2011年末國(guó)內(nèi)最大程序員社區(qū)CSDN的數(shù)據(jù)庫(kù)泄露事件橫掃整個(gè)中國(guó)互聯(lián)網(wǎng),引起了億萬(wàn)網(wǎng)民的關(guān)注��、懷疑互聯(lián)網(wǎng)的安全性�����, 似乎一夜之間數(shù)據(jù)外泄和數(shù)據(jù)庫(kù)安全成為流行�����。其實(shí)不然�,數(shù)據(jù)外泄從05年開(kāi)始就在國(guó)外爆發(fā),典型代表為美國(guó)的數(shù)千萬(wàn)信用卡數(shù)據(jù)失竊事件�����。
從歷史上看����,往往一個(gè)大的事件會(huì)引起人們的警醒�,甚至一定程度會(huì)影響到法律法規(guī)的制訂和全員對(duì)安全意識(shí)和手段的提高��。面對(duì)此類安全事件����,我們需要的不是過(guò)多的責(zé)難,而是不斷改進(jìn)的問(wèn)題本��,站在信息系統(tǒng)安全高度來(lái)看待這些層出不窮的安全事件����。
信息安全不能頭痛醫(yī)頭腳痛醫(yī)腳
這次事件引發(fā)了很多互聯(lián)網(wǎng)企業(yè)����、電子商務(wù)、電子政務(wù)等諸多在線業(yè)務(wù)系統(tǒng)關(guān)于數(shù)據(jù)庫(kù)防泄露的探討與分析��,安全廠商也紛紛拿出了各自的防數(shù)據(jù)庫(kù)信息泄露的解決方案��。深入分析這次事件���,不難看出���,數(shù)據(jù)庫(kù)泄露事件僅僅是信息安全事件的一種表現(xiàn)形式而已�����。這次被公布的賬戶信息不過(guò)是黑客產(chǎn)業(yè)鏈輸出的已經(jīng)失去價(jià)值的信息殘?jiān)?這背后可能存在修改核心數(shù)據(jù)庫(kù)的記錄�、獲取特定社會(huì)公眾人物的重要信息����、涉嫌大宗商業(yè)詐騙等違法行為等更為嚴(yán)重的不為人知的惡性安全事件。亡羊補(bǔ)牢為時(shí)不晚���,但若我們安全建設(shè)的策略僅聚焦在數(shù)據(jù)泄露這個(gè)安全事件的表象上��,這將會(huì)是危險(xiǎn)的�。
信息安全建設(shè)切忌頭痛醫(yī)頭腳痛醫(yī)腳����,如前些年網(wǎng)站出現(xiàn)的大量篡改事件,從而導(dǎo)致防篡改解決方案�、防篡改產(chǎn)品��,防篡改要求紛紛上陣;去年醫(yī)藥價(jià)格的暴光推動(dòng)了防統(tǒng)方的需求。這都表現(xiàn)為過(guò)于被動(dòng)的安全策略�����,如果沒(méi)有CSDN賬戶信息的大量丟失事件��,可能我們對(duì)信息安全依然陌生�,對(duì)WEB應(yīng)用系統(tǒng)的安全仍然停留在防篡改的層面,對(duì)WEB攻擊的認(rèn)識(shí)只會(huì)知道有SQL注入���,對(duì)數(shù)據(jù)庫(kù)安全認(rèn)識(shí)也只是弱口令��。這些事件給我們的信息安全建設(shè)敲響了警鐘�。值得慶幸的是這次事件的很多受害網(wǎng)友都是程序員���,因此也直接增強(qiáng)了程序員安全意識(shí)教育。對(duì)于信息系統(tǒng)的安全建設(shè)我覺(jué)得應(yīng)該從如下幾個(gè)方面著手考慮����。
安全意識(shí)的培養(yǎng)與管理層的重視
很多人都聽(tīng)說(shuō)過(guò)“七分管理,三分技術(shù)”����,也聽(tīng)說(shuō)過(guò)“70%風(fēng)險(xiǎn)來(lái)自內(nèi)部”,這兩個(gè)準(zhǔn)黃金分割其實(shí)沒(méi)有必然聯(lián)系,其實(shí)誰(shuí)在管理����,如何管理,如何運(yùn)用合理的技術(shù)�����,如何控制風(fēng)險(xiǎn)��,如何把風(fēng)險(xiǎn)降到可控的范圍�����,里面最重要的是人���,特別是管理層的決策�����。從我這些年的觀察來(lái)看�,在實(shí)踐中大部分都體現(xiàn)了人性的一些弱點(diǎn)“不遇到痛處�����,不會(huì)意識(shí)到”。伴隨著08奧運(yùn)安保����、09建國(guó)60周年、10年世博會(huì)和亞運(yùn)會(huì)安����;顒(dòng)的成功,一個(gè)功勞是進(jìn)行全國(guó)性的信息安全教育和安全意識(shí)的提高(尤其是在領(lǐng)導(dǎo)層面)�,這方面的影響將是深遠(yuǎn)的,而且這次數(shù)據(jù)庫(kù)信息泄露事件我想最值得總結(jié)的教訓(xùn)就是應(yīng)當(dāng)提高管理層的安全意識(shí)和決策層對(duì)信息安全的重視�。很多企業(yè)信息安全沒(méi)有專職部門,甚至只是網(wǎng)管部門某個(gè)職工的兼職工作內(nèi)容�����。這樣的組織架構(gòu)是很難落實(shí)信息安全工作的�。我們應(yīng)優(yōu)化組織架構(gòu),盡可能建立專職部門并賦予一定的權(quán)限�,這樣才能較好地展開(kāi)信息安全建設(shè)工作。
立足信息系統(tǒng)安全的高度來(lái)看待問(wèn)題
信息安全是一項(xiàng)系統(tǒng)工程�����,我們?cè)谶M(jìn)行安全的規(guī)劃就是應(yīng)立足系統(tǒng)安全的高度來(lái)分析需求����。從基本的物理安全、:機(jī)房門禁制度��、網(wǎng)絡(luò)訪問(wèn)控制��、操作系統(tǒng)安全�、應(yīng)用安全、安全訪問(wèn)人員的認(rèn)證����、授權(quán)、審計(jì)管理等����,其中任何一個(gè)環(huán)節(jié)安全措施處理的不當(dāng)都有可能帶來(lái)嚴(yán)重的后果。比如我們信息資產(chǎn)的價(jià)值與敏感程度是與相應(yīng)的訪問(wèn)角色相對(duì)應(yīng)���,從核心數(shù)據(jù)庫(kù)的維護(hù)����、管理�、中間件讀取再到普通用戶的瀏覽的每一個(gè)層面的權(quán)限控制、訪問(wèn)審計(jì)等安全措施是否到位都應(yīng)納入其中�����。
信息安全是技術(shù)和管理的統(tǒng)一體,內(nèi)部運(yùn)維和外部訪問(wèn)的安全管理同等重要����。安全管理制度要建立,但更需采用一定的手段來(lái)監(jiān)測(cè)我們的管理制度能否落到實(shí)處����。比如我們的制度要求定期修改密碼、敏感數(shù)據(jù)訪問(wèn)需要審批�����、權(quán)限調(diào)整變更需要審批�����,但這些制度是否得到執(zhí)行我們不得而知����。內(nèi)部管理工作應(yīng)采用制度建設(shè)與技術(shù)手段相結(jié)合的方式來(lái)展開(kāi),如我們對(duì)數(shù)據(jù)庫(kù)的操作進(jìn)行審計(jì)��,上述的制度是否得到有效執(zhí)行將能直觀的體現(xiàn)到審計(jì)報(bào)表中�����,從而促使管理制度得到良好的執(zhí)行��。
以信息資產(chǎn)的價(jià)值來(lái)權(quán)衡安全的投入
我想強(qiáng)調(diào)的是我們做信息安全規(guī)劃時(shí)應(yīng)當(dāng)以信息資產(chǎn)的價(jià)值重要程度和相應(yīng)的安全風(fēng)險(xiǎn)來(lái)決定信息安全的投入�����。網(wǎng)站僅為了發(fā)布一些日常信息時(shí)�,可能部署一套防篡改軟件就足夠了���,但如果我們是一個(gè)重要的交易系統(tǒng),或者是涉及大量用戶信息的社交網(wǎng)絡(luò)則需要更為全面的安全考慮���。
比如我們的網(wǎng)上應(yīng)用系統(tǒng)由大量服務(wù)器群構(gòu)成��,如文件服務(wù)器、緩存服務(wù)器�����、多媒體服務(wù)器���、廣告服務(wù)器����、交易應(yīng)用服務(wù)器、賬戶會(huì)話服務(wù)等等���,我們?cè)谥贫ò踩呗詴r(shí)應(yīng)當(dāng)對(duì)風(fēng)險(xiǎn)指數(shù)高的交易服務(wù)器��、賬戶會(huì)話服務(wù)器進(jìn)行較多的安全投入,而不需要對(duì)所有的服務(wù)器都采用相同的安全策略從而帶來(lái)巨大的信息安全投入本成。
應(yīng)具有社會(huì)責(zé)任感
最后我想說(shuō)的是以信息技術(shù)為載體的企業(yè)����,無(wú)論是專業(yè)的安全公司還是互聯(lián)網(wǎng)企業(yè)都應(yīng)具有良好的社會(huì)責(zé)任感。如今幾乎所有銀行����、證券��、電信�����、移動(dòng)�����、政府以及電子商務(wù)企業(yè)都提供在線交易��、查詢和交互服務(wù)�,這也意味著社會(huì)公民的財(cái)產(chǎn)、身份信息��、賬戶信息、家庭信息����、社交關(guān)系等均在互聯(lián)網(wǎng)上有了全面的記錄。如果其中的某個(gè)環(huán)節(jié)的信息被泄露��,這些信息將可能被別有用心的人關(guān)聯(lián)起來(lái)��,并結(jié)合社會(huì)工程學(xué)等攻擊手段給我們廣大民眾帶來(lái)非常大的威脅�����。
比如近期的信息泄露可能導(dǎo)致社會(huì)民眾的恐慌�,而日益嚴(yán)重的如網(wǎng)頁(yè)掛馬、網(wǎng)絡(luò)釣魚(yú)也給民眾造成了實(shí)質(zhì)性的傷害��,可能這些安全問(wèn)題對(duì)我們服務(wù)器本身���、核心數(shù)據(jù)庫(kù)��、業(yè)務(wù)等并不會(huì)有直接的影響;用戶因?yàn)檫@些安全問(wèn)題遭受經(jīng)濟(jì)損失后�,從法律上講�����,也許我們的企業(yè)并沒(méi)有承擔(dān)責(zé)任的義務(wù)����,但我們應(yīng)在這幾個(gè)方面加強(qiáng)安全防御措施,盡可能降低類似事件的發(fā)生��,不但為健康的網(wǎng)絡(luò)環(huán)境做一份貢獻(xiàn)����,同時(shí)也是為我們自己的企業(yè)信譽(yù)做一份努力。
