特权凭证的流通;“伐兵”对应端口与服务的严控;而“攻城”——即对已经被突破的系统进行补救——永远是最后的无奈之选。因此,预防永远比事后修补更具成本效益**。

六、具身智能化、机器人化、数字化融合的安全新挑战

1. 具身智能(Embodied Intelligence)与端点安全

具身智能指的是机器人、可穿戴设备、AR/VR终端等具备感知、决策与执行能力的硬件形态。这些设备往往集成了摄像头、麦克风、传感器以及本地计算资源,成为“移动的安全终端”

  • 感知数据的敏感性:工业机器人在生产线上捕获的工艺参数、质量检测图像,往往涉及企业核心竞争力。若设备本身缺乏磁盘加密或安全启动,数据泄露的后果将直接影响产线竞争力。
  • 物理接触面的攻击面:机器人手臂的USB、以太网接口若未受控,攻击者可以通过“物理植入”的方式注入恶意固件,实现持久化控制。
  • 固件更新的复杂性:具身智能设备的固件升级往往依赖专有协议,若未采用签名校验,攻击者可利用“中间人攻击”向设备推送后门。

对策
1. 在机器人与自动化设备上统一部署硬件根信任(Root of Trust),通过 TPM/TPM 2.0 实现安全启动。
2. 实施固件完整性验证(Digital Signature),并将固件更新流程纳入企业级Patch Management系统。
3. 对所有外部接口(USB、RS-485、CAN)实行白名单+物理防护,并在EDR层面监控异常指令执行。

2. 机器人化(Robotic Process Automation, RPA)带来的特权蔓延

RPA工具通过模拟人机交互实现业务流程自动化,常常以“系统管理员”身份运行脚本。若RPA机器人被攻击者劫持,将导致业务流程全链路被恶意操控

  • 凭证泄露:RPA机器人常保存明文凭证(如用户名、密码),一旦被读取,可直接获取系统后端权限。
  • 横向渗透:机器人对多个业务系统的访问权限形成纵向联动,一次凭证泄露即可跨系统渗透。
  • 审计盲区:机器人执行的操作往往不记录在传统审计日志中,导致行为不可追溯。

对策
1. 为RPA机器人采用专属服务账号,并限制其仅拥有业务所需的最小权限。
2. 使用秘密管理平台(如HashiCorp Vault)统一存储与动态注入凭证,避免硬编码。
3. 将RPA执行日志接入SIEM,实现全链路可审计

3. 数字化平台(云协作、文档自动化)与信息泄露

本文提及的 pdfFiller.com、云文档编辑平台等已经成为数字化办公的常态。然而,云平台的共享链接、权限继承等功能若被滥用,会形成信息泄露的高危路径。

  • 共享链接的失控:若未设定有效期或访问密码,外部人员可随意下载机密文档。
  • API滥用:攻击者通过抓取未授权的API请求,批量下载企业文档。
  • 合规审计不足:对文档的访问、修改、导出等行为缺乏细粒度审计。

对策
1. 对所有外部文档平台启用零信任访问控制(Zero Trust Access),强制使用身份验证、短期授权链接。
2. 将文档访问日志统一写入企业审计系统,使用数据防泄漏(DLP)技术进行实时监控。
3. 在云平台使用安全信息标记(Information Rights Management, IRM),对敏感文档加密并限制转发、打印。

七、呼吁全体职工:加入信息安全意识培训,成为数字化时代的“安全卫士”

1. 培训的意义——从“被动防御”到“主动防御”

过去,信息安全往往被视作IT部门的专属任务,普通职工只负责点开“防病毒”软件。如今,具身智能、机器人化、数字化平台已经渗透到每一层业务流程,每一位员工都是潜在的防线。正如《论语》有云:“工欲善其事,必先利其器”。只有装备好安全知识,才能在业务创新的路上行稳致远。

2. 培训模式——线上+线下、理论+实战、互动+激励

形式 内容 目标 关键点
线上微课堂(30分钟) 端点硬化七大根本、密码管理、钓鱼识别 快速入门 视频+案例+小测
线下实战工作坊(2小时) 现场模拟 USB 攻击、恶意脚本注入、网络端口扫描 实战演练 角色扮演、红蓝对抗
跨部门情景演练 模拟“机器人流程被劫持”场景,团队协同应急 强化协同 疑似事件通报、应急响应
安全积分激励 完成学习任务、提交安全建议即可获得积分 持续驱动 积分兑换培训资源、公司纪念品

小贴士:每位参与者将在培训结束后获得一张“数字安全徽章”,该徽章可在公司内部系统中展示,象征您已具备“安全护航员”的资质。

3. 我们期待的行为改变

  1. 端点锁屏:离席必须锁屏,开启生物识别或PIN码。
  2. 密码管理:使用企业密码管理器,启用 MFA,避免密码重复使用。
  3. 外设使用:未经批准不插入个人U盘、移动硬盘或其他外设。
  4. 网络行为:不在未加密网络上访问敏感系统,使用 VPN 进行远程登录。
  5. 报告习惯:发现可疑邮件、异常弹窗或未知设备连接,第一时间向信息安全中心报告。

4. 培训时间安排(示例)

  • 报名时间:2026‑04‑01 至 2026‑04‑07
  • 线上微课堂:2026‑04‑10、2026‑04‑11(每日两场)
  • 线下实战工作坊:2026‑04‑15(10:00‑12:00),2026‑04‑16(14:00‑16:00)
  • 情景演练:2026‑04‑20(部门轮流参与)
  • 成果展示:2026‑04‑25(全员大会现场颁发安全徽章)

温馨提醒:所有培训均采用双因素身份验证登录平台,确保培训过程本身的安全性。

八、结束语:让安全文化像“数字基因”一样传承

在信息技术的高速迭代中,安全不是一次性的“升级”,而是持续的“演进”。如同人体的免疫系统需要不断学习新病毒的特征,企业的安全体系也需要每一位员工不断补充“防护基因”。通过案例学习、技术实践与跨部门协作,我们将把“端点硬化”的理念落到每一台笔记本、每一台机器人、每一次云文档的操作上。

让我们把“安全即生产力”的信念写进每一条工作指令、每一个系统配置、每一次业务创新。只要每个人都把安全放在心中、落实在行动,数字化转型的航程才会风平浪静,企业的未来才会更加光明。

信息安全,是全体同仁的共同责任,更是我们对客户、对合作伙伴、对社会的庄严承诺。让我们在即将开启的安全意识培训中汇聚力量,携手共筑“硬化工作站、守护数据、稳健创新”的坚实城墙。

—— 信息安全意识培训组 敬上

昆明亭长朗然科技有限公司的信息安全管理课程专为不同行业量身定制,旨在提高员工对数据保护重要性的认知。欢迎各界企业通过我们,加强团队成员的信息安全意识。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

防范AI时代网络攻击:从案例看职工安全意识的必要性

admin

头脑风暴·想象篇——如果AI可以“冒充”你

今天的办公环境已经不再是单纯的“纸笔+电脑”。在信息化、机器人化、数字化深度融合的浪潮中,AI已经渗透到邮件撰写、代码审计、系统运维甚至是咖啡机的调度。想象一下:当你打开 Outlook,看到一封标题为《【紧急】财务报表临时调整,请尽快确认》的邮件,发件人正是你常年合作的财务总监,邮件正文中还巧妙地用了你们上周一次团队建设时聊到的“星巴克特调”。你点开附件,屏幕弹出一个看似无害的 Excel 表格,却在后台悄悄启动了 PowerShell 脚本,搜索本地磁盘并将关键数据上传到国外的暗网服务器……如果这封邮件的背后真的有一个拥有自然语言处理能力、能够学习你同事写作风格的 AI,谁还能保持警惕?

这种“AI 伪装”并非幻想,它已经在真实的企业安全事件中屡见不鲜。以下两起典型案例,正是把“AI 伪装”这一概念从理论带入了血肉之躯,提醒我们:在AI 赋能的攻击面前,传统的“签名+规则”已难以提供足够的防护。

案例一:AI 生成个性化钓鱼邮件——“老板的口吻让你一键送金”

事件概述
2025 年 11 月,某国内大型制造企业的财务部门收到一封“陈总紧急指示”的邮件。邮件正文使用了企业内部常用的格式,甚至引用了上月一次内部会议的细节:“请大家注意,下周的供应链审计会在下午三点前完成”。附件是一个名为《2025_Q2_预算调整.docx》的文件。财务主管张小姐在阅读后,按照邮件中的指示将 300 万人民币转至一个新提供的银行账户。

攻击手法
1. 数据收集:攻击者利用公开的企业新闻、社交媒体和爬虫技术,收集了企业组织结构、关键人物姓名、常用措辞以及会议纪要等信息。
2. 大模型生成:通过 GPT‑4 类的大语言模型,攻击者输入“以陈总的口吻写一封关于预算紧急调整的邮件”,模型生成了近乎完美的钓鱼文案。
3. 精准投递:利用已泄露的内部邮箱列表,将邮件直接发送给目标财务人员,邮件标题和发件人地址均经过伪造,使其在收件箱中表现为“已通过内部系统认证”。
4. 后门植入:附件实际上是一个包含恶意宏的 Word 文档,打开后会自动运行 PowerShell 下载并执行远程 C2(Command & Control)脚本,进一步潜伏在企业网络。

为何传统防御失效
签名库缺失:恶意宏使用了最新的 PowerShell 加密技术,未匹配任何已知签名。
规则阈值失效:邮件发送频率、发送时间均在正常业务时间段,未触发异常流量报警。
信任模型崩塌:一旦凭借合法凭证完成身份验证,传统的外围防火墙将该登录视为“可信”,不再进行深度检查。

教训与启示
行为分析必须实时:仅凭过去的登录频率无法识别突发的高价值转账行为。应引入实时交易行为基线,对“一次性大额转账+异常收款人”进行即刻阻断。
邮件内容深度检测:利用自然语言处理技术对邮件正文进行情感和语义分析,识别出与历史邮件风格的细微偏差。
最小权限原则:财务系统应采用双重审批、分段授权,防止单点失误导致巨额转账。

案例二:AI‑辅助的高级持续性威胁(APT)——“零信任的盲点”

事件概述
2026 年 2 月,一家跨国云服务提供商的内部安全团队发现,多个管理员账户在 48 小时内出现异常登录:一次从上海的办公网登录,一次从深圳的VPN节点登录,随后在北京的IoT机器人管理平台执行了批量创建虚拟机的操作。进一步追踪表明,这些登录均使用了合法的多因素认证(MFA)一次性密码(OTP),但背后是一套AI‑驱动的凭证自动化攻击系统

攻击手法
1. 凭证收集:通过公开泄露的企业内部文档、社交工程和暗网交易,攻击者获取了数百对员工账户和密码。
2. AI 优化登录:利用强化学习算法,攻击系统在真实登录失败后自动调整登录间隔、地理位置匹配度,使每一次尝试都保持在人类可接受的“正常行为”阈值内。
3. 行为伪装:登录后,AI 自动检索该管理员最近的操作日志,提取常用的 PowerShell 命令和 API 调用模式,并在新会话中以相同的频率和顺序执行,避免触发异常检测。
4. 横向渗透:攻击者利用已获取的 Service Account 权限,逐步在 Kubernetes 集群内部布置持久化后门,并通过云原生安全工具的“白名单”逃过检测。

为何传统防御失效
规则基线缺失:系统仅基于登录来源国或 IP 进行黑名单拦截,未识别出“合法凭证 + AI 伪装行为”。
外围安全模型失效:在零信任(Zero Trust)模型初期实现时,往往只聚焦于网络层面的“身份即可信”,忽视了 行为即可信 的细粒度控制。
签名检测滞后:攻击者使用自定义的加密链路与脚本,未触达已有的恶意代码签名库。

教训与启示
动态风险评分:对每一次登录进行实时风险评估,将身份、设备、位置、行为模式等多维度因素综合计分,超过阈值即触发交互式多因素验证(MFA)或阻断。
行为连续监控:在关键管理员操作链路中引入 会话记录+行为偏离检测,对每一步指令的频率、参数和执行时长进行基线比对。
最小特权与 Just‑In‑Time(JIT):对高危 API 的调用实行即时授权,使用后即失效,防止凭证被“一键盗用”。

信息化、机器人化、数字化的融合——安全挑战的放大镜

自 2020 年后,信息化已经从“IT 迁移到业务”升级为 业务数字化:企业内部的 ERP、CRM、SCM、HR 等系统全面云化,业务数据在多云、多租户环境中流转。机器人化则体现在 RPA(机器人流程自动化)和工业机器人上,生产线的每一个动作、物流仓库的每一次拣选,都交由机器完成。数字化的终极形态是 数字孪生边缘计算 的深度融合,企业的每一条生产线、每一个供应链节点都有对应的数字模型,实时采集、分析、预测。

在这样一个“三位一体” 的技术生态中,攻击面呈几何级数增长:

  1. 数据泄露链路更长:从前端用户交互、后端数据库到边缘设备、机器人控制器,任何节点的漏洞都可能成为攻击入口。
  2. AI 生成内容的可信度提升:AI 能够自动生成钓鱼邮件、伪造语音、合成深度伪造视频,极大降低了受害者的辨识成本。
  3. 自动化攻击的速度与规模:AI 驱动的暴力破解、凭证滚动、恶意脚本自适应修改,使得一次攻击能够在分钟内完成横向渗透、数据窃取甚至破坏。
  4. 零信任的实现难度加大:零信任要求对每一次访问进行身份、设备、行为的动态验证,但在 AI 生成的“合法”行为面前,单纯的身份验证已不足以防御。

因此,安全的核心不再是“防”而是“控”。我们需要从身份出发,以行为为第二道防线,辅以实时威胁情报自动化响应,形成“身份+行为+情境”的三位一体防御体系。

参与信息安全意识培训——提升自我防御的关键一步

为帮助全体职工在 AI 时代 建立正确的安全思维,昆明亭长朗然科技有限公司即将启动 “AI·行为分析·零信任” 系列信息安全意识培训。培训计划包括四大模块:

模块 关键内容 目标
1️⃣ AI 与社交工程 AI 生成钓鱼邮件案例、深度伪造视频识别、社交媒体信息收集防护 提升对 AI 伪装的辨识能力
2️⃣ 行为分析实战 行为基线构建、异常行为实时报警、行为偏离案例复盘 学会从日常操作中发现异常
3️⃣ 零信任实践 身份认证、Just‑In‑Time 访问、设备姿态评估 掌握零信任的实现要点
4️⃣ 机器人与 IoT 安全 机器人任务授权、边缘设备安全加固、数字孪生风险评估 关注生产环节的安全薄弱点

培训亮点

  • 情景演练:基于真实攻击案例,模拟 AI 钓鱼邮件、自动化凭证攻击,让每位学员亲自“体验”一次攻击过程,感受防御失效的痛点。
  • 互动问答:设置“AI 伪装秀”,让学员用已有的 AI 工具尝试生成钓鱼邮件,随后现场分析其可疑点,寓教于乐。
  • 工具实操:演示行为分析平台(如 Keeper、Microsoft Sentinel)如何实时捕捉异常登录、异常文件访问,并进行自动隔离。
  • 证书激励:完成全部模块并通过考核后,将颁发《AI 时代信息安全防护认证》电子证书,作为个人职业发展的加分项。

为什么每位职工都必须参与?

  1. 安全是全员的责任:即使是最强大的防火墙,也无法阻止内部合法凭证被滥用,只有每个人都具备敏锐的安全意识,才能形成“人防+技术防”的闭环。
  2. AI 技术的“双刃剑”属性:我们在研发、生产、营销中大量使用 AI,若不懂其攻击方式,就会在不经意间成为内部“泄密点”。
  3. 合规与审计要求:随着《网络安全法》与《数据安全法》的细化,企业必须对全员进行定期的安全培训,未完成培训的部门可能面临监管处罚。
  4. 职业竞争力提升:在数字化转型的大潮中,拥有信息安全意识和实战技能的员工,将更受到公司和业界的青睐。

“防微杜渐,防患未然”。正如古人云:“千里之堤,溃于蚁穴。”不管技术多么高端,若人心不警,安全仍会在细微之处崩塌。让我们以案例为镜,以培训为剑,共同筑起 AI 时代的安全长城。

行动呼吁

  • 立即报名:登录公司内部学习平台,搜索 “AI·行为分析·零信任培训”,点击报名。
  • 提前预习:阅读公司内部安全手册第 3 章节《AI 生成内容辨识要点》,熟悉常见的钓鱼特征。
  • 自我检查:检查个人工作站的安全设置(如系统更新、强密码、MFA)是否符合最新要求。
  • 分享学习:在部门例会中分享本案例的学习体会,让安全意识在团队内部形成连锁反应。

让我们以 “知己知彼,百战不殆” 的精神,主动拥抱安全培训,用知识筑牢防线,在 AI 与数字化的浪潮中稳健前行。

关键词

随着数字化时代的到来,信息安全日益成为各行业关注的焦点。昆明亭长朗然科技有限公司通过定制培训和最新技术手段,帮助客户提升对网络威胁的应对能力。我们欢迎所有对信息安全感兴趣的企业联系我们。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898