近年来，各类型的组织机构在信息安全、网络安全与数据安全方面面临着各种各样的逆境和挑战。疫情大流行改变着人们的生活和工作方式，进而改变着组织机构的数据安全需求。随着数字资产价值和数量的不断增加，内部人员泄露或窃取敏感数据的风险也越来越大。据有关机构统计，内部威胁现在占所有安全事件的23%。内部威胁的范围比人们想象中的要普遍，58%的公司企业认为安全事件的起因源于内部人员。64%的安全事故都是由内部人员疏忽引起的，而23%与内部人员犯罪有关。

在国内，内部威胁更多被认为是违法乱纪行为，对于官场人员来讲，应该不陌生，即使是疏忽大意造成的事故，也有“玩忽职守罪”或者“过失犯罪”。对于有心想干出点业绩却不少心因此而倒霉的国家机关工作人员，特别是官员来讲，这些罪名显然是“追责过度”，极不合理的。更有意思的是，面对同样的“过失”，有些人员有些时候能“躲过一劫”，而另一些人员在另一些时空则会成为“阶下囚”，这表明，违法与否的认定，存在很多主观判断因素。对此，昆明亭长朗然科技有限公司网络安全专员董志军补充称：我们不是说法律本身不公平，而是说在“内部威胁”的认定和处理领域，缺乏足够详细和透明的评判机制，进而给“徇私枉法”者留有相当大的空间。在这种状况下，必定有嗅觉敏感的投机官员借机来打击异己、培植亲信、结党营私。因此，除了事件本身的直接影响外，内部威胁的影响余波还伴有系列的人事组织风险，严重到会威胁国家安全。

说到国家安全，不得不说到防间谍，有来自外部的间谍人员，也有来自内部的“汉奸”，不排除有一些主动吃里扒外的“内奸”，然而更多的则是无意中泄露国家秘密或被设计“圈套”利用的，或者是在被动中由于疏忽大意而被策反的。十几亿国民有上亿党员干部，不管如何，总会有一定数量的叛徒出现。然而，即使是微小的概率，也可能“一颗老鼠屎，坏了一锅汤。”

对于公司企业来讲，管理层及雇员们滥用职权，内鬼作案，恶意操作，内外勾结，引狼入室等等情形也很常见。如果资方没有足够的措施，那么管理者及雇员们可能会肆无忌惮地疯狂作案，给公司企业带来重大损失，直到掏空公司，甚至让公司负债累累。即使是上市公司，高管利用职务之便，借助特权和信息优势，搞内幕交易、职务侵占、贪污受贿、欺诈作假等情形也是非常普遍，当然这些高层“内鬼”多数是“知法犯法”，想要他们提高道德水平与自律能力，显然是痴心妄想，不懂人性的天真想法。

因此，我们有必要，从网络安全领域，讨论组织机构如何增强其安全性并减少恶意或疏忽内部人员的威胁。从网络安全方面看，内部威胁可能导致专有信息和知识产权的损失。与攻击相关的系统停机时间会对公司的正常生产产生负面影响。此外，数据丢失造成的客户伤害会降低公司的商业形象和信誉度。

我们偶尔会从媒体上看到，某些IT人员在离职之前，向关键信息系统中放置“逻辑炸弹”，数月甚至一两年后，“炸弹”爆炸，导致重要数据被删除，IT人员出了一口“恶气”，也为之付出了巨大的代价。由心怀不满的员工故意窃取数据或者破坏系统（使系统无法使用）的原因和动机有很多，对薪资、职位的不满，认为受到主管或公司的不公正待遇，与某些同事关系不佳，产生敌意等等因素，都有可能。非常不幸的是，如果威胁是恶意的，则很难预防。这是因为：心怀不满的员工很可能已经拥有系统和数据的特权，这是他们日常工作的一部分。

如果我们分析多起安全事件，就会发现事实证明，执行有害或危险活动的合法用户总是比典型的外部威胁更难被发现。尽管大多数内部威胁都是无意的，而且通常是偶然发生的，但它们造成的损害仍然会影响业务成果和稳定性。虽然恶意内部人员构成了实实在在的危险，但许多内部人员威胁是无意错误造成的：比如单击导致网络钓鱼攻击的URL，意外将机密通过电子邮件发送给错误的收件人，或者将笔记本电脑遗忘在了公共交通工具上。

尽管外部风险水平较高，但组织最大或最直接的网络威胁可能来自内部。由于无意的失误，通常是由于过时的安全系统或软件版本未及时更新，公司员工经常卷入重大数据泄露或者加密勒索事件。这些通常不是故意的，而是缺乏普遍的最佳安全实践而导致的不良结果。在认识到问题的严重性后，重要的是要保持对这种风险的高度认识并认真对待这些威胁。当检测到异常行为时，应将其视为可能的攻击，存在各种内部威胁指标，防范它们的关键步骤是识别这些迹象并为员工设定正常阈值，并及时发出警示，比如未及时安装软件更新的弹窗消息，设置计划任务之前的安全警告等等。

安全意识对于预防内部威胁至关重要。由于《网络安全法》、《数据安全法》、《个人信息保护法》等等很可能在接下来的几个月和几年内更加细化，员工可能会获得更多对客户个人数据的访问权限，因此需要充分了解安全政策及法规的所有后续细化。总之，有效的安全意识培训和教育，对于遏制内部威胁显得非常重要。通常，这种威胁源于不知情的、非恶意的员工犯了简单的错误。使用引人入胜资源内容，定期进行网络安全意识培训是将这种内部风险降至最低的最佳方式。

一方面，组织机构需不断强化安全团队的内部威胁侦测及防范能力，为信息安全团队提供培训、配置和监视计算机系统、网络、移动设备和备份设备的培训。

另一方面则是定期培训员工网络安全意识，向员工们定期提供培训，以告知他们如何处理安全风险，例如网络钓鱼和保护他们在笔记本电脑和移动设备上携带的公司外部数据。最重要的是要告知员工从事恶意活动的后果。

内部威胁（间谍、内贼）是一个可大可小的话题，随着法制的逐渐健全，相信这个问题会得到国家层面的重视。为帮助广大客户在信息安全方面教育员工，以确保将组织中的内部威胁降至最低，昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

关心、热爱生活的人们应该能够体会到，与多年前相比。当下国内工业制品价格低廉，但农产品和人力却很昂贵，这表明我们进入了十足的工商业现代化时代。同样的道理也适用于企业，员工是所有现代企业的核心，正因为如此，他们也必将成为网络罪犯的主要目标，进而致使网络攻击日渐普遍。

那么，如何应对网络犯罪呢？在信息时代，职员是组织中最重要的资产，“人员”是信息安全的核心要素之一，与另两个关键要素“技术”和“流程”密不可分，确保最终用户人员掌握最新的网络安全知识是必不可少的。威胁形势在不断发展，公司的防御方法也应如此。

训练有素的员工是确保组织安全的第一道防线，有效的内部安全意识计划将加强防御计划。如何强化人员安全防线呢？信息安全意识业界达成了一个共识，尽管仍然有一些质疑甚至反对的意见，但总体上认为：应该强化安全意识培训，同时实施网络钓鱼模拟。

究其原因，无外乎是网络钓鱼已经变得非常复杂，难以察觉，因为犯罪分子已经找到了使他们的邮件和消息尽可能以假乱真的方法，并不断在创新。网络钓鱼模拟测试员工如何应对现实生活中的网络钓鱼攻击。进而使我们可以跟踪哪些员工点击了网络钓鱼邮件或消息、谁泄露了他们的密码、谁忽略了该邮件或消息以及谁报告了该安全隐患事件。

那么，该如何强化安全意识培训呢？ 昆明亭长朗然科技有限公司网络安全研究员董志军称：很多聪明的信息安全从业人员一拍脑袋，就创作了一些培训大纲，然后找来一些培训素材，我不反对这样做，但这不够科学。科学的方法是我们应该更全面地了解公司的人员安全意识状况和潜在风险，找出那些可能是组织中最薄弱环节的员工，因为成功转变他们可以让其成为其最强大的安全防护前线，进而制定出科学合适的安全意识培训战略。

如何实施网络钓鱼模拟呢？我们接触过各类型的网络安全机构，有很多有经验的人员对此表示悲观，特别是在政府机关和由政府控股的公司，人们怕把握不好产生误解闹出事来，怕高管被钓鱼之后惹出麻烦。我们反思，这不仅仅是沟通的问题，也是文化和政治的问题，所以比较难办。往往比较积极实施网络钓鱼的是外企，在外企透明坦率的企业文化中，即使在钓鱼模拟中上了钩，也不是多么丢人的事儿，更不会受到什么人格侮辱或惩罚。网络钓鱼模拟其实和真实的钓鱼只差在授权和道德，有了适当的授权，就不会怕被钓鱼的人员反咬一口称是不被信任、商业间谍、窃取机密、侵犯隐私权、搞办公室政治等等的大帽子。

具体的方法有两种，一种是使用自动化的网络钓鱼脚本，另一种是使用集成的平台，有一些商业公司专门开发有网络钓鱼模拟系统，这些系统也有自助或开源的版本。两种方式各有优劣，通常自动化的网络钓鱼脚本定制性较强，性能好，但是需要一些编程方面的知识。集成的平台往往是Web界面，可以发现员工的曝光表明需要培训的地方。一旦检测到学习差距，就向最易受影响的用户提供互动教育视频。模拟网络钓鱼测试增强了基于视频的培训，所有这些都侧重于最终用户的安全意识。集成的平台功能往往比较强，也需要花些时间熟悉界面操作和各种功能，基本上可以监控正在进行的进度并在组织级别可视化指标，以展示整体的安全状况，尽管有人对这些数字指标心存疑问。

我们推荐客户使用成熟的网络钓鱼模拟服务，通过模拟网络钓鱼攻击和安全意识培训活动来补充一些数据，以教育员工，使其成为应对网络犯罪的最佳防线。我们的推荐的方法只需简单几步。

首先，在安全意识方面，通过使用易于理解、简短且具有视觉吸引力的培训视频，并配以在线测验，以验证员工对培训内容的吸取和掌握情况。

接下来，安排较长时间段内随机发送模拟的钓鱼攻击，以防止员工互相警告他们收到了网上诱骗电子邮件。这样可以更好地衡量员工的意识。

最后，不断改进，通过构建、导入和编辑目标员工组，以包含在网络钓鱼模拟和培训活动中。根据反馈的情况，向特定的组发送不同的有针对性的安全意识推广系列活动。

昆明亭长朗然科技有限公司是国内信息安全意识培训和网络钓鱼模拟服务的领航者，我们的服务被多家世界五百强公司采用，并获得了大量的好评。欢迎有兴趣的客户及合作伙伴联系我们，洽谈业务合作。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

如下是一封钓鱼测试邮件的样本，您认为如果员工们收到类似的邮件，会点击链接么？点击链接后会输入账号和密码吗？