【丝路话语】搜狐全体员工遭遇工资补助诈骗，再敲网络安全警钟

　　丁慎毅

　　5月25日，#搜狐全体员工遭遇工资补助诈骗#冲上微博热搜第一。当日午间，搜狐CEO张朝阳发微博回应称，事情不像大家想得那么严重。他表示，事件起因是搜狐一名员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工。公司发现后，技术部门紧急处理，资金损失总额少于5万元。另外，此次发送诈骗邮件的不涉及对公共服务的个人邮箱 xyz@sohu.com。（5月25日澎湃新闻）

　　一个互联网公司，应该最懂互联网骗局，却被互联网使用者诈骗了，或许应了那句俗话——最安全的地方也可能是最危险的地方。虽然搜狐迅速采取行动，此次资金损失不大，但一个小小“诈骗邮件”折射出的则是网络安全的大问题。记者调查发现，此类“钓鱼”诈骗邮件在互联网大厂较为常见，多家企业曾经“中招”。而员工被钓鱼邮件所骗，也是自身安全意识不足的体现。

　　随着互联网不断发展进步，危害网络安全的行为越来越多样化、隐蔽化，同时，互联网的应用场景和覆盖人群正变得更加广泛。网络安全不仅关系到机构和个人用户的信息资源和资产风险，也关系到国家安全和社会稳定。虽然《中华人民共和国网络安全法》明确了部门、企业、社会组织和个人的权利、义务和责任，但仍有一些企业，相对于业绩指标，在维护网络安全、数据安全、员工网络安全教育等方面还存在短板。特别是随着远程办公的推广，政府数据的整合共享，如何守好数据的城池，成为亟待破解的现实问题。

　　从企业到机关事业单位，有必要建立网络安全全局观，不断强化行业自律，逐步完善数据安全治理体系，构建一个实质性的解决方案。比如“持续验证，永不信任”的零信任模式，代表了新一代的网络安全防护理念。不要认为零信任仅意味着多因素身份验证，实行起来很麻烦，如果实施得当，零信任将确保应用程序、数据和服务等资源受到保护，只授予被批准的用户访问这些资源的权限，保障办公系统终端安全、链路安全和访问控制安全。同时，各单位要开展电信网络诈骗防范教育培训，提高员工的法律意识和自我保护意识。即便是大厂员工，反诈骗意识也要加强。

　　监管部门要注重规范和监管，既要防范安全风险，也要防范发展受阻的风险，把监管纳入法治框架之中。要做好数据区分，监管过程中更着重于数据使用者为其行为承担责任，允许鼓励合法合规的数据流通。像广州出台国内首部城市数字经济地方性法规《广州市数字经济促进条例》，按照“一数一源”的原则“管好”数据；上海《关于进一步促进和保障城市运行“一网统管”建设的决定》推进“一网统管”建设等，统筹传统安全与非传统安全，将网络安全升级为数字安全，都是很好的做法。