各位同仁，各位朋友：

大家好！我叫董志军，目前在昆明亭长朗然科技有限公司工作，致力于帮助企业提升人员信息安全意识。过去多年，我身经百战，在医疗大数据安全领域摸爬滚打，从信息安全主管一路成长为首席信息安全官。这期间，我亲历了无数信息安全事件，从简单的密码泄露到复杂的供应链攻击，每一次事件都让我深刻体会到，信息安全不仅仅是技术问题，更是人性的考验。

今天，我想和大家分享一些我个人的思考，希望能引发大家对信息安全重要性的更深刻认识，并探讨如何从管理、技术和文化等多个维度，共同构建一个坚固的信息安全防线。

一、信息安全事件的教训：意识薄弱是隐患的温床

在我的职业生涯中，我见证过各种各样的信息安全事件，它们如同一个个警钟，敲响着我们必须重视信息安全的号角。其中，有三起事件尤其让我印象深刻，它们都暴露了人员意识薄弱的致命缺陷。

• 偷听事件： 曾经，一家大型医疗机构的服务器被入侵，攻击者通过物理手段在办公室安装了窃听器，获取了大量的患者隐私信息。事后调查发现，该机构的员工对信息安全的重要性认识不足，没有采取基本的防范措施，导致攻击者得以顺利入侵并窃取数据。这充分说明，即使技术防护再强大，也无法抵御员工疏忽大意带来的风险。

• 鱼叉式网络钓鱼事件： 某医院的财务部门收到一封伪装成内部邮件的钓鱼邮件，诱骗员工点击恶意链接，输入用户名和密码。攻击者利用这些凭证，成功登录医院的财务系统，盗取了大量的资金。更可怕的是，攻击者利用获取的凭证，向医院内部其他员工发送钓鱼邮件，形成一个恶性循环。这次事件的根本原因在于，员工缺乏识别钓鱼邮件的能力，对网络安全风险的警惕性不足。

• 供应链攻击事件： 一家医疗设备供应商的服务器被攻击，攻击者利用该供应商的漏洞，入侵了多家医院的网络系统，窃取了大量的患者病历信息。这次事件的根本原因在于，该供应商的安全防护能力不足，未能有效控制供应链风险。更重要的是，医院对供应商的安全评估和管理不够重视，导致了供应链安全漏洞的蔓延。

这三起事件都告诉我们一个深刻的道理：信息安全，绝非技术人员的责任，而是全员的义务。人员意识的薄弱，是许多信息安全事件发生的根本原因。

二、信息安全：行业发展的基石

信息安全，不仅仅是保护数据，更是保障行业健康发展的重要基石。

• 保护患者隐私： 医疗行业涉及大量的患者隐私信息，这些信息一旦泄露，将对患者造成严重的心理和经济损失，甚至可能引发社会动荡。信息安全是保护患者隐私的根本保障。

• 维护医疗系统稳定： 医疗系统是社会的基础设施，一旦遭受攻击，将可能导致医疗服务中断，甚至危及生命。信息安全是维护医疗系统稳定的关键。

• 促进医疗创新： 信息安全是医疗创新发展的前提。只有在安全可靠的环境下，才能更好地利用大数据、人工智能等技术，提升医疗服务水平。

• 提升行业信任度： 信息安全是提升医疗行业信任度的重要因素。只有赢得患者和公众的信任，医疗行业才能持续发展。

三、构建坚固的安全防线：管理、技术与文化协同发展

要构建一个坚固的信息安全防线，需要从管理、技术和文化等多个维度协同发展。

1. 管理层面：战略制定、组织建设、制度优化

• 战略制定： 制定清晰的信息安全战略，明确信息安全目标、责任和预算。战略要与业务发展紧密结合，确保信息安全工作能够为业务发展提供支持。
• 组织建设： 建立专业的信息安全团队，明确团队职责和权限。同时，加强信息安全培训，提升团队成员的安全技能。
• 制度优化： 完善信息安全制度，包括访问控制制度、数据备份制度、应急响应制度等。制度要具有可操作性，并定期进行审查和更新。

2. 技术层面：持续改进、多层防御、风险评估

• 持续改进： 建立持续改进机制，定期进行安全评估和漏洞扫描，及时修复安全漏洞。
• 多层防御： 采用多层防御策略，包括防火墙、入侵检测系统、防病毒软件、数据加密等，构建一个全方位的安全防护体系。
• 风险评估： 定期进行风险评估，识别信息安全风险，并制定相应的应对措施。

3. 文化层面：意识提升、培训演练、积极宣传

• 意识提升： 通过各种方式，提升员工的信息安全意识，让员工认识到信息安全的重要性。
• 培训演练： 定期进行信息安全培训和演练，提升员工的安全技能和应急处理能力。
• 积极宣传： 通过各种渠道，积极宣传信息安全知识，营造积极的信息安全文化。

四、安全文化建设：经验分享与技术推荐

多年来，我积累了丰富的安全文化建设经验，以下是一些成功的案例和经验：

• 成功案例： 在一家大型医院，我们通过组织了一系列安全意识宣传活动，包括安全知识竞赛、安全案例分析、安全主题海报设计等，有效提升了员工的安全意识。同时，我们还组织了多次模拟钓鱼演练，帮助员工识别钓鱼邮件和恶意链接。
• 创新实践： 我们创新地利用游戏化机制，将安全知识融入到游戏中，让员工在轻松愉快的氛围中学习安全知识。此外，我们还利用短视频平台，制作安全知识短视频，进行宣传。

技术控制措施推荐：

1. 零信任网络访问（Zero Trust Network Access, ZTNA）： ZTNA 是一种基于“永不信任，持续验证”的安全架构，它要求对所有用户和设备进行身份验证和授权，即使它们位于内部网络中。这可以有效防止内部威胁和数据泄露。
2. 数据丢失防护（Data Loss Prevention, DLP）： DLP 是一种技术，它可以监控和阻止敏感数据在网络中的传输。这可以有效防止数据泄露和数据丢失。

五、结语：共同守护信息安全，共创行业未来

信息安全，是行业发展的基石，是社会稳定的保障。让我们携手努力，从管理、技术和文化等多个维度，共同构建一个坚固的信息安全防线，守护患者隐私，维护医疗系统稳定，促进医疗创新发展，提升行业信任度。

信息安全，人人有责，意识的坚守，是抵御风险的根本保障。让我们从自身做起，从点滴做起，共同守护信息安全，共创医疗行业的美好未来！

我们在信息安全意识培训领域的经验丰富，可以为客户提供定制化的解决方案。无论是初级还是高级阶段的员工，我们都能为其提供适合其水平和需求的安全知识。愿意了解更多的客户欢迎随时与我们联系。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

Verizon发布第六期的数据泄漏调查报告DBIR，本期的看点显示出75%的网络攻击活动都有明显的金钱动机。显然，现在网络犯罪分子的入侵动机多数不再受传统的黑客精神影响，他们已经不再满足炫耀和破坏，他们更看重的是商业利益。

让我们简单看一看报告的更多内容并且为您解读一番，其中92%来自外部攻击者，14%来自内部人员，当然有内外夹击的情形，这期的报告特别提到来自中国的对被调查对象知识产权的窃取占到了19%。尽管来自外部的数据窃取占了大部分，Verison仍然认为内部人员的风险不容忽视——80%的风险源自内部。

数据泄漏是如何发生的呢？报告显示半数源自黑客攻击，与黑客攻击相对应的剩下的一半则无疑源自权限误用和滥用等等，比如内部人员有意或无意间泄露了机密数据。类似将公司窃取知识产权转卖给竞争者的内部违规行为占了近13%，如此可见保障商业信息数据安全仍然需要“外防黑客、内防家贼”两手一起抓。

我们还看到数据泄漏中有76%源自脆弱的或被窃取的身份权限，说到底可能是用户们使用了弱密码、相同的密码、被网络钓鱼、分享了权限等等，这些显然不是强化密码策略或使用多重身份验证措施可以简单而有效解决的。帐户与访问权限的管理一直是一项看似简单，但工作量巨大的信息安全运维管理工作，这项工作不仅和各类信息系统的帐户管理员密切相关，更和最终用户、数据所有者、IT支持等等密不可分。帐户与访问权限管理工作的重点不应该只是建立帐户权限申请流程，更应该关注权限的定期审核以及相关人员之间的协同沟通。

我们还注意到使用类似网络钓鱼的社交骗术有了四倍的增长，而且40%的攻击掺合了恶意代码的利用。未安装的防病毒软件比例显然要远低于40%，问题的原因在于仍然在于恶意代码的构建和传播已不再以感染电脑为目标，前面也提到网络犯罪分子更看重的是商业利益，这让防病毒软件很难及时获得目标针对性很强的定制代码的恶意软件特征。

商业化的攻击目标中有71%针对最终用户的设备，有了大幅提升，而针对服务器的攻击比例有所减少，这无疑和云计算、大数据以及IT消费化有关。

报告显示数据泄露事故的发现可并不乐观，69%是被外部第三方发现的，而66%并没有立即被发现，而是过了几个月之后才被发现，这显然让那些片面强调实时安全入侵探测、监控、分析和报警的安全事件监管系统很没面子，其实报告也表明：其实78%的入侵都是很低端的攻击。

该如何应对呢？建立强大的入侵检测与报警、开发即时的安全应急响应体系？显然不是，再智能的信息安全监控系统也无法足够聪明到解决复杂的人类问题，保障数据安全应该更多依赖管理的手段，摘抄几条Verizon的建议如下：

实施基本的安全控制措施，并且定期检查和确保它们的有效性；
收集、分析和分享事件数据，创建足够的入侵数据来源，以便驱动安全计划的有效性；
不要过度强调防范，综合使用人员、流程以及技术措施来更快更好的进行侦测和响应；
建立安全事件衡量矩阵和指标，使用它们来驱动最佳安全实践；
强化安全技能评估并且提供必要的安全意识培训以填补信息安全认知差距；

报告中关于政府赞助的入侵事故特别是关于中国窃取知识产权的部分说辞可能有些偏颇，昆明亭长朗然科技有限公司认为：在民族复兴的过程中，难免会借鉴一些发达国家的科学技术。实际上，很多发达的技术也是我们用市场换来的，国外政府和机构更多是在窃取我们的市场情报，这些无疑需要引起重视。