2011年12月底在國內(nèi)發(fā)生的互聯(lián)網(wǎng)用戶信息泄露事件，由于涉及多玩、世紀(jì)佳緣、珍愛網(wǎng)、美空網(wǎng)、百合網(wǎng)、178、CSDN、7K7K等眾多知名網(wǎng)站，因此被媒體廣為報道。事件的起因是這些網(wǎng)站采用了明文存儲用戶名和密碼，在遭受黑客攻擊后大量用戶數(shù)據(jù)庫被公布在互聯(lián)網(wǎng)上。已經(jīng)有很多信息安全人士從技術(shù)角度進行了分析，我們不妨換一個視角去看這個事件，相信諸如CSDN國內(nèi)最大的程序員網(wǎng)站，其安全防護措施應(yīng)該都具備，安全人員的技術(shù)能力也比一般組織要強，那到底是什么導(dǎo)致了最終用戶數(shù)據(jù)泄漏？

在人們質(zhì)疑這些網(wǎng)站抵御攻擊的能力的同時，相信也注意到了一個關(guān)鍵的問題，他們都采用明文方式存儲用戶數(shù)據(jù)。設(shè)想一下如果這些網(wǎng)站采用加密方式存儲關(guān)鍵數(shù)據(jù)，即便遭到攻擊數(shù)據(jù)被竊取，也未必能夠被破解進而造成數(shù)據(jù)泄漏。對于普通人來說“加密”這個術(shù)語是個“技術(shù)問題”，然而對于專業(yè)從事信息安全相關(guān)技術(shù)人員（包括管理人員、開發(fā)設(shè)計人員、安全管理員、審計人員等）來說，我不認為這還是什么“技術(shù)問題”，而是“安全意識問題”。為什么說是意識問題，如果以一到考題的形式出現(xiàn)“用戶名和密碼在系統(tǒng)中應(yīng)明文存儲還是加密存儲？”，我相信以上人員都會選擇后者，然而事實卻恰恰相反。在多年的安全咨詢和培訓(xùn)實踐中，我把組織的“安全意識問題”表象總結(jié)為三類：第一類，確實不知道，所謂無知者無畏；第二類，知道但不重視或忽視；第三類，存在僥幸心理，認為事情不會發(fā)生在自己頭上（不理解墨菲定律：“會出錯的終將會出錯”）；對于此次事件明顯屬于后兩者。

 實際上，由安全意識引發(fā)的問題在組織中由來已久，并且在組織的各個層面都存在，可以通過幾個案例來說明：

案例一：HBgary Federal郵件泄露

 2011年2月6日，HBGary Federal公司創(chuàng)始人Greg Hoglund嘗試登錄Google企業(yè)郵箱的時候，發(fā)現(xiàn)密碼被人修改了，這位以研究“rootkit”而著稱的安全業(yè)內(nèi)資深人士立刻意識到了事態(tài)的嚴(yán)重性：作為一家為美國政府和500強企業(yè)提供安全技術(shù)防護的企業(yè)，自身被黑客攻陷了！更為糟糕的是，HBGary Federal企業(yè)郵箱里有涉及包括美商會、美國司法部、美洲銀行和WikiLeak的大量異常敏感的甚至是見不得光的“商業(yè)機密”。

 在整個事件中，黑客組織“匿名者”透露的攻擊細節(jié)中，我們大致能了解到，攻陷這家知名安全公司防衛(wèi)森嚴(yán)的網(wǎng)絡(luò)堡壘，其實并不需要才用多么特殊的高深技術(shù)，“人”的漏洞最終導(dǎo)致HBGary Federal聲名掃地。其首席執(zhí)行官Aaron Barr和他領(lǐng)導(dǎo)的管理層犯下了最原始最不可饒恕的信息安全“漏勺”：在所有的賬戶中使用相同的密碼。黑客組織“匿名者”只是通過攻擊其企業(yè)網(wǎng)站所獲得的外圍密碼，就開啟了Barr幾乎所有的網(wǎng)絡(luò)賬戶：Twitter、Linkedin…當(dāng)然，最糟糕的是Gmail企業(yè)賬戶，里面有HBgary Federal公司的客戶：索尼、強生、杜邦等500強企業(yè)的私密信息，當(dāng)然，還有那些涉及政府部門和組織的“特殊商業(yè)計劃”。

　 案例二：索尼遭遇“數(shù)據(jù)門”

索尼從2011年初開始，多次遭到黑客入侵，超過7000萬玩家資料可能遭竊取，這些資料包括郵箱、密碼、信用卡號等，索尼公司于4月20日關(guān)閉PSN和Qriocity服務(wù)。這讓日進斗金的索尼游戲業(yè)務(wù)陷入癱瘓。此外，由于消費者資料泄露可能導(dǎo)致更為嚴(yán)重的網(wǎng)絡(luò)釣魚等大面積網(wǎng)絡(luò)安全案件，美國、英國、澳大利亞和中國香港等國家和地區(qū)的政府已經(jīng)開始對索尼PlayStation Network網(wǎng)絡(luò)遭黑客攻擊及用戶數(shù)據(jù)失竊情況展開調(diào)查，一批游戲玩家已向美國法院提出上訴，控告索尼在保護PlayStation Network網(wǎng)絡(luò)用戶數(shù)據(jù)方面玩忽職守，違反了它與用戶簽訂的服務(wù)合同，整個索尼品牌面臨一次空前嚴(yán)重的災(zāi)難。

普渡大學(xué)的Gene Spafford博士在美國眾議院商務(wù)委員會的聽證會上揭開了導(dǎo)致這次史上最嚴(yán)重的消費者數(shù)據(jù)泄漏事件的重要原因：索尼的服務(wù)器運行著一個過期的Apache Web server軟件，沒有打上補丁，也沒有安裝防火墻。而索尼早在幾個月前已經(jīng)知悉此事，因為問題早已在論壇上報告給索尼工作人員。很明顯，不是黑客匿名組織的技術(shù)高超，而是索尼負責(zé)信息安全的員工在此次事件中犯下了低級錯誤，結(jié)果門戶大開，引狼入室。

案例三：電子54所竊密案

河北省石家莊市中國電子科技集團第54研究所爆出驚天竊密案。一個當(dāng)?shù)嘏沙鏊欤撠?zé)54所去海南試驗的保衛(wèi)工作，半路上被策反，然后逐漸拉上了54所打掃辦公室衛(wèi)生的清潔女工，兩人從印刷廠、復(fù)印室、內(nèi)部網(wǎng)上搞到了大量信息。破案后，安全部長說，這些資料給10000億也不賣，幾十年來對臺電子斗爭成果全部打了水漂,整個底朝天?？梢栽O(shè)想一下，如果54所員工具備較強的信息安全意識，此二人不會如此輕易獲得這些資料。

以上所舉三個案例涉及企業(yè)管理層、技術(shù)人員及普通員工，可見上至企業(yè)老總、下到基層員工，安全意識的薄弱正在成為企業(yè)面臨的最大風(fēng)險，忽視信息安全意識教育，可能遭受災(zāi)難性的打擊。在我國，2006年國信辦組織“信息安全管理體系標(biāo)準(zhǔn)試點工作”，之后很多組織開展了安全管理體系建設(shè)工作；2007年7月四部委發(fā)布《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》，要求在全國范圍內(nèi)開展等級保護工作。無論安全管理體系標(biāo)準(zhǔn)還是國內(nèi)的等保保護要求，都提到對人員的意識教育，但在具體實施中提高企業(yè)全體人員的信息安全意識目前還面臨重重困難，這與組織本身缺乏對于信息安全意識教育的正確認識有關(guān)。

誤區(qū)一：安全預(yù)算絕大部分都投入在產(chǎn)品上

現(xiàn)在組織對安全的認識和重視程度在逐步提高，不少組織都不惜花費大量資金用于購買了網(wǎng)絡(luò)安全設(shè)備和軟件。然而，絕大多數(shù)是組織寧愿花重金在安全技術(shù)和產(chǎn)品上，也不愿在全員信息安全意識教育上有所投入，而從HBgaryFederal事件得出的教訓(xùn)就是，黑客往往能夠采用最低的成本，從組織最薄弱的人員突破，使得企業(yè)花重金打造的安全體系成了“馬其諾防線”，而實際上在提升全員信息安全意識上的花費是所有安全投入中性價比最高的。

誤區(qū)二：提高信息安全專業(yè)人員的技能就可以了

組織所面臨的大量安全問題，往往由信息安全團隊無法完全控制的原因而引起 ：員工本身的安全意識。信息安全人員可以給系統(tǒng)打補丁、升級殺毒軟件，以及不遺余力的看護裝有防護設(shè)備的關(guān)鍵設(shè)施，但是組織安全事件還是屢屢發(fā)生，只要員工能夠收到外界的電子郵件、訪問網(wǎng)站以及干其他類似的事情，組織就會持續(xù)不斷地出現(xiàn)安全問題。因此，僅僅提高安全人員的能力是遠遠不夠的。究其原因如果不從提高全員安全意識的角度根本上來解決問題，組織的安全工作永遠都是被動的。
誤區(qū)三：信息安全意識教育培訓(xùn)一次就夠了

絕大多數(shù)組織的領(lǐng)導(dǎo)者或者人力資源部門認為，提高全員信息安全意識就是隨便搞搞培訓(xùn)，而且搞一次就行了，實際上信息安全意識教育遠不止搞一次培訓(xùn)這么簡單（詳細論述請參加《信息安全意識為先——如何提高組織信息安全意識》一文）。正是基于這種思想，即便搞了培訓(xùn)效果也不好，這樣就陷入了惡性循環(huán)的怪圈之中。

正是基于對上述情況，谷安天下在2010年率先進行了首次“中國企業(yè)員工信息安全意識調(diào)查”，根據(jù)結(jié)果顯示，受訪者認為在所有企業(yè)的安全隱患中，信息安全意識缺乏是最大的安全隱患，占到42.8%的比例；對于目前有效保護企業(yè)和組織信息安全面臨的最大障礙，受訪者認為最大的障礙是普遍缺乏信息安全意識。提高全員信息安全意識的重要性由此可見，提高全員的信息安全意識應(yīng)該擺到組織信息安全建設(shè)的議事日程上來。谷安天下 劉敬國 版權(quán)歸發(fā)布者所有，內(nèi)容并不代表訊納觀點，訊納只享有傳遞權(quán)，轉(zhuǎn)載務(wù)必加（訊納傳遞）并原文使用，違反聲明者，自行承擔(dān)后果。