身份盗用（账户劫持）是一种非常普遍的网络威胁，恶意攻击者可以访问和滥用特权或敏感度很高的账户。网络钓鱼攻击、利用系统漏洞的提权、窃听或撞库式凭据盗窃都可能危害到账户安全。对此，昆明亭长朗然科技有限公司网络安全高级顾问董志军称：尽管账户与权限管理早不是什么新话题，但是仍然有很多机构做的并不好，从业界爆出的一些严重安全事件，就可管中窥豹，略知事态之严重。接下来，让我们看几项与账户盗用有关的最新案例：

1.一家二线代码托管服务平台的账户因无法通过多因素身份验证保护其管理控制台而受到黑客入侵，进而造成用户托管的大量代码被毁，该平台被迫关闭，受到严重影响的商业用户超过6000家。

2.一家门户型大型互联网公司遭遇跨站点脚本（XSS）错误，导致了数亿用户的网络身份遭窃，许多用户账户被不法分子劫持和冒用，以运行僵尸程序并用来发送网络广告和诈骗消息，对平台和用户的声誉都造成了难以挽回的负面影响。

3.一家大型航空公司在线订票支持系统的工作人员被黑客实施了网络钓鱼攻击，黑客冒充系统服务商的远程技术服务专员，让航空公司工作人员提供了超级特权账户和密码，进而造成大量订票信息数据被盗窃，航空公司的几百名顾客遭遇“退票”电信诈骗。

4.一家在线电商的IT管理员离职后，将未及时停用或删除的管理权限出售给了黑客，黑客远程登录系统，并进行更多渗透和客户数据的盗窃，甚至在业务繁忙时期故意造成故障，借此对该电商进行300万元的敲诈勒索。

为保护事主的声誉也减少可能的麻烦，特隐去了事主真实的名称。虽然上述这些破坏算不上很严重，但是也可以看出带来的冲击恶果：

1.账户遭劫持和盗用意味着安全控制的失效，因为不法分子可以通过网络控制服务和访问内部数据。在这种情况下，依赖于账户服务的业务功能、数据和应用程序都处于危险之中。

2.这种身份盗用的后果有时很严重。拥有特权的不法分子，特别是已经离职的不满的IT人员，可能会远程删除关键数据或制造逻辑炸弹，进而让业务运营中断，严重到无法恢复。

3.账户遭遇劫持和盗用的后果还包括导致声誉受损、品牌价值下降、法律责任以及敏感的个人和商业信息数据泄漏等等。

基于网络的威胁基本上都是先窃取账户和权限，然后实施破坏、盗窃数据和资产等操作，很容易理解。大规模的账户泄露风险源于网络运营者或服务商的安全问题，比如安全设置不当、系统设计存有漏洞或缺陷、加密不足、特权账户保护不力等等。特别值得一提的是，具有特权的任何人员都可能实施盗窃和造成破坏。因此，组织应大力提高对这些威胁的警惕，加强账户安全及保护意识，并采取纵深防御策略来遏制破坏。

对此，董志军补充说：身份盗用是一种必须认真对待的网络威胁，这不仅仅是密码的强度和密码重置问题，而应该采用深度防御架构体系，比如启用多重身份验证MFA措施、加强账户及权限管理IAM控制、落实网络安全法规培训及职业道德教育、强化全员信息安全意识等等。总之，身份盗用的管道有很多，保护账户和访问权限免于劫持和盗用，需要全面的信息安全保护体系建设。

昆明亭长朗然科技有限公司创作了大量的信息安全意识教程，包括账户保护、密码安全、钓鱼防范等等课题，欢迎有兴趣了解更多内容，或者想预览作品并进行采购的客户及业界伙伴联系我们，洽谈合作事宜。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

在缺乏全面的网络安全培训的情况下，网络威胁可能在几秒钟内对组织造成严重的破坏，进而对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成危害。为什么这么夸张呢？昆明亭长朗然科技有限公司网络安全管理员董志军说：这是因为从漏洞的发现到它被恶意利用的时间越来越短。尽管各类信息系统的开发商、服务商和运营者越来越重视安全漏洞管理，网络运营者也部署了大量的技术防范和应对措施，但是由于管理和人员方面的漏洞，令技术措施无法发挥充分的效力，进而无法拥有全面的能力来应对网络威胁。

如果您关注网络安全新闻和数字，每周都有令人大开眼界的安全事件发生，不明真相的门外汉总以为是被入侵的一方网络安全实力太弱，其实，十之八九那些受害者都不是技术不如人的原因造成的对抗失败。让我们更深入地了解一些吧！

96%的员工都认为个人的便利高于工作单位的安全

根据云计算公司亚马逊对全球千余名全职办公人员的最新匿名调查，有96％的人承认做了至少一项可能严重威胁其工作单位网络安全的行为。员工承认的一些危险行为包括：

• 自动在工作设备上保存工作密码，以免重复输入（94％）
• 将工作文档发送到私人邮箱中（89％）
• 将工作文档保存到桌面上（86％）
• 离开公司后访问公司文件（49％）

此外，可能还有其他未报告的或未引起注意的危险行为。报告总结说：在存储和共享数据以及保存密码时，员工优先考虑个人便利而不是安全规范。

85％的公职人员遭遇过网络安全问题

根据腾讯、阿里、百度和360团队的一项最新的综合大数据研究，85%的机关单位公职人员都经历了某种形式的网络攻击。

那么，通常网络攻击的起始点是什么呢？出人意料的是网络钓鱼夺得鳌头，占58％；其次是计算机病毒，占48％。该项研究还发现：来自省（自治区、直辖市）级的公职人员遭受攻击的可能性是区县级公职人员的两倍。中央部委和集团总部的公职人员遭受网络攻击的可能性最高，因此，公职人员需要加强安全保密意识，必须接受及时的网络安全培训，以保护好工作单位，减轻安全风险。

网络安全培训是最好的防御

不可否认的是在国内，如腾讯、阿里、华为、百度、奇安信、启明星辰、天融信、安恒、蓝盾等等拥有业界领先的网络安全人才，因此可以将高超的网络安全技术化为简单易用的网络安全产品或服务。对一家组织机构来讲，建立和执行基本的安全性最佳做法广为人知，并没有什么高深的学问。但是懂得如何做，有相关的技术资源并不足够。互联网大鳄及网络安全公司自身都会遭受规模巨大的网络攻击，并受到严重的破坏，何况并没掌握专业技能的组织机构呢！

那么，该如何让工作单位积极应对网络威胁呢？

答案很简单，强化管理能力和安全制度的执行力，一方面，能让网络安全技术措施真正的发挥效力，让那些网络安全设备和服务运作起来，而不再是上线之后慢慢退出使用，再换新，再退出使用；另一方面，能让工作人员的安全能力强大起来，当人人拥有了应对网络威胁所需的防范意识和技能，并且能够认真对待安全要求，严守网络安全规章制度，那么网络钓鱼、计算机病毒等等就很难利用最终用户的人性弱点和计算终端的安全漏洞。

网络安全意识教育与培训已经被列入法规的强制性要求，以及国家、行业的标准。包括公司企业和机关单位在内的各类型组织机构，都应该积极建立网络安全培训计划，重点对管理人员和新入职人员进行培训，网络安全年度培训也应纳入总体培训计划，以确保不断了解并能够利用最新的网络安全技术。切记：培训技术专业人员以便其能够驾驭技术控制措施，是很有必要的能力提升工作，更必要的是培训管理人员和最终用户。专业技术人员的能力提升需要在安全技术实战中锻炼，最终用户的安全意识也需要在日常工作中培养，这一切都少不了安全管理的手段和坚持不懈的安全运行。

昆明亭长朗然科技有限公司拥有业界资深的网络安全管理团队，我们将数十年的网络安全工作经验进行提炼，创作出大量的网络安全培训课程，有助于帮助所有组织机构的工作人员加强安全意识，提升安全技能。同时，我们使用在线培训系统，以节省培训管理人员的时间和金钱。这些网络安全培训不仅有助于保护组织机构的信息及系统，对于所有职场工作人员来说也是难得的宝贵机会，因为领会到网络安全管理理念和基本方法，更容易晋升到管理岗位，获得更多职业向上发展的空间。

如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898