数字化时代，电子邮件是办公协同、政企协作的重要通信手段，但也是网络攻击的常见突破口。结合社会工程学(简称“社工”)的钓鱼邮件，以隐蔽、迷惑性强的特点，严重威胁个人财产与企业信息安全，防御形势日趋严峻。

　　在国内互联网领域，社工钓鱼已成为黑灰产犯罪的主要形式，攻击场景贴近日常、极具迷惑性。例如有攻击者伪装某互联网“大厂”内部域名，向员工发送“工资补助通知”钓鱼邮件，导致企业内众多员工上当、工资卡余额被划走;某大学也曾经遭遇攻击，大量含木马的钓鱼邮件被发送给师生，攻击者企图借此窃取信息，该事件同样引发舆论关注。

　　更值得警醒的是，大众防社工安全意识普遍不足，往往让攻击者有机可乘。某安全机构开展的钓鱼演练数据显示，35万余封测试邮件打开率达17.2%，链接点击率5.8%。社工钓鱼难防御，核心在于其面向大众、手法多变，单靠个体或单一技术难以防控。

　　因此，构建基于社工情报的邮件安全共同防御体系，成为应对威胁的必然选择。

　　基于网络安全现状，中金金融认证中心(CFCA)与公安一所全资子公司北京中盾网空防务技术有限公司达成合作，联合共建邮件安全联防预警平台——“网哨M01” (以下简称“M01”)，助力构建基于社工情报的邮件安全共同防御体系。

　　“网哨M01” 平台构成

　　“网哨M01”平台基于“一套平台，两套系统”构成：

　　1. “公安部第一研究所云情报平台” 向“新型邮件攻击检测分析系统”和“网络威胁样本行为分析系统”做情报、模型赋能。

　　2. “新型邮件攻击检测分析系统” 为一体化“硬探针”，通过对邮件内容的监测，实现高级社工钓鱼邮件监测和处置，满足网信办上报需求。

　　3. “网络威胁样本行为分析系统” 包含本地部署和云SaaS服务两种模式，专注邮件样本行为分析，实现恶意样本检测与APT画像。

　　“网哨M01” 功能优势

　　1. 满足GB/T 39204-2022《关键信息基础设施安全保护要求》中威胁情报共同防御要求。

　　2. 紧密围绕实战攻防，满足高级社工钓鱼攻击检测场景;借助大语言模型辅助安全运营工作，提升分析研判效率。

　　3. 面向全网重点行业单位进行情报联防及协同预警;解决实战攻防过程中人员邮件安全意识参差不齐、邮件内容及恶意程序伪装性强、预警不及时等关键痛点。

　　“网哨M01” 应用场景

　　目前已有百余家行业单位加入一所联防联控体系，基于行业情报和AI模型共享的联防联控体系模式已经非常成熟。

　　“网哨M01” 功能解析

　　一、新型邮件攻击检测分析系统： 智能识别社工钓鱼邮件

　　这套系统以一体化“硬探针”形式部署，像一个全天在线的“邮件安检员”，对进出的每一封邮件做全方位检查，专门对抗隐蔽性强、花样不断翻新的社工钓鱼攻击。

　　主要能力

　　1. 全网情报联防预警： 打通云情报、行业情报、第三方安全数据，形成实时更新的威胁黑名单，日均推送数千条威胁情报，做到全网5分钟内预警，让“别人踩过的坑，你不再中招”。

　　2. 全方位邮件内容分析： 从邮件头、邮件内容、URL、样本进行“四位一体”检查，精准识别伪装域名、伪造发件人、仿冒单位通知等社工套路。

　　3. URL动态风险检测： 深度识别邮件正文、附件甚至图片里隐藏的恶意链接，结合云端信誉库、备案信息、证书安全、关联IP情报，判断网站风险，阻断跳转和恶意下载。

　　4. 加密附件还原检测： 自动解密压缩包、提取密码、识别真实文件类型，破解 “加密附件躲检测” 的常见手法，揪出藏在里面的木马和病毒。

　　5. AI智能钓鱼检测： 通过持续训练的AI模型，识别新型话术、隐藏跳转、二维码钓鱼、异形二维码对抗等高级社工手段，大幅提升检出率、降低误报率。

　　二、网络威胁样本行为分析系统： 深挖恶意附件、精准溯源攻击

　　这套系统支持本地部署和云端SaaS两种模式，像专业的“邮件附件解剖室”，专门处理可疑文件，让看不见的恶意行为无所遁形。

　　主要能力

　　1. 恶意样本智能逆向分析： 自动脱壳、拆解程序代码，识别加密混淆、异常指令、病毒家族，精准判断附件是不是病毒、木马、后门。

　　2. 邮件附件勒索攻击预警： 内置百万量级勒索行为规则，模拟真实运行环境，监测文件加密行为，实现勒索攻击零误报、快速告警。

　　3. 邮件附件漏洞利用检测： 基于百亿量级样本资源，监控内存读写执行行为，识别已知漏洞和未知漏洞，堵住传统杀毒和防火墙漏掉的攻击。

　　4. 无文件攻击利用检测： 深入脚本执行过程，检测PowerShell、CMD、恶意脚本注入等无文件攻击，防止恶意代码在合法进程里偷偷运行。

　　5. APT样本画像： 对恶意样本进行聚类分析，匹配已知APT组织特征，输出组织归属、攻击手法、关联C2地址、长期盯控预警，帮助机构看清背后攻击来源。

　　三、共享与联防： 从“被动防御”走向“主动进化”

　　M01不仅能检测，更能联动、共享、持续进化：

　　1. 情报共享、全网受益： 行业客户数据互通，一次分析、全网共享，传统防御需要几天更新规则，而M01能做到秒级识别、快速下发模型。

　　2. 本地标注、持续变强： 用户可标注漏报、误报邮件，形成专属训练样本，不断优化AI模型，让防御能力越用越强。

　　3. 多渠道预警联动： 支持SOC平台、即时通讯、浏览器阻断、终端联动，发现高危邮件立即通知管理员和当事人，做到早发现、早处置、早止损。

　　M01把分散的企业邮件防御，变成一张本土化、实战化、可进化的行业联防网，从情报预警、邮件检测、样本分析到联动处置，形成完整闭环，专门对抗当前高发、隐蔽、多变的社工钓鱼攻击，守护政企邮件安全。

　　“网哨M01”也是CFCA网安智控综合服务平台的组成部分。 CFCA专注于风险管理与合规管理的系统性研究及其相应产品，网安智控综合服务平台聚焦智能安全重构，为机构用户构建网络安全地图。

　　作为中国人民银行1998年牵头组建的权威电子认证机构，CFCA以数字身份技术筑牢数字安全防线。展望未来，CFCA将构建以资产为核心、AI赋能、合规自动化的网络安全合规治理新蓝图，加力打造“可信数字身份体系”。


新财网对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。读者应详细了解所有相关投资风险，并请自行承担全部责任。本文内容版权归新财网投稿作者所有！文中涉及图片等内容如有侵权，请联系编辑删除。