2011年末國內(nèi)最大程序員社區(qū)CSDN的數(shù)據(jù)庫泄露事件橫掃整個中國互聯(lián)網(wǎng)����,引起了億萬網(wǎng)民的關(guān)注、懷疑互聯(lián)網(wǎng)的安全性�, 似乎一夜之間數(shù)據(jù)外泄和數(shù)據(jù)庫安全成為流行。其實不然�����,數(shù)據(jù)外泄從05年開始就在國外爆發(fā)����,典型代表為美國的數(shù)千萬信用卡數(shù)據(jù)失竊事件。
從歷史上看���,往往一個大的事件會引起人們的警醒���,甚至一定程度會影響到法律法規(guī)的制訂和全員對安全意識和手段的提高。面對此類安全事件�,我們需要的不是過多的責(zé)難,而是不斷改進的問題本�����,站在信息系統(tǒng)安全高度來看待這些層出不窮的安全事件��。
信息安全不能頭痛醫(yī)頭腳痛醫(yī)腳
這次事件引發(fā)了很多互聯(lián)網(wǎng)企業(yè)、電子商務(wù)����、電子政務(wù)等諸多在線業(yè)務(wù)系統(tǒng)關(guān)于數(shù)據(jù)庫防泄露的探討與分析,安全廠商也紛紛拿出了各自的防數(shù)據(jù)庫信息泄露的解決方案����。深入分析這次事件�,不難看出,數(shù)據(jù)庫泄露事件僅僅是信息安全事件的一種表現(xiàn)形式而已����。這次被公布的賬戶信息不過是黑客產(chǎn)業(yè)鏈輸出的已經(jīng)失去價值的信息殘渣;這背后可能存在修改核心數(shù)據(jù)庫的記錄、獲取特定社會公眾人物的重要信息����、涉嫌大宗商業(yè)詐騙等違法行為等更為嚴重的不為人知的惡性安全事件。亡羊補牢為時不晚���,但若我們安全建設(shè)的策略僅聚焦在數(shù)據(jù)泄露這個安全事件的表象上�����,這將會是危險的����。
信息安全建設(shè)切忌頭痛醫(yī)頭腳痛醫(yī)腳,如前些年網(wǎng)站出現(xiàn)的大量篡改事件����,從而導(dǎo)致防篡改解決方案、防篡改產(chǎn)品����,防篡改要求紛紛上陣;去年醫(yī)藥價格的暴光推動了防統(tǒng)方的需求。這都表現(xiàn)為過于被動的安全策略�,如果沒有CSDN賬戶信息的大量丟失事件,可能我們對信息安全依然陌生�����,對WEB應(yīng)用系統(tǒng)的安全仍然停留在防篡改的層面����,對WEB攻擊的認識只會知道有SQL注入,對數(shù)據(jù)庫安全認識也只是弱口令����。這些事件給我們的信息安全建設(shè)敲響了警鐘。值得慶幸的是這次事件的很多受害網(wǎng)友都是程序員�����,因此也直接增強了程序員安全意識教育。對于信息系統(tǒng)的安全建設(shè)我覺得應(yīng)該從如下幾個方面著手考慮����。
安全意識的培養(yǎng)與管理層的重視
很多人都聽說過“七分管理,三分技術(shù)”����,也聽說過“70%風(fēng)險來自內(nèi)部”�,這兩個準黃金分割其實沒有必然聯(lián)系,其實誰在管理�,如何管理,如何運用合理的技術(shù)�,如何控制風(fēng)險,如何把風(fēng)險降到可控的范圍�����,里面最重要的是人����,特別是管理層的決策。從我這些年的觀察來看��,在實踐中大部分都體現(xiàn)了人性的一些弱點“不遇到痛處,不會意識到”����。伴隨著08奧運安保、09建國60周年��、10年世博會和亞運會安��;顒拥某晒��,一個功勞是進行全國性的信息安全教育和安全意識的提高(尤其是在領(lǐng)導(dǎo)層面)�����,這方面的影響將是深遠的���,而且這次數(shù)據(jù)庫信息泄露事件我想最值得總結(jié)的教訓(xùn)就是應(yīng)當提高管理層的安全意識和決策層對信息安全的重視����。很多企業(yè)信息安全沒有專職部門����,甚至只是網(wǎng)管部門某個職工的兼職工作內(nèi)容。這樣的組織架構(gòu)是很難落實信息安全工作的。我們應(yīng)優(yōu)化組織架構(gòu)���,盡可能建立專職部門并賦予一定的權(quán)限�,這樣才能較好地展開信息安全建設(shè)工作�����。
立足信息系統(tǒng)安全的高度來看待問題
信息安全是一項系統(tǒng)工程���,我們在進行安全的規(guī)劃就是應(yīng)立足系統(tǒng)安全的高度來分析需求���。從基本的物理安全、:機房門禁制度��、網(wǎng)絡(luò)訪問控制�����、操作系統(tǒng)安全��、應(yīng)用安全�����、安全訪問人員的認證��、授權(quán)�����、審計管理等����,其中任何一個環(huán)節(jié)安全措施處理的不當都有可能帶來嚴重的后果。比如我們信息資產(chǎn)的價值與敏感程度是與相應(yīng)的訪問角色相對應(yīng)��,從核心數(shù)據(jù)庫的維護����、管理、中間件讀取再到普通用戶的瀏覽的每一個層面的權(quán)限控制��、訪問審計等安全措施是否到位都應(yīng)納入其中�����。
信息安全是技術(shù)和管理的統(tǒng)一體��,內(nèi)部運維和外部訪問的安全管理同等重要��。安全管理制度要建立,但更需采用一定的手段來監(jiān)測我們的管理制度能否落到實處���。比如我們的制度要求定期修改密碼���、敏感數(shù)據(jù)訪問需要審批、權(quán)限調(diào)整變更需要審批��,但這些制度是否得到執(zhí)行我們不得而知�����。內(nèi)部管理工作應(yīng)采用制度建設(shè)與技術(shù)手段相結(jié)合的方式來展開���,如我們對數(shù)據(jù)庫的操作進行審計�,上述的制度是否得到有效執(zhí)行將能直觀的體現(xiàn)到審計報表中���,從而促使管理制度得到良好的執(zhí)行���。
以信息資產(chǎn)的價值來權(quán)衡安全的投入
我想強調(diào)的是我們做信息安全規(guī)劃時應(yīng)當以信息資產(chǎn)的價值重要程度和相應(yīng)的安全風(fēng)險來決定信息安全的投入�。網(wǎng)站僅為了發(fā)布一些日常信息時,可能部署一套防篡改軟件就足夠了����,但如果我們是一個重要的交易系統(tǒng)�,或者是涉及大量用戶信息的社交網(wǎng)絡(luò)則需要更為全面的安全考慮��。
比如我們的網(wǎng)上應(yīng)用系統(tǒng)由大量服務(wù)器群構(gòu)成��,如文件服務(wù)器��、緩存服務(wù)器�����、多媒體服務(wù)器����、廣告服務(wù)器、交易應(yīng)用服務(wù)器�����、賬戶會話服務(wù)等等�����,我們在制定安全策略時應(yīng)當對風(fēng)險指數(shù)高的交易服務(wù)器����、賬戶會話服務(wù)器進行較多的安全投入��,而不需要對所有的服務(wù)器都采用相同的安全策略從而帶來巨大的信息安全投入本成�����。
應(yīng)具有社會責(zé)任感
最后我想說的是以信息技術(shù)為載體的企業(yè)����,無論是專業(yè)的安全公司還是互聯(lián)網(wǎng)企業(yè)都應(yīng)具有良好的社會責(zé)任感����。如今幾乎所有銀行、證券�、電信、移動�����、政府以及電子商務(wù)企業(yè)都提供在線交易����、查詢和交互服務(wù)�����,這也意味著社會公民的財產(chǎn)、身份信息��、賬戶信息����、家庭信息、社交關(guān)系等均在互聯(lián)網(wǎng)上有了全面的記錄��。如果其中的某個環(huán)節(jié)的信息被泄露�,這些信息將可能被別有用心的人關(guān)聯(lián)起來,并結(jié)合社會工程學(xué)等攻擊手段給我們廣大民眾帶來非常大的威脅�。
比如近期的信息泄露可能導(dǎo)致社會民眾的恐慌,而日益嚴重的如網(wǎng)頁掛馬�����、網(wǎng)絡(luò)釣魚也給民眾造成了實質(zhì)性的傷害����,可能這些安全問題對我們服務(wù)器本身、核心數(shù)據(jù)庫��、業(yè)務(wù)等并不會有直接的影響;用戶因為這些安全問題遭受經(jīng)濟損失后��,從法律上講,也許我們的企業(yè)并沒有承擔(dān)責(zé)任的義務(wù)���,但我們應(yīng)在這幾個方面加強安全防御措施�,盡可能降低類似事件的發(fā)生���,不但為健康的網(wǎng)絡(luò)環(huán)境做一份貢獻����,同時也是為我們自己的企業(yè)信譽做一份努力�。
