摘要:
做安全工作這么多年,遇到或聽聞不少讓人瞠目結(jié)舌的“奇葩”事件��。今天舉幾個例子和大家聊聊�。希望給大家?guī)硪恍┨嵝押退伎肌?
做安全工作這么多年,遇到或聽聞不少讓人瞠目結(jié)舌的“奇葩”事件���。今天舉幾個例子和大家聊聊����。希望給大家?guī)硪恍┨嵝押退伎肌?/p>
看似挺奇葩的事件���,其實很多事兒可能就發(fā)生在你身邊����,但也許你還未意識到那是個問題。
1.技術(shù)熟練VS安全意識淡薄
早些年做項目����,曾接觸過一位網(wǎng)絡(luò)管理員。這個小伙子技術(shù)很不錯����,路由交換協(xié)議、安全策略配置得都很熟練�����,一般性的問題處理起來也得心應(yīng)手�。但是他卻有一個不好的習慣,就是很多網(wǎng)絡(luò)設(shè)備都不配置Console(管理控制臺)密碼�,做過網(wǎng)絡(luò)項目的小伙伴都知道�,網(wǎng)絡(luò)設(shè)備的Console控制臺是最基本的網(wǎng)絡(luò)管理接口,所有初始化的配置都要從這里開始����。如果不配置密碼,被別有用心人得到機會���,插上管理線纜就可以“大開殺戒”為所欲為���。
和他聊起這個事����,他的理由很輕描淡寫:平時柜子是鎖著的����,沒事。這個密碼不常用����,一旦忘記了,遇到緊急情況處理起來會比較麻煩���。
這是典型的“圖省事”類型的管理員���。
和他去現(xiàn)場的時候,發(fā)現(xiàn)園區(qū)內(nèi)部分機柜并沒有鎖緊���,只是虛掩著���,他也不以為意����。
“好人假定”是很多“圖省事”型管理員的慣性思維��。就象《天下無賊》中的傻根����,“哪有那么多賊咧”是一種默認思維定式。然而事實上��,你永遠不知道����,一截車箱里有沒有賊,或者什么時候會突然冒出個賊����。
這類問題并非個案,即使在一些大企業(yè)里也時有發(fā)生����。走在北京的街頭��,你偶而會看見一些街邊的通信機柜可能是這樣的:
不僅柜門大開�����,而且線纜混亂。設(shè)備的維護人員也許在配置命令行的能力上并不差���,但對于外面的人來人往“過于放心”了吧�����。這樣完全裸露讓人頭皮發(fā)麻的“壯觀”景象���,何談安全呢?
事實上這樣的機柜很可能連接著千家萬戶的寬帶網(wǎng)�����,不用多復雜的攻擊�����,只要把光纖輕輕一拔���,就完全可以造成用戶的斷網(wǎng)�。
家里的寬帶突然斷網(wǎng)?也許就和這樣的安全管理有著直接的關(guān)系����。
2.從內(nèi)部“飄”出的企業(yè)數(shù)據(jù)
許多企業(yè)在安全技術(shù)設(shè)備上投入很多,防范互聯(lián)網(wǎng)攻擊看似做得無懈可擊�。對于內(nèi)部的安全管控卻非常松散。數(shù)據(jù)沒有分級����,賬戶權(quán)限管理混亂,對內(nèi)部人員的操作行為����,也缺乏必要的限制和審核。
在不少企業(yè)里都存在這種“自己人���,一般沒事兒”的內(nèi)部安全管理漏洞�。
企業(yè)對員工的信任和企業(yè)的安全管理規(guī)則并不矛盾�,并非立規(guī)矩就是對員工不信任,也并非有信任��,就可以放松了規(guī)則�����。在實際工作中由于缺乏必要的內(nèi)部安全管控,造成信息安全損失的事件�����,并不少見���。
在筆者以往的工作中,曾接觸過一家企業(yè)����,該企業(yè)的重要內(nèi)部數(shù)據(jù)居然“飄”到了互聯(lián)網(wǎng)上。后經(jīng)追查�,發(fā)現(xiàn)是內(nèi)部某職員“不小心”泄露出去的。
這樣的安全事件本不應(yīng)該發(fā)生��,也完全可以避免����。雖事后可以對責任人問責,但給企業(yè)已經(jīng)造成的損失卻無法挽回了。
對于企業(yè)來說����,嚴格外部安全管理和嚴格的內(nèi)部安全管理����,缺一不可�。而內(nèi)部安全管控是更容易忽視的地方��。做好內(nèi)部安全保護工作���,是保護企業(yè)資產(chǎn)的需要���,也是真正對員工的負責任的做法。
3.自做聰明的程序(管理)員
程序開發(fā)人員或運維管理員����,常常能接觸到企業(yè)的核心應(yīng)用系統(tǒng)或數(shù)據(jù)。而為了個人維護方便�,有時就可能做出一些出格的操作。這對企業(yè)來說�����,同樣是巨大的安全隱患�����,安全風險不亞于黑客攻擊�。
這類問題其實在企業(yè)里也很常見��,只是“沒出過車禍的人”常常對“酒后駕駛”的危險性體會不深����,造成長期的麻痹大意�。最近發(fā)生的一個案例����,可以說是“血”的教訓,值得IT從業(yè)人員和企業(yè)引以為戒�。
2018年12月,外包運維人員北京某科技公司的夏某某�,利用私自記錄的數(shù)據(jù)庫賬戶密碼,在未經(jīng)授權(quán)許可的情況下�,運維中使用私自編寫的“數(shù)據(jù)庫性能觀測程序”和鎖表語句,導致“鄭州大學第一附屬醫(yī)院系統(tǒng)癱瘓2小時”����,造成損失800萬元。
2019年5月份���,法院最終裁決���,判處夏某某有期徒刑五年零六個月���。
這個案例中,夏某某是運維人員�����,“私自記錄客戶的賬戶密碼”和“執(zhí)行違規(guī)的操作”�����,是為了維護方便�����。主觀上并無惡意���,但造成的嚴重后果仍然需要自己買單�。這個教訓對于一個程序員而言不可謂不慘痛��,但判決結(jié)果卻并不冤�,這是漠視安全和規(guī)則應(yīng)受到的懲罰。
當個程序猿也能坐牢����?
恩�,是的
希望您在以后的工作中不要露出這樣的表情……
反觀這一事件��,被害企業(yè)也應(yīng)該從中吸取足夠的教訓�,涉事人員安全意識不強可能會犯錯,企業(yè)也應(yīng)扎好安全管理的籬笆����,不給別人以犯錯的機會。安全工作才能真正發(fā)揮其應(yīng)有的作用���。
不論網(wǎng)絡(luò)安全、信息安全還是云安全領(lǐng)域���,業(yè)內(nèi)都有這樣一個共識����,即:“安全工作是三分技術(shù)�����,七分管理���?�!?/p>
難道安全技術(shù)不重要嗎����?當然不是!象上面這些例子����,因為個人圖方便圖省事,有技術(shù)沒有妥善去用���;或企業(yè)的安全管理工作落實不到位�����,沒有充分運用安全技術(shù)做好防范��。那么即使企業(yè)購買了昂貴的安全產(chǎn)品����,又如何能產(chǎn)生其應(yīng)有的作用和價值呢����?
這才是“三分技術(shù),七分管理”背后的含義。
既有精湛的安全技術(shù)�����,又能通過嚴謹?shù)墓芾韺踩ぷ髀涞綄嵦?,上面這些看似奇葩的安全事件,才能夠有效的避免�����。
手機端官網(wǎng)
京公網(wǎng)安備 11010802020714號