2011年12月底在國內發生的互聯網用戶信息泄露事件,由於涉及CSDN、人人網、天涯 、開心網、多玩、世紀佳緣、珍愛網、美空網、百合網、178、7K7K等衆多知名網站,因此被媒體廣爲報道。事件的起因是這些網站採用了明文存儲用戶名和密碼,在遭受******後大量用戶數據庫被公佈在互聯網上。已經有很多信息安全人士從技術角度進行了分析,我們不妨換一個視角去看這個事件,相信諸如CSDN國內最大的程序員網站,其安全防護措施應該都具備,安全人員的技術能力也比一般組織要強,那到底是什麼導致了最終用戶數據泄漏?
在人們質疑這些網站抵禦***的能力的同時,相信也注意到了一個關鍵的問題,他們都採用明文方式存儲用戶數據。設想一下如果這些網站採用加密方式存儲關鍵數據,即便遭到***數據被竊取,也未必能夠被破解進而造成數據泄漏。對於普通人來說“加密”這個術語是個“技術問題”,然而對於專業從事信息安全相關技術人員(包括管理人員、開發設計人員、安全管理員、審計人員等)來說,我不認爲這還是什麼“技術問題”,而是“安全意識問題”。爲什麼說是意識問題,如果以一到考題的形式出現“用戶名和密碼在系統中應明文存儲還是加密存儲?”,我相信以上人員都會選擇後者,然而事實卻恰恰相反。在多年的安全諮詢和培訓實踐中,我把組織的“安全意識問題”表象總結爲三類:第一類,確實不知道,所謂無知者無畏;第二類,知道但不重視或忽視;第三類,存在僥倖心理,認爲事情不會發生在自己頭上(不理解墨菲定律:“會出錯的終將會出錯”);對於此次事件明顯屬於後兩者。
實際上,由安全意識引發的問題在組織中由來已久,並且在組織的各個層面都存在,可以通過幾個案例來說明:
2011年2月6日,HBGary Federal公司創始人Greg Hoglund嘗試登錄Google企業郵箱的時候,發現密碼被人修改了,這位以研究“rootkit”而著稱的安全業內資深人士立刻意識到了事態的嚴重性:作爲一家爲美國政府和500強企業提供安全技術防護的企業,自身被***攻陷了!更爲糟糕的是,HBGary Federal企業郵箱裏有涉及包括美商會、美國司法部、美洲銀行和WikiLeak的大量異常敏感的甚至是見不得光的“商業機密”。
在整個事件中,***組織“匿名者”透露的***細節中,我們大致能瞭解到,攻陷這家知名安全公司防衛森嚴的網絡堡壘,其實並不需要才用多麼特殊的高深技術,“人”的漏洞最終導致HBGary Federal聲名掃地。其首席執行官Aaron Barr和他領導的管理層犯下了最原始最不可饒恕的信息安全“漏勺”:在所有的賬戶中使用相同的密碼。***組織“匿名者”只是通過***其企業網站所獲得的外圍密碼,就開啓了Barr幾乎所有的網絡賬戶:Twitter、Linkedin…當然,最糟糕的是Gmail企業賬戶,裏面有HBgary Federal公司的客戶:索尼、強生、杜邦等500強企業的私密信息,當然,還有那些涉及政府部門和組織的“特殊商業計劃”。
索尼從2011年初開始,多次遭到******,超過7000萬玩家資料可能遭竊取,這些資料包括郵箱、密碼、信用卡號等,索尼公司於4月20日關閉PSN和Qriocity服務。這讓日進斗金的索尼遊戲業務陷入癱瘓。此外,由於消費者資料泄露可能導致更爲嚴重的網絡釣魚等大面積網絡安全案件,美國、英國、澳大利亞和中國香港等國家和地區的政府已經開始對索尼PlayStation Network網絡遭******及用戶數據失竊情況展開調查,一批遊戲玩家已向美國法院提出上訴,控告索尼在保護PlayStation Network網絡用戶數據方面玩忽職守,違反了它與用戶簽訂的服務合同,整個索尼品牌面臨一次空前嚴重的災難。
普渡大學的Gene Spafford博士在美國衆議院商務委員會的聽證會上揭開了導致這次史上最嚴重的消費者數據泄漏事件的重要原因:索尼的服務器運行着一個過期的Apache Web server軟件,沒有打上補丁,也沒有安裝防火牆。而索尼早在幾個月前已經知悉此事,因爲問題早已在論壇上報告給索尼工作人員。很明顯,不是***匿名組織的技術高超,而是索尼負責信息安全的員工在此次事件中犯下了低級錯誤,結果門戶大開,引狼入室。
案例三:電子54所竊密案
河北省石家莊市中國電子科技集團第54研究所爆出驚天竊密案。一個當地派出所警察,負責54所去海南試驗的保衛工作,半路上被策反,然後逐漸拉上了54所打掃辦公室衛生的清潔女工,兩人從印刷廠、複印室、內部網上搞到了大量信息。破案後,安全部長說,這些資料給10000億也不賣,幾十年來對臺電子鬥爭成果全部打了水漂,整個底朝天。可以設想一下,如果54所員工具備較強的信息安全意識,此二人不會如此輕易獲得這些資料。
以上所舉三個案例涉及企業管理層、技術人員及普通員工,可見上至企業老總、下到基層員工,安全意識的薄弱正在成爲企業面臨的最大風險,忽視信息安全意識教育,可能遭受災難性的打擊。在我國,2006年國信辦組織“信息安全管理體系標準試點工作”,之後很多組織開展了安全管理體系建設工作;2007年7月四部委發佈《關於開展全國重要信息系統安全等級保護定級工作的通知》,要求在全國範圍內開展等級保護工作。無論安全管理體系標準還是國內的等保保護要求,都提到對人員的意識教育,但在具體實施中提高企業全體人員的信息安全意識目前還面臨重重困難,這與組織本身缺乏對於信息安全意識教育的正確認識有關。
現在組織對安全的認識和重視程度在逐步提高,不少組織都不惜花費大量資金用於購買了網絡安全設備和軟件。然而,絕大多數是組織寧願花重金在安全技術和產品上,也不願在全員信息安全意識教育上有所投入,而從HBgaryFederal事件得出的教訓就是,***往往能夠採用最低的成本,從組織最薄弱的人員突破,使得企業花重金打造的安全體系成了“馬其諾防線”,而實際上在提升全員信息安全意識上的花費是所有安全投入中性價比最高的。
組織所面臨的大量安全問題,往往由信息安全團隊無法完全控制的原因而引起 :員工本身的安全意識。信息安全人員可以給系統打補丁、升級殺毒軟件,以及不遺餘力的看護裝有防護設備的關鍵設施,但是組織安全事件還是屢屢發生,只要員工能夠收到外界的電子郵件、訪問網站以及幹其他類似的事情,組織就會持續不斷地出現安全問題。因此,僅僅提高安全人員的能力是遠遠不夠的。究其原因如果不從提高全員安全意識的角度根本上來解決問題,組織的安全工作永遠都是被動的。
在我們所服務過的客戶中,絕大多數組織的領導者或者人力資源部門認爲,提高全員信息安全意識就是隨便搞搞培訓,而且搞一次就行了,實際上信息安全意識教育遠不止搞一次培訓這麼簡單(詳細論述請參加《信息安全意識爲先——如何提高組織信息安全意識》一文)。正是基於這種思想,即便搞了培訓效果也不好,這樣就陷入了惡性循環的怪圈之中。
正是基於對上述情況,谷安天下在2010年率先進行了首次“中國企業員工信息安全意識調查”,根據結果顯示,受訪者認爲在所有企業的安全隱患中,信息安全意識缺乏是最大的安全隱患,佔到42.8%的比例;對於目前有效保護企業和組織信息安全面臨的最大障礙,受訪者認爲最大的障礙是普遍缺乏信息安全意識。提高全員信息安全意識的重要性由此可見,提高全員的信息安全意識應該擺到組織信息安全建設的議事日程上來。
信息安全隱患認知情況
對有效保護信息安全面臨最大障礙的認知情況