各位同仁，各位朋友，大家好！

我是董志军，目前在昆明亭长朗然科技有限公司工作。过去多年，我深耕网络安全领域，从信息安全主管一路成长为首席信息安全官，在娱乐行业摸爬滚打，亲历了无数信息安全事件。从内部窃贼到高级持续性威胁，从点击劫持到固件劫持，这些事件如同警钟，时刻提醒着我们：信息安全，绝非技术问题，更是关乎行业发展、企业生存的根本。

今天，我想和大家分享一些我多年来积累的经验和感悟，希望能引发大家对信息安全重要性的深刻思考，并共同构建一个更加坚固、更加安全的行业环境。

一、信息安全：行业发展的基石，而非可有可无的附庸

在数字化浪潮席卷各行各业的今天，信息安全不再是可有可无的附加功能，而是行业发展的基石。想象一下，如果一个娱乐公司的数据泄露导致用户隐私被大规模泄露，不仅会带来巨大的经济损失和声誉损害，更会引发用户信任危机，甚至可能导致整个行业遭受重创。

我曾亲身经历过许多信息安全事件，它们如同一个个鲜活的案例，深刻地印证了这一观点。例如，在一次针对一家知名游戏公司的攻击事件中，攻击者利用社会工程学手段，成功骗取了员工的登录凭证，从而获得了内部系统权限。随后，攻击者在内部网络中横行霸道，窃取了大量的用户数据和游戏源代码，并利用勒索软件加密了关键数据。

更令人痛心的是，在另一起事件中，攻击者利用无人机技术，对一家电影制作公司的总部进行侦察，获取了详细的建筑结构和安全防护措施，并以此为基础，精心策划了一场入侵行动。这次攻击不仅造成了巨大的财产损失，更严重地威胁了公司的安全稳定。

这些事件都暴露出一个共同的问题：人员意识薄弱，是信息安全事件发生的根本原因之一。无论技术手段多么先进，防御措施多么完善，如果员工的安全意识不足，就如同在堡垒上开了一个缺口，最终会被攻击者突破。

二、人员意识：信息安全防线的坚实后盾

信息安全，是一场人与机器的博弈。技术是武器，而人员意识则是防线的坚实后盾。在信息安全事件中，人员意识的缺失往往是漏洞百出、防不胜防的关键因素。

我曾经亲眼目睹过许多因员工疏忽而发生的安全事件。例如，有员工随意点击不明链接，导致恶意软件感染；有员工使用弱密码，导致账号被轻易破解；有员工将敏感数据存储在非安全设备上，导致数据泄露。

这些事件都说明，仅仅依靠技术手段是远远不够的。我们需要从根本上提高员工的安全意识，让他们成为信息安全防线的坚实后盾。

三、构建坚固的信息安全体系：管理、技术与文化并重

要构建一个坚固的信息安全体系，需要从管理、技术和文化三个层面并重发力。

• 管理层面：
  • 战略制定： 制定清晰的信息安全战略，明确信息安全的目标、原则和责任。
  • 组织建设： 建立完善的信息安全组织架构，明确各部门的职责和权限。
  • 制度优化： 建立健全的信息安全制度，包括访问控制、数据备份、应急响应等。
  • 监督检查： 建立有效的监督检查机制，定期评估信息安全风险，并及时采取措施。

  

  • 持续改进： 持续改进信息安全体系，不断适应新的安全威胁。
• 技术层面：
  • 多层防御： 部署多层安全防护设备，包括防火墙、入侵检测系统、防病毒软件等。
  • 数据加密： 对敏感数据进行加密存储和传输，防止数据泄露。
  • 访问控制： 实施严格的访问控制策略，限制用户对敏感资源的访问权限。
  • 漏洞管理： 定期进行漏洞扫描和修复，及时消除安全漏洞。
  • 安全审计： 定期进行安全审计，发现和解决安全问题。
• 文化层面：
  • 安全意识培训： 定期开展安全意识培训，提高员工的安全意识。
  • 安全文化建设： 营造积极的安全文化氛围，鼓励员工主动报告安全问题。
  • 安全奖励机制： 建立安全奖励机制，激励员工参与信息安全工作。
  • 安全宣传活动： 定期开展安全宣传活动，提高全员安全意识。

四、技术控制措施：行业应用场景下的三项建议

基于我多年的实践经验，我建议行业重点部署以下三项技术控制措施：

1. 零信任访问控制 (Zero Trust Access Control)： 传统的网络安全模型基于“信任”原则，即一旦用户通过了身份验证，就允许其访问内部资源。而零信任访问控制则基于“不信任”原则，即任何用户，无论其是否在内部网络中，都需要经过严格的身份验证和授权才能访问内部资源。这对于应对内部威胁和外部攻击都具有重要意义。

2. 威胁情报共享平台 (Threat Intelligence Sharing Platform)： 威胁情报是关于当前和未来威胁的收集、分析和共享。建立威胁情报共享平台，可以帮助企业及时了解最新的安全威胁，并采取相应的防御措施。这对于应对高级持续性威胁 (APT) 和其他复杂的攻击都具有重要意义。

3. 安全编排与自动化 (Security Orchestration and Automation)： 安全编排与自动化 (SOAR) 可以帮助企业自动化安全工作流程，提高安全响应效率。例如，SOAR 可以自动执行威胁分析、事件响应和漏洞修复等任务。这对于应对日益增长的安全事件数量和复杂性具有重要意义。

五、安全意识计划：创新实践与成功案例

在安全意识计划方面，我一直致力于创新实践，并取得了不错的成效。以下分享几个案例：

• “安全故事”系列： 我们组织员工分享安全事件的故事，可以是自己经历的，也可以是新闻报道的。通过故事的形式，让员工在轻松愉快的氛围中学习安全知识，提高安全意识。

• “安全知识竞赛”： 定期组织安全知识竞赛，设置奖品，鼓励员工积极参与。通过竞赛的形式，检验员工的安全知识掌握情况，并及时进行补充。

• “安全模拟演练”： 定期组织安全模拟演练，模拟各种安全事件，让员工在实践中学习安全应对技巧。通过演练的形式，提高员工的应急反应能力。

• “安全主题日”： 每月设置一个安全主题日，围绕不同的安全主题开展活动，例如密码安全日、钓鱼邮件防范日等。通过主题活动，集中宣传安全知识，提高员工的安全意识。

六、结语：携手共筑安全行业未来

信息安全，是一场持久战，需要我们共同努力。希望今天的分享，能给大家带来一些启发和思考。让我们携手共筑安全行业未来，共同构建一个更加安全、更加繁荣的行业环境！

昆明亭长朗然科技有限公司致力于打造智能化信息安全解决方案，通过AI和大数据技术提升企业的风险管理水平。我们的产品不仅具备先进性，还注重易用性，以便用户更好地运用。对此类解决方案感兴趣的客户，请联系我们获取更多信息。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

各位同仁，各位朋友，大家好！

我是董志军，目前在昆明亭长朗然科技有限公司工作。过去多年，我深耕网络安全领域，从信息安全主管一路成长为首席信息安全官，见证了行业的发展与变革，也亲历了无数信息安全事件。这些事件，如同警钟，时刻提醒着我们：信息安全，绝非技术问题，而是关乎每个人的责任。

今天，我想和大家分享一些我多年来积累的经验和感悟，特别是关于信息安全与人员意识的思考。我希望通过讲述一些真实的案例，强调人员意识在信息安全中的核心作用，并呼吁我们从战略、技术、文化等多个维度，共同构建坚固的信息安全防线。

一、信息安全事件：警钟长鸣，教训深刻

在我的职业生涯中，我参与处理过各种各样的信息安全事件，它们如同一个个鲜活的案例，深刻地印刻在我的脑海中。这些事件，从高级持续性威胁到零日攻击，从内部窃贼到语音钓鱼，无不体现着信息安全威胁的复杂性和多样性。

以下我将分享三个具有代表性的事件，重点剖析人员意识薄弱在事件发生中的重要作用：

• 案例一：高级持续性威胁（APT）——“沉默的入侵者”

  曾经，我们接到一个APT攻击的警报。攻击者利用复杂的工具链，持续渗透我们的网络，目标是窃取核心业务数据。经过深入分析，我们发现攻击者利用的是一个看似无害的Office文档，其中隐藏着恶意宏代码。

  然而，更令人震惊的是，攻击者成功利用了员工的疏忽大意。一位员工在打开附件时，没有仔细检查来源，直接运行了宏代码，导致恶意软件成功植入系统。如果员工能够保持警惕，仔细核实附件来源，或者对未知来源的附件保持谨慎，那么这场APT攻击就可能被扼杀在萌芽状态。这个案例深刻地说明，即使技术防护再强大，人员意识的缺失也可能成为安全漏洞的致命开路。

• 案例二：内部窃贼——“信任的背叛”

  我们曾经遭遇过一个内部窃贼事件。这位员工长期对公司财务制度不满，利用职务便利，非法转移公司资金。他巧妙地利用权限，伪造账目，并掩盖自己的行踪。

  事后调查发现，这位员工的行动并非毫无准备。他事先通过网络搜索，学习了相关的财务知识和漏洞利用技巧。更重要的是，他利用了公司内部的信任关系，隐藏了自己的行为。如果公司能够加强内部控制，完善权限管理，并定期进行员工安全意识培训，那么这位内部窃贼的行为就可能被及时发现和阻止。这个案例警示我们，内部风险同样不容忽视，人员意识的缺失，使得内部威胁更容易滋生和蔓延。

• 案例三：语音钓鱼——“声东击西的陷阱”

  最近，我们接到多个用户反映，收到来自银行的语音电话，声称账户出现异常，需要提供验证信息。这些电话通常使用伪基频技术，模拟银行客服的声音，让用户误以为是正规机构。

  令人痛心的是，有部分员工竟然相信了这些语音电话，并主动提供了个人信息和银行账户密码。这些员工缺乏安全意识，没有意识到语音钓鱼的危害性。这个案例提醒我们，钓鱼攻击的形式越来越多样化，攻击者利用人性弱点，进行声东击西的欺骗。加强员工的钓鱼识别能力，是防范语音钓鱼攻击的关键。

二、信息安全：战略、技术与文化的协同发展

从以上三个案例可以看出，信息安全并非仅仅是技术问题，而是涉及战略、技术和文化等多方面因素的综合性问题。

• 战略层面： 信息安全必须融入企业发展战略，将安全作为核心竞争力。企业需要制定明确的信息安全战略，并将其分解为具体的行动计划。
• 技术层面： 技术防护是信息安全的重要组成部分，包括防火墙、入侵检测系统、数据加密、身份认证等。但技术防护并非万能，需要与人员意识相结合，才能发挥最大的作用。
• 文化层面： 信息安全文化是企业安全意识的基石。企业需要营造积极的安全文化，鼓励员工主动报告安全问题，并对安全行为给予奖励。

三、信息安全工作实施经验：构建坚固的防线

多年来，我们在信息安全领域积累了丰富的实施经验，以下是一些关键的实践措施：

• 战略制定： 制定全面的信息安全战略，明确安全目标、风险评估、安全架构等。
• 组织建设： 建立专业的信息安全团队，明确团队职责，并提供必要的培训和发展机会。
• 文化建设： 开展多层次的安全意识培训，营造积极的安全文化，鼓励员工主动报告安全问题。
• 制度优化： 完善信息安全制度，包括访问控制、数据备份、事件响应等。
• 监督检查： 定期进行安全评估和漏洞扫描，及时发现和修复安全漏洞。
• 持续改进： 建立持续改进机制，不断优化安全措施，适应新的安全威胁。

四、技术控制措施建议：强化防御能力

基于行业发展趋势和实际需求，我建议部署以下三项与行业密切相关的重要技术控制措施：

1. 零信任网络访问（Zero Trust Network Access，ZTNA）： 采用零信任原则，对所有用户和设备进行身份验证和授权，即使在内部网络中，也需要进行严格的访问控制。
2. 威胁情报平台（Threat Intelligence Platform，TIP）： 整合来自多个来源的威胁情报，及时了解最新的安全威胁，并采取相应的防御措施。
3. 数据损失防护（Data Loss Prevention，DLP）： 监控和控制敏感数据的流动，防止数据泄露和滥用。

五、安全意识计划：创新实践，提升防范力

安全意识培训是信息安全的重要基石。我们曾经多次组织安全意识培训活动，并不断创新实践，以提升员工的安全意识。

• 情景模拟： 模拟真实的攻击场景，让员工在实践中学习安全知识，提高应对能力。例如，模拟钓鱼邮件、社会工程学攻击等。
• 安全知识竞赛： 组织安全知识竞赛，激发员工的学习兴趣，并检验安全知识的掌握程度。
• 安全故事分享： 鼓励员工分享安全故事，交流安全经验，营造积极的安全氛围。
• 游戏化学习： 将安全知识融入游戏，让员工在轻松愉快的氛围中学习安全知识。
• 定制化培训： 根据不同岗位的安全需求，提供定制化的安全培训。例如，针对开发人员的安全培训，针对管理人员的风险管理培训。

六、结语：共筑安全未来

信息安全是一场持久战，需要我们共同努力。我们必须从战略、技术、文化等多个维度，构建坚固的信息安全防线。更重要的是，我们要从“人”开始，加强人员意识培训，提升员工的安全意识，将安全融入到每个人的日常工作中。

我相信，只要我们携手努力，就一定能够战胜信息安全威胁，共筑安全未来！

昆明亭长朗然科技有限公司的信息安全管理课程专为不同行业量身定制，旨在提高员工对数据保护重要性的认知。欢迎各界企业通过我们，加强团队成员的信息安全意识。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898