俗话说，“篱笆扎得牢，野狗钻不进”。将这句俗话用在信息安全领域，可以形象地说明企业信息安全的重要性。

信息技术的发展，不仅极大地推动了人类社会经济、政治、文化领域的变革，而且也影响了人类生活方式和思维方式。随着科技的不断进步，人类的衣、食、住、行、用等日常生活的各个方面也在发生了重大的变革。特别是信息技术在企业方方面面的应用，已经是企业无法规避的工具，信息技术对生产力的发展起到了前所未有的推动作用。所以信息技术发展，也被称为“第三次工业革命”。

然而，任何事物都有其两面性。信息技术在促进生产力发展的同时，也面临着信息技术被滥用的困境。几乎每天、每时、每刻，网络犯罪分子在操纵的网络攻击，都在世界的各个角落上演，给无数的企业、个人、政府带来巨大的损失，给个人、企业、行业、社会和政府造成严重威胁。

中国创新投资有限公司（简称“中国创新”）长期专注于投资其他上市及非上市公司，在所投企业资产证券化过程中，获取中期资本增值，并以此作为主要经营策略和收益来源。作为一家在香港联交所上市21周年的企业，中国创新和各参股企业，也必然成为网络犯罪分子眼中的重要攻击目标。

上市公司作为公众企业，信息安全尤其重要，因为信息安全不仅影响企业的正常经营，而且还牵涉到广大股民的经济利益。一旦信息安全出现漏洞，将会造成巨大的损失，比如：可能会泄露公司账户、客户数据、重大谈判、身份信息等等，从而损害公司和客户的安全，构成金融欺诈和财务风险，会给公司造成声誉损失，公众和投资者可能认为公司未能保护好员工和客户的信息，从而影响股价和市值。此外，信息泄露还会造成法律合规问题，公司可能面临法律诉讼和相关监管部门的处罚。

为此，中国创新采取了多种技术措施，保障公司的信息安全，所以至今尚未发生信息安全事故。但中国创新在技术监控中发现，近期员工收到各种欺骗性的“钓鱼”电子邮件数量有逐步增加的趋势。

由于普通员工并不具备信息技术基础，而“钓鱼”的伪装技巧越来越高，具有极强的蒙蔽性，因此很多员工对于“钓鱼”邮件的识别存在一定的难度，容易发生误中圈套被“钓鱼”的可能。虽然中国创新采取了相关措施，对“钓鱼”邮件进行甄别和屏蔽，但仍然避免不了还有部分“钓鱼”邮件进入员工的邮箱。

为此，中国创新为全体员工进行了信息安全培训教育，特别列举说明了各种“钓鱼”邮件的伪装特点，提醒员工注意防范。经过大家讨论归纳，发现“钓鱼”邮件主要有下列伪装形式：

1、冒充银行，发来的所谓银行账户年检、U盾年检、个人或公司账户涉及洗钱、密码失效要求更新密码等等。凡此类型的邮件，全部都是“钓鱼”邮件，银行绝对不会发这样的邮件。

2、冒充劳动用工部门、劳动监察部门，发来邮件说有关劳动用工年检、员工争议、员工举报等等事项。同样，相关部门不会发这样的邮件，如果确实有相关事项，通常会直接电话联系、或者通过邮政信函联系。

3、冒充社保部门，通知领取社保补贴、培训补贴、社保缴纳人员异常等等。如果是政策性的公告或者通知，都是通过政府相关部门网站、公众号发布，有些补贴会直接发放到公司账户或者通过政府部门网络办理。而关于社保人员异常需要审查，通常是邮政信函发书面通知，然后安排专门审计所进行社保审计。

4、冒充税务局、市场监管局等政府部门，要求报送莫名其妙的材料的。

5、冒充公安局、安全局、海关等部门，说你涉及洗钱、账户涉及毒品交易、涉及泄露国家机密的，涉及转账、或者什么安全账户的，等等，一律都是诈骗。

6、冒充公司领导、或者冒充公司法人，索要任何账号、要求转账、或者索要公司其他人员的联系方式的。

7、冒充公司领导、或者冒充公司法人，发来所谓工作安排、工作通知、会议通知，要求点击附件查看的。

8、冒充邮箱管理员、系统管理员、Admin、Administrator、OA管理员、云服务平台系统管理员，通知系统升级、帐户密码将过期、通知修改密码，全部都是“钓鱼”。如果是公司的信息管理人员要求同事更改密码，但绝对不会给同事发一个更改密码的链接，要求点击链接去修改密码。

9、冒充用友、金蝶、阿里发票平台、各大电商平台、或者其他金税工程开票软件系统，通知收到所谓的发票，告知点击某个链接领取发票。这种迷惑性较大，我们很多同事因为工作关系确实需要供应商开电子发票，因此需特别注意，请仔细核对邮件主体中的开票方、开票金额信息，确认无误后再决定是否点击下载。正规开票系统开出的电子发票，邮件主体中，一定有销方名称、购方名称、发票代码、发票号码、金额等信息。如果邮件主体中没有销方名称、购方名称、发票号码、开票金额等信息，就一定是“钓鱼”邮件。

10、冒充知名的快递公司、保险公司等等，发来快递单号、保单号等等，这些快递单号、保单号都是以链接形式呈现，点击后会被恶意攻击。或者甚至邮件中直接呈现伪装的表单，要求填写个人或公司信息，从而被窃取信息。

上述仅仅是一些常见的“钓鱼”邮件伪装形式，但万变不离其宗。为了防范被“钓鱼”，中国创新提醒每个员工，需要做好相关防范措施：

（1）个人电脑需要安装安全软件；

（2）邮箱密码需要使用高强度密码，不要使用像生日这样的简单数字组合，也不要向其他人提供自己的密码，更不要使用与自己在其他社交网站相同的密码；

（3）邮箱最好使用二次认证，或者手机扫码登录；

（4）不要使用公共场合的公用电脑登录邮箱；

（5）不要轻信发新地址中显示的发信人名称，而要仔细看清楚真实的发信邮箱的完整地址；

（6）不要轻易点击陌生邮件中的链接、图片、附件；

（7）如果看到公司内部人员的邮箱发出的邮件，内容比较奇怪，一定要与相关同事进行核实；

（8）不要在个人电脑上安装网上下载的来历不明的软件。

通过培训，大家都了解了信息安全的重要形，以及如何识别和防范“钓鱼”邮件的措施。

网络信息安全工作，是一项长期的工作，需要所有同事坚持不懈、时刻保持警惕。就像本文开头所述，“篱笆扎得牢，野狗钻不进”，只要我们思想上重视信息安全、技术上有防范措施、行动上仔细认真对待，就能降低信息安全风险并保护公司业务和声誉，维护广大股东的利益。