按：本文作者Song，雷鋒網專欄特約作者，西雅圖Newsky Security公司聯合創始人兼CTO，業內知名防病毒專家，黑客。

回顧希拉里郵箱門事件

一年多以前，就在美國群眾開始琢磨，奧巴馬下臺以后誰來接手的時候，一條新聞很配合的跳了出來。國務卿希拉里.克林頓，居然 在自己家里開了個郵件服務器。

在這次郵箱門事件中，希拉里并沒有公開報道她的郵件服務器真的被黑，所有公開報道的，都是她違反了各種安全規定，是和她通信的記者的郵件被黑。

然后事關美國的重要郵件，居然都是從這個位于她家地下室（也有傳聞是車庫的，不過官方說法是地下室）的服務器流過的。一起流過的，還有希拉里的各種私人郵件。當然， 這是希拉里和她的律師定義的私人郵件。

這件事情傳開以后，美國稍微懂點技術的人民紛紛拿出表情包：

事情繼續發酵，過了幾天，新的數據出來了，希拉里跟她的律師覺得有三萬兩千封郵件是私人的，所以從這個服務器上面給刪了，刪了......希拉里的回復是，用私人郵箱？合理合法啊。

雷鋒網(搜索“雷鋒網”公眾號關注)提醒：要知道私人郵件服務器基本上是沒有任何保護的，沒有防火墻，沒有專人監控，沒有安全專家檢查服務器的安全性。

不過，等大家發現，這臺可以從互聯網上直接訪問的，沒事就在希拉里她家的地下室里面嗡嗡叫的郵件服務器上面，有兩千一百封是屬于“保密”級別，這里面有65封是“秘密”，22封是“絕密”。這時候美國人民的內心是這樣的：

從網絡上面可以找到的公開資料看，這臺服務器是2008年希拉里競選總統的時候買的，后來奧巴馬當選總統，希拉里任國務卿的時候，就雇了一個叫賈斯丁.比伯，對不起，賈斯丁.庫珀的人來管理這臺服務器。這人是比爾.克林頓的老朋友了，不過，這人從來沒有什么安全背景。所以，看到clintonemail.com, wjcoffice.com, 還有 presidentclinton.com 這三個域名都指向這臺服務器，也就沒什么奇怪的了。

除了服務器的問題，希拉里在這個事件中的另外一個嚴重錯誤，就是用了黑莓手機。（黑莓躺槍）

這是她在任國務卿之前，和她朋友聯系的手機。上任以后國家安全人員警告她這是個安全威脅，她不能帶著這個手機去私人辦公室。于是，希拉里就把這個手機上面的郵箱，給放到她自己的郵件服務器上面了。

當然，這種私人的事情，是不會和國家安全人員說的。

這里需要提醒的是，希拉里的黑莓手機不是政府指定使用的手機，所以黑莓手機作為希拉里的私人手機被使用就此躺槍。

另外，不是隨便就能在店里買到美國國務卿用的手機設備，比如消費者設備上的加密密鑰長度，就遠不及政府。要知道美國總統、國務卿這些人都能指揮軍隊，他們使用的加密密鑰長度是軍用級別，破解難度也是指數級增長。

美國國家安全人員在2009年抱怨了一下國務卿的治下估計有安全問題。不過真正出事是在2013年3月，一個叫Sidney Blumenthal的郵件被黑了，大家才從黑客嘴里知道，好多關于美國外交的事情，居然是從希拉里的clintonemail.com郵箱發出來給這個記者的。當然，這個記者也是克林頓家的老朋友，他自然也沒有通過安全調查。順藤摸瓜，安全審計人員發現了不少希拉里用這個郵件服務器發送工作相關郵件的證據。我估計當時調查人員的表情是這樣的：

　　而被民主黨憋了8年，正準備東山再起的共和黨的表情是這樣的：

　　至于共和黨被川普搞了個措手不及，那又是后話了。

　　我們從中學到了什么？

好了，看過美國的笑話，我們中國人，特別是政府官員，應該從中學到什么呢？

首先，大家不要以為安全是很難很高深的事情。希拉里這次出的郵件安全事件，主要是以下三條沒有認真做到。

1. 遵守所在單位的信息安全規范。

2. 相信專業安全人員，而不是為了方便而忽視安全。

3. 正確使用計算機通信工具，保證公私分開。

下面我們分別解說一下。

1. 遵守所在單位的信息安全規范。

在信息時代，無論是為美國政府工作，還是為中國政府工作，或者是為某家科技公司工作，所在單位都有對應的信息安全規范。這些規范或許比較繁瑣，但是都是多年信息安全實戰經驗的總結。遵守企業的規范，是一個人最基本的職業守則。

你問我創業了做了老板是不是就不用遵守職業守則了？拜托，這些守則就是老板花錢制定的好不好？我跟你說， 我創業以后做惡夢都是網站被人入侵了。

2.相信專業安全人員，而不是為了方便而忽視安全。

不少人覺得信息安全人員故弄玄虛，經常造成工作上面的不便。

比如讓大家每三個月換一次密碼啦，比如在家上班必須登錄VPN啦，比如進公司必須刷門禁卡啦。但是，相信我，那個在IT部門整天盯著屏幕，一腦袋亂頭發，一身T恤好像從來沒換過的小子，雖然他看起來挺土的，但是他在保護公司信息安全方面，是站在前人的肩膀上的。前人踩的坑，犯的錯，他能告訴大家，避免重蹈覆轍。

3.正確使用計算機通信工具，保證公私分開。

要做到正確使用計算機通信工具，還是有不少細節的。我們按照希拉里犯的錯，一個個來說。

首先希拉里沒有使用符合公司/政府要求的終端，而是用了自己用慣了的黑莓手機，沒有按照美國政府的要求，使用符合安全保密規范的終端。

一般科技公司都會給員工配備筆記本。如果員工要用自己的終端設備，英文叫BYOD (Bring Your Own Device，自帶設備)，公司也會要求員工的設備符合公司的規范，比如需要定期掃描是否有病毒等惡意軟件，需要安裝公司的加密通信客戶端，通常是VPN。最后，如果設備丟失或者員工離職，要允許公司遠程的擦除設備信息。

按照規定使用符合安全保密規范的終端， 高官們受到保護的不只是加密這點，掃描白宮或者五角大樓的郵件服務器不是那么容易的。掃不到還好，萬一掃到了，國家機器會來找麻煩的。私人郵件服務器基本上沒有保護，從互聯網上就能掃描，這個文章上面已經提過。

第二，希拉里用了自己家的網絡，自己家的服務器。

記住，如果你是公司高管或者政府要員，永遠不要相信免費wifi，永遠不要相信免費wifi，永遠不要相信免費wifi！重要的事情說三遍。為啥？因為作為公司高管或者政府要員，你周圍的黑客基本上都是這樣的：

他們在干啥？釣！魚！國內的黑產連一般人的銀行賬號QQ號都不放過，你覺得他們會放過你手機上的重要信息嗎？

如果需要在手機上處理重要郵件，記住一定要用加密信道，開啟VPN，最好是用單位網絡或者3G/4G網絡。

第三，希拉里公私郵件混用，沒事把重要文件發給記者。

這也就是希拉里，換成下面工作人員這么胡來，早送上法庭了。公私郵件混用不僅容易把自己搞昏頭，把本來應該保密的郵件發給不應該看到的人，還很容易被釣魚郵件騙，或者被惡意軟件截屏，盜取密碼等等。

說到底，養成好的信息安全習慣，就像養成好的衛生習慣一樣，對于保護公司和政府信息健康，是有很大幫助的。

所以，你們知道為啥頂級安全人員往往是學醫出身了吧？