各位同仁，各位朋友，大家好！

我是董志军，目前在昆明亭长朗然科技有限公司工作。过去多年，我深耕信息安全领域，从卫星互联网行业的网络安全技术人员，一路成长为信息安全领域的管理层，曾担任信息安全主管、经理、总监乃至首席信息安全官。这段经历让我深刻体会到，信息安全不仅仅是技术问题，更是关乎行业发展、企业生存的战略核心。

我亲身参与并处理过无数信息安全事件，从中间人攻击到海外间谍，从生物识别欺骗到无人机攻击，从机密信息外泄到语音钓鱼，再到黑客入侵……这些事件如同警钟，敲醒着我们：信息安全，绝非可有可无的“加分项”，而是行业发展的基石，是企业长远未来的保障。

今天，我想和大家分享一些我多年来积累的经验和感悟，尤其着重强调信息安全中“人”的关键作用，以及如何从管理、技术和文化等多维度构建坚固的安全防线。

一、 警钟长鸣：信息安全事件的深刻教训

为了更好地说明问题，我结合过往的经验，分享两个具有代表性的信息安全事件，并着重分析人员意识薄弱在事件发生中的重要作用。

事件一：某大型电信运营商的机密信息外泄

当时，我们负责维护该运营商的核心业务系统。一个看似不起眼的内部邮件，却引发了一场巨大的危机。一名员工，因为对信息安全缺乏足够的认识，在邮件中随意泄露了包含客户个人信息、业务流程图、系统架构等大量机密数据。这些信息随后被恶意利用，导致客户隐私泄露，业务运营受到严重影响，企业声誉也遭受了沉重打击。

事后调查显示，该员工并非有意为之，只是对信息安全的重要性认识不足，缺乏安全意识，没有意识到邮件内容可能带来的风险。更糟糕的是，该员工在工作中，经常忽略安全策略，例如使用弱密码、随意下载不明附件等，这些行为都为信息泄露创造了条件。

事件二：某金融机构的语音钓鱼攻击

最近几年，语音钓鱼攻击层出不穷，给金融行业带来了巨大的威胁。我们接到一个紧急通报，该机构的客户被冒充银行客服的电话诈骗，损失金额巨大。攻击者通过精心设计的语音内容，诱骗客户提供银行卡号、密码、验证码等敏感信息。

更令人担忧的是，该机构的员工，包括客户服务人员、系统管理员等，对语音钓鱼攻击的识别能力普遍较弱。他们没有意识到，攻击者可能利用技术手段模仿客服语音，或者利用社会工程学技巧，诱导客户放松警惕。更可怕的是，部分员工甚至主动提供客户信息，为攻击者提供了可乘之机。

这两个事件都深刻地说明了一个道理：技术防护固然重要，但如果人员安全意识薄弱，即使再强大的技术防御体系也可能被攻破。信息安全，最终还是要回归到“人”这个根本。

二、 全面构建安全体系：管理、技术与文化并重

要筑牢信息安全防线，需要从管理、技术和文化三个维度，构建一个全面、立体的安全体系。

1. 管理层面：战略引领与组织保障

• 制定清晰的信息安全战略： 信息安全战略应该与企业整体战略紧密结合，明确信息安全的目标、原则、责任和预算。
• 建立完善的信息安全组织架构： 设立专门的信息安全部门，明确部门职责和权限，确保信息安全工作有组织、有规划、有执行。



• 强化信息安全责任制： 将信息安全责任落实到每个员工，明确每个岗位的信息安全职责，并建立相应的考核机制。
• 加强风险管理： 定期进行风险评估，识别信息安全风险，并制定相应的应对措施。

2. 技术层面：多层次防御与持续监测

• 构建多层次网络安全防御体系： 包括防火墙、入侵检测系统、入侵防御系统、反病毒软件、数据加密、访问控制等。
• 加强身份认证和访问控制： 采用多因素身份认证，严格控制用户访问权限，防止非法访问。
• 实施数据安全保护： 对重要数据进行加密存储和传输，防止数据泄露。
• 加强漏洞管理： 定期进行漏洞扫描和修复，防止黑客利用漏洞进行攻击。
• 建立安全事件响应机制： 制定完善的安全事件响应流程，确保在发生安全事件时能够快速、有效地进行处置。
• 部署技术控制措施：
  • 零信任网络访问 (Zero Trust Network Access, ZTNA): 基于“永不信任，持续验证”的原则，对所有用户和设备进行身份验证和授权，即使在内部网络中也需要进行持续的安全评估。
  • 威胁情报平台 (Threat Intelligence Platform, TIP): 整合来自不同来源的威胁情报，分析和预测潜在的安全风险，并及时采取应对措施。

3. 文化层面：持续教育与安全意识培养

• 开展定期的安全意识培训： 通过各种形式的培训，提高员工的安全意识，使其能够识别和防范各种安全威胁。
• 营造积极的安全文化： 鼓励员工积极参与信息安全工作，并对安全行为进行奖励。
• 定期进行安全演练： 通过模拟攻击和演练，提高员工的安全应对能力。
• 建立安全知识库： 收集和整理各种安全知识，方便员工学习和参考。
• 创新安全意识宣传：
  • 安全故事接力： 鼓励员工分享自己遇到的安全事件和经验教训，形成安全故事接力，寓教于乐。
  • 安全知识竞赛： 定期举办安全知识竞赛，激发员工的学习兴趣和参与热情。
  • 安全主题漫画/短视频： 利用漫画和短视频等形式，生动形象地讲解安全知识，提高员工的理解度和记忆度。
  • 安全“小游戏”： 设计一些互动性强的安全“小游戏”，让员工在轻松愉快的氛围中学习安全知识。

三、 持续改进：安全工作永无止境

信息安全是一个持续改进的过程。我们需要不断学习新的技术和方法，不断完善安全体系，不断提高安全意识，才能应对日益复杂的安全挑战。

四、 结语：共筑安全未来

信息安全，是每个人的责任，也是每个企业的担当。让我们携手努力，从“人”做起，共同筑牢信息安全防线，共筑行业坚实根基，为行业的健康发展贡献力量！

昆明亭长朗然科技有限公司致力于帮助您构建全员参与的安全文化。我们提供覆盖全员的安全意识培训，使每个员工都成为安全防护的一份子，共同守护企业的信息安全。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

各位同仁，各位朋友，大家好！

我是董志军，目前在昆明亭长朗然科技有限公司工作，致力于帮助企业构建坚固的人员信息安全与保密意识体系。过去，我曾身处航空发动机行业，历经风雨，从信息安全主管一路成长为首席信息安全官。这段经历让我深刻体会到，信息安全不仅仅是技术问题，更是关乎行业发展、企业生存的根本命题。

在我的职业生涯中，我亲身经历了无数信息安全事件，从加密勒索到语音钓鱼，从身份盗用到网络勒索，这些事件如同警钟，时刻提醒着我们信息安全工作的严峻性和紧迫性。而仔细分析这些事件的根本原因，我发现一个共同点：人员意识的薄弱。 就像盖楼，再精良的材料和最顶尖的建筑师，如果地基不稳，房子终究会倾斜。人员意识，就是信息安全地基。

今天，我想和大家分享一些我多年来积累的经验和思考，希望能引发大家对信息安全问题的更深刻认识，并共同为构建一个更加安全可靠的行业贡献力量。

一、信息安全事件的“痛点”与“教训”：意识薄弱是隐患的根源

为了更好地说明问题，我选取了三起具有代表性的信息安全事件，并深入剖析了其中人员意识薄弱所扮演的关键角色：

• 事件一：加密勒索——“黑手”的精心布局

  曾经，一家大型航空制造企业遭受了一次严重的加密勒索攻击。攻击者利用强大的技术手段，加密了企业内部大量的关键数据，并勒索巨额赎金。事后调查发现，攻击者通过精心策划的社会工程学攻击，成功诱骗一名财务人员点击了恶意链接，从而将恶意软件植入到企业网络中。这名财务人员对钓鱼邮件的识别能力极低，未能及时发现并阻止了潜在的风险。

  教训： 加密勒索攻击的成功，往往依赖于攻击者对人性的弱点的利用。即使拥有最先进的安全防护系统，也无法完全抵御人员疏忽造成的风险。因此，加强人员的安全意识培训，提高识别恶意链接和钓鱼邮件的能力，是防范加密勒索攻击的有效手段。

• 事件二：身份盗用——“内鬼”的悄然行动

  另一则令人担忧的事件，发生在一家航空零部件供应商。攻击者通过非法手段获取了该企业员工的个人信息，并利用这些信息冒充员工登录企业内部系统，进行非法操作，窃取了大量的商业机密。事后调查显示，该企业员工在日常工作中，存在随意存储敏感信息、不规范使用密码等不良习惯。

  教训： 身份盗用事件的发生，往往与员工的安全习惯不良密切相关。企业应建立完善的身份管理制度，加强员工的安全教育，提高员工的安全意识，防止个人信息泄露和账户被盗。

• 事件三：语音钓鱼——“声东击西”的陷阱

  最近，我们看到越来越多的语音钓鱼攻击事件。攻击者冒充亲友或同事，通过电话或语音信息，诱骗受害者点击恶意链接或提供个人信息。有一位航空工程师，就因为相信“领导”的语音指令，点击了一个伪装成文件传输的链接，导致其电脑感染了恶意软件，并被攻击者窃取了敏感数据。

  教训： 语音钓鱼攻击的迷惑性极强，即使是经验丰富的员工，也可能难以识别。因此，企业应加强对员工的语音钓鱼防范意识培训，提醒员工警惕陌生来电和语音信息，避免轻易点击不明链接或提供个人信息。

这三起事件，都深刻地揭示了一个残酷的现实：信息安全，并非仅仅是技术问题，更是人性的考验。人员意识薄弱，是信息安全事件发生的根本原因。

二、构建坚实的安全防线：管理、技术与文化的协同发展

要解决人员意识薄弱的问题，我们需要从多个层面入手，构建一个坚实的安全防线。

• 管理层面：战略引领与制度保障

  信息安全工作必须得到企业高层的高度重视和战略引领。企业应制定明确的信息安全战略，将信息安全纳入企业发展规划，并提供必要的资源支持。同时，要建立完善的信息安全管理制度，明确各部门的职责和权限，确保信息安全工作能够有效执行。

• 技术层面：多层次防护与风险监测

  技术防护是信息安全的基础。企业应构建多层次的安全防护体系，包括防火墙、入侵检测系统、反病毒软件、数据加密等。同时，要建立完善的风险监测机制，及时发现和应对潜在的安全威胁。

• 文化层面：安全意识培养与行为规范

  安全意识是信息安全的灵魂。企业应积极开展安全意识培训，提高员工的安全意识和风险防范能力。同时，要建立良好的安全文化，鼓励员工积极参与信息安全工作，营造全员参与、共同防线的氛围。

三、安全文化建设：从战略到行动，构建全方位安全体系

多年来，我参与了多个企业的信息安全建设工作，积累了丰富的经验。我深信，信息安全建设是一个持续改进的过程，需要从战略到行动，构建一个全方位安全体系。

• 战略制定： 制定清晰的信息安全战略，明确安全目标、安全策略和安全措施。
• 组织建设： 建立专业的信息安全团队，明确团队职责和权限，并提供必要的培训和发展机会。
• 文化建设： 营造积极的安全文化，鼓励员工积极参与安全工作，并提供奖励和激励机制。
• 制度优化： 完善信息安全制度，包括访问控制制度、数据备份制度、应急响应制度等。
• 监督检查： 定期进行安全评估和漏洞扫描，及时发现和修复安全漏洞。
• 持续改进： 根据实际情况，不断改进安全措施，提高安全防护能力。

四、技术控制措施建议：强化关键环节的防护

基于我多年的实践经验，我建议企业重点部署以下两项与行业密切相关的高效技术控制措施：

1. 零信任访问控制 (Zero Trust Access Control)： 传统的网络安全模式基于“信任”原则，即一旦用户通过了身份验证，就可以访问企业内部的资源。而零信任访问控制模式则基于“不信任”原则，即任何用户、设备或应用程序，都必须经过严格的身份验证和授权，才能访问企业内部的资源。这可以有效防止内部威胁和外部攻击。

2. 数据丢失防护 (Data Loss Prevention, DLP)： DLP技术可以监控和阻止敏感数据在企业内部和外部的传输，防止数据泄露。例如，可以设置规则，禁止员工将包含敏感信息的文档通过电子邮件发送到外部邮箱。

五、安全意识计划成功案例：创新实践，激发安全热情

在安全意识计划的实施过程中，我尝试了许多创新实践，取得了良好的效果。

• “安全知识竞赛”： 定期举办安全知识竞赛，通过游戏化的方式，激发员工的安全兴趣，提高安全意识。
• “安全案例分享会”： 组织员工分享安全案例，鼓励员工从案例中学习经验教训，提高风险防范能力。
• “安全模拟演练”： 定期进行安全模拟演练，模拟真实的安全事件，测试员工的应急响应能力。
• “安全故事征集”： 鼓励员工分享自己的安全故事，通过故事化的方式，传递安全知识，提高安全意识。
• “安全小贴士”： 在企业内部的宣传栏、微信群等渠道，定期发布安全小贴士，提醒员工注意安全风险。

这些创新实践，都旨在将安全意识培训融入到员工的日常工作中，让安全意识成为员工的习惯，而不是一次性的培训活动。

结语：

信息安全，是一场持久战，需要我们共同努力。希望通过今天的分享，能够引起大家对信息安全问题的重视，并共同为构建一个更加安全可靠的行业贡献力量。 让我们携手并进，筑牢信息安全防线，为行业的可持续发展保驾护航！

我们在信息安全意识培训领域的经验丰富，可以为客户提供定制化的解决方案。无论是初级还是高级阶段的员工，我们都能为其提供适合其水平和需求的安全知识。愿意了解更多的客户欢迎随时与我们联系。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898