各位同仁，各位朋友，大家好！

我是董志军，目前在昆明亭长朗然科技有限公司工作。过去多年，我深耕信息安全领域，尤其在医疗保健及社会援助行业积累了丰富的经验，曾担任信息安全主管、经理、总监，乃至首席信息安全官。回首职业生涯，我亲历了无数信息安全事件，从网络攻击到内部窃贼，从鱼叉式网络钓鱼到逻辑炸弹，这些事件如同警钟，时刻提醒着我们信息安全的重要性。

今天，我想和大家分享一些我的思考和经验，希望能引发大家对信息安全问题的深刻反思，并共同推动行业信息安全建设。我坚信，信息安全不再是技术部门的专利，而是关乎行业发展、企业生存的基石，更需要全行业共同参与、共同努力。而在这场坚守安全防线的战斗中，人员意识的薄弱，往往是事件发生的根本原因。

一、历史的教训：四起典型事件剖析与人员意识的缺失

为了更好地说明这一点，我将结合我过往的经验，分享四起具有代表性的信息安全事件，并重点剖析其中人员意识缺失带来的危害：

1. 网络攻击：医院信息系统勒索软件攻击事件

   几年前，一家大型医院遭受了一次严重的勒索软件攻击。攻击者通过钓鱼邮件，诱骗一名财务人员点击恶意链接，导致恶意代码植入医院网络。随后，医院的核心系统被加密，勒索者索要巨额赎金。最终，医院不得不支付赎金，才能恢复系统。

   事件调查显示，攻击者利用了财务人员对网络安全风险的认知不足，以及对可疑邮件的警惕性低下，成功入侵了医院网络。如果财务人员具备基本的安全意识，能够识别钓鱼邮件，并及时报告可疑情况，此次攻击很可能被阻止。这充分说明，技术防护固然重要，但人员意识的缺失，是安全防线最薄弱的环节。

2. 代码注入攻击：社会援助平台数据泄露事件

   一家社会援助平台，由于代码编写人员缺乏安全意识，在后台管理系统中存在代码注入漏洞。攻击者利用该漏洞，成功植入恶意代码，窃取了大量用户的个人信息，包括姓名、身份证号、住址、银行账户等。这些信息随后被用于诈骗、身份盗用等非法活动。

   这次事件的根本原因是，代码编写人员没有充分考虑代码安全问题，没有进行充分的输入验证和输出过滤，导致攻击者能够轻易地植入恶意代码。这再次强调了，安全意识不仅要存在于技术人员，更要渗透到整个开发流程，甚至要覆盖到所有与系统交互的人员。

3. 内部窃贼：科研机构数据泄露事件

   在一家科研机构，一名技术人员利用其权限，非法下载并泄露了大量敏感数据，包括科研报告、实验数据、专利文件等。该技术人员的动机是个人利益，但他利用了自身权限和对系统安全漏洞的了解，成功实施了数据窃取。

   这起事件的发生，反映了内部安全风险的严重性。即使拥有完善的技术防护措施，也无法完全杜绝内部人员的恶意行为。这说明，除了技术防护，还需要加强内部管理，建立完善的权限管理制度，并加强员工的安全教育，提高员工的安全意识和职业道德。

4. 鱼叉式网络钓鱼：政府部门信息泄露事件

   某地政府部门，一名工作人员收到一封看似来自上级部门的邮件，邮件内容要求其提供个人信息和银行账户信息。该工作人员没有仔细核实邮件的真实性，直接点击了邮件中的链接，并填写了相关信息。随后，该工作人员的账户被盗，政府部门的敏感信息也因此泄露。

   这起事件的发生，再次提醒我们，鱼叉式网络钓鱼攻击的危害性。攻击者往往会伪装成可信的身份，通过精心设计的邮件或短信，诱骗目标人员点击恶意链接，并提供敏感信息。如果目标人员缺乏安全意识，没有仔细核实邮件的真实性，就很容易成为攻击者的受害者。

二、构建坚固的安全防线：管理、技术与文化的协同发展

从以上四起事件中，我们可以看到，人员意识的薄弱，往往是信息安全事件发生的根本原因。因此，要构建坚固的安全防线，不能仅仅依靠技术防护，更需要从管理、技术和文化三个方面入手，进行协同发展。

1. 强化管理层面：

   

   • 制定完善的信息安全管理制度： 明确信息安全责任，建立健全的安全管理流程，确保信息安全工作能够得到有效执行。
   • 加强风险评估和管理： 定期进行风险评估，识别潜在的安全风险，并制定相应的应对措施。
   • 建立完善的应急响应机制： 制定应急响应预案，并定期进行演练，确保在发生安全事件时能够迅速有效地应对。
   • 强化合规意识： 确保信息安全工作符合相关法律法规和行业标准。

2. 提升技术层面：

   • 实施多层防御体系： 采用防火墙、入侵检测系统、反病毒软件、数据加密等多种技术手段，构建多层防御体系，提高安全防护能力。
   • 加强漏洞扫描和修复： 定期进行漏洞扫描，及时修复系统漏洞，防止攻击者利用漏洞进行攻击。
   • 实施身份认证和访问控制： 采用强身份认证机制，并实施严格的访问控制策略，防止未经授权的访问。
   • 加强数据备份和恢复： 定期进行数据备份，并建立完善的数据恢复机制，确保数据安全。

3. 构建文化层面：

   • 营造安全意识文化： 通过各种宣传活动、培训课程、安全演练等方式，营造全员参与、共同维护安全文化的氛围。
   • 加强安全教育培训： 定期组织安全教育培训，提高员工的安全意识和技能。
   • 建立安全激励机制： 鼓励员工积极参与安全工作，并给予相应的奖励。
   • 强化责任制： 明确每个人的安全责任，并对安全责任的落实情况进行监督。

三、安全意识计划：创新实践与成功案例

多年来，我积累了丰富的安全意识计划实施经验。以下分享几个我个人认为比较成功，并且有创新性的实践做法：

• “安全故事会”： 定期组织安全故事会，分享安全事件案例，并分析事件发生的原因和教训。通过生动的故事，让员工更容易理解安全知识，并提高安全意识。
• “安全知识竞赛”： 定期组织安全知识竞赛，以竞赛的形式，检验员工的安全知识掌握情况，并提高员工的学习兴趣。
• “安全模拟演练”： 定期组织安全模拟演练，模拟各种安全事件，让员工在实践中学习安全应对技能。
• “安全主题海报征集”： 鼓励员工参与安全主题海报征集，通过海报的形式，宣传安全知识，营造安全氛围。
• “安全小贴士”： 在公司内部网站、邮件、宣传栏等渠道，定期发布安全小贴士，提醒员工注意安全风险。

这些创新实践，都旨在让安全意识教育更加生动有趣，更加贴近员工的生活，从而提高安全意识的有效性。

四、行业应用技术控制措施建议

基于我多年的实践经验，结合当前行业发展趋势，我建议部署以下四项与行业密切相关技术控制措施：

1. 零信任网络访问 (Zero Trust Network Access, ZTNA)： 不再默认信任内部网络，而是对所有用户和设备进行持续验证，确保只有经过授权的用户和设备才能访问资源。这对于应对内部威胁和远程办公场景至关重要。
2. 威胁情报平台 (Threat Intelligence Platform, TIP)： 整合来自不同来源的威胁情报，包括恶意软件、漏洞、攻击活动等，帮助企业及时了解最新的安全威胁，并采取相应的防御措施。
3. 数据丢失防护 (Data Loss Prevention, DLP)： 监控和控制敏感数据的流动，防止数据泄露。这对于保护用户隐私和企业机密至关重要。
4. 云安全态势管理 (Cloud Security Posture Management, CSPM)： 持续监控云环境的安全配置，及时发现和修复安全漏洞。这对于保护云环境的安全至关重要。

结语：

信息安全是一场持久战，需要我们不断学习、不断改进。希望通过今天的分享，能够引发大家对信息安全问题的深刻思考，并共同努力，构建一个安全、可靠的信息安全环境。记住，信息安全不是一句口号，而是一种责任，一种担当，一种文化。让我们携手并进，共同守护行业发展的基石！

通过提升员工的安全意识和技能，昆明亭长朗然科技有限公司可以帮助您降低安全事件的发生率，减少经济损失和声誉损害。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

我是董志军，在智能制造安全领域摸爬滚打多年，自诩为行业的一位“安全老兵”。今天，我想和大家聊聊一个至关重要，却常常被我们忽略的话题：信息安全。

智能制造，是国家战略的重点。它融合了信息技术、自动化技术、通信技术等多种技术，正在深刻地改变着生产方式和经济格局。然而，如同任何一项技术革命，智能制造也面临着前所未有的安全挑战。我们不能仅仅沉浸在技术进步的喜悦中，更要清醒地认识到，信息安全是智能制造成功的“安全底线”，是保障产业发展的关键支撑。

我并非空谈，而是要结合我多年来亲身经历的几起信息安全事件，以及在信息安全建设方面的实践经验，与大家分享一些心得体会。这些事件，如同警钟，敲响了我们必须重视信息安全的警示。

一、 警钟长鸣：我亲历的几起信息安全事件

在我的职业生涯中，我亲历了各种各样的信息安全事件，它们各有特点，但都指向一个共同的根源——人员意识的薄弱。

• 会话劫持： 记得有一次，我们公司一个工程师在公共Wi-Fi下进行远程调试，结果被黑客成功劫持了其会话。黑客利用该会话，获得了对关键生产设备的控制权限，导致生产线停工，损失惨重。事后调查发现，工程师对公共Wi-Fi的安全风险缺乏认识，没有使用VPN等安全措施。
• 逻辑炸弹： 还有一次，一个新开发的自动化控制程序中，隐藏着一个逻辑炸弹。这个炸弹在特定条件下会被触发，导致生产设备失控，甚至可能造成物理损坏。这个逻辑炸弹是由一个对安全意识淡漠的程序员无意中编写的，他没有充分考虑程序的安全性，也没有进行充分的测试。
• 跨站攻击： 我们曾经遭遇过一次跨站攻击，攻击者利用漏洞获取了用户敏感信息，包括客户数据、产品设计图等。这次攻击的根本原因是，开发人员在编写Web应用时，没有进行充分的安全编码，没有对用户输入进行有效的过滤和验证。
• 生物识别欺骗： 曾经有黑客利用深度伪造技术，欺骗了我们的生物识别系统，成功登入了管理后台。这充分暴露了生物识别技术在对抗复杂攻击场景下的脆弱性，以及我们对生物识别系统安全防护的不足。
• 窃听： 还有一次，我们发现有人在内部网络中安装了窃听软件，窃取了公司的机密信息。这反映出我们内部安全管理制度的薄弱，以及员工安全意识的缺失。

这些事件，都让我深感警醒。它们不仅仅是技术问题，更是人员意识问题。我们不能仅仅依靠技术手段来保障安全，更要重视人员的安全意识教育和培训。

二、 战略规划：构建全面系统安全管理体系

要有效应对信息安全挑战，我们必须从战略层面进行规划，构建一个全面系统安全管理体系。我多年来积累的经验告诉我们，一个完善的安全管理体系，应该包括以下几个关键要素：

• 战略规划： 制定清晰的信息安全战略，明确安全目标、安全原则、安全组织架构等。这需要结合组织自身的业务特点和风险状况，进行深入的分析和评估。



• 组织架构： 建立健全的信息安全组织架构，明确各部门的安全职责和权限。这需要根据组织规模和业务复杂程度，进行合理的划分和设置。
• 文化培育： 营造积极的安全文化，让所有员工都认识到信息安全的重要性，并自觉参与到安全防护中来。这需要通过各种形式的宣传教育、培训活动、安全竞赛等，不断提升员工的安全意识。
• 制度优化： 完善信息安全制度，包括访问控制制度、数据备份制度、应急响应制度等。这需要根据实际情况，不断完善和更新制度，确保制度的有效执行。
• 监督检查： 建立完善的监督检查机制，定期对信息安全状况进行评估和检查，及时发现和解决安全隐患。这需要借助各种工具和技术，进行自动化监控和分析。
• 持续改进： 持续改进信息安全管理体系，不断提升安全防护能力。这需要根据新的威胁形势和技术发展，不断调整和优化安全策略。

三、 技术控制：结合行业特性，提升安全防护能力

除了完善的安全管理体系，我们还需要采取一系列常规的网络安全技术控制措施，结合智能制造行业的特性，提升安全防护能力。

• 网络分段： 将生产网络、办公网络、管理网络等进行隔离，防止攻击者通过网络横向扩散。
• 入侵检测与防御系统（IDS/IPS）： 部署IDS/IPS系统，实时监控网络流量，及时发现和阻止恶意攻击。
• 漏洞扫描与修复： 定期进行漏洞扫描，及时修复系统和应用的漏洞。
• 数据加密： 对敏感数据进行加密存储和传输，防止数据泄露。
• 访问控制： 实施严格的访问控制，限制用户对资源的访问权限。
• 安全审计： 记录用户操作和系统事件，以便进行安全审计和追踪。
• 工业控制系统安全防护： 针对工业控制系统，采取专门的安全防护措施，包括隔离、监控、入侵检测等。
• 供应链安全： 加强供应链安全管理，防止恶意软件通过供应链进入生产系统。

四、 意识教育：创新实践，提升员工安全意识

信息安全意识是信息安全体系的基石。我们不能仅仅依靠技术手段来保障安全，更要重视人员的安全意识教育和培训。

我一直在积极探索信息安全意识教育的新方法，并取得了一些成功经验：

• 情景模拟： 通过情景模拟，让员工体验真实的攻击场景，学习应对方法。
• 安全知识竞赛： 定期举办安全知识竞赛，激发员工的学习兴趣，提高安全意识。
• 安全案例分析： 分析真实的安全案例，让员工了解安全风险，学习防范措施。
• 安全培训课程： 组织安全培训课程，系统讲解安全知识，提升安全技能。
• 安全宣传活动： 通过各种形式的宣传活动，例如海报、邮件、微信公众号等，不断提醒员工注意安全。

五、 结语：构建安全生态，共筑智能制造未来

信息安全，不是一蹴而就的事情，而是一个持续改进的过程。它需要我们从战略、组织、文化、制度、技术、人员等多个方面进行综合建设。

智能制造的未来，需要安全作为坚实的保障。让我们携手努力，共同构建一个全面、可操作的安全管理体系，提升信息安全防护能力，为智能制造产业的健康发展保驾护航！

希望我的分享，能对大家有所启发。让我们一起，从“防患于未然”开始，共同构建一个安全、可靠的智能制造生态！

昆明亭长朗然科技有限公司专注于打造高效透明的信息保密流程。通过我们的服务，您可以轻松识别和管理潜在的数据泄露风险。对此感兴趣的客户请联系我们了解详细方案。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898