網(wǎng)絡(luò)安全工作中遇到的那些“奇葩”事件

做安全工作這么多年，遇到或聽聞不少讓人瞠目結(jié)舌的“奇葩”事件。今天舉幾個(gè)例子和大家聊聊。希望給大家?guī)硪恍┨嵝押退伎肌?/p>

看似挺奇葩的事件，其實(shí)很多事兒可能就發(fā)生在你身邊，但也許你還未意識(shí)到那是個(gè)問題。

1.技術(shù)熟練VS安全意識(shí)淡薄

早些年做項(xiàng)目，曾接觸過一位網(wǎng)絡(luò)管理員。這個(gè)小伙子技術(shù)很不錯(cuò)，路由交換協(xié)議、安全策略配置得都很熟練，一般性的問題處理起來也得心應(yīng)手。但是他卻有一個(gè)不好的習(xí)慣，就是很多網(wǎng)絡(luò)設(shè)備都不配置Console（管理控制臺(tái)）密碼，做過網(wǎng)絡(luò)項(xiàng)目的小伙伴都知道，網(wǎng)絡(luò)設(shè)備的Console控制臺(tái)是最基本的網(wǎng)絡(luò)管理接口，所有初始化的配置都要從這里開始。如果不配置密碼，被別有用心人得到機(jī)會(huì)，插上管理線纜就可以“大開殺戒”為所欲為。

和他聊起這個(gè)事，他的理由很輕描淡寫:平時(shí)柜子是鎖著的，沒事。這個(gè)密碼不常用，一旦忘記了，遇到緊急情況處理起來會(huì)比較麻煩。

這是典型的“圖省事”類型的管理員。

和他去現(xiàn)場(chǎng)的時(shí)候，發(fā)現(xiàn)園區(qū)內(nèi)部分機(jī)柜并沒有鎖緊，只是虛掩著，他也不以為意。

“好人假定”是很多“圖省事”型管理員的慣性思維。就象《天下無賊》中的傻根，“哪有那么多賊咧”是一種默認(rèn)思維定式。然而事實(shí)上，你永遠(yuǎn)不知道，一截車箱里有沒有賊，或者什么時(shí)候會(huì)突然冒出個(gè)賊。

這類問題并非個(gè)案，即使在一些大企業(yè)里也時(shí)有發(fā)生。走在北京的街頭，你偶而會(huì)看見一些街邊的通信機(jī)柜可能是這樣的：

不僅柜門大開，而且線纜混亂。設(shè)備的維護(hù)人員也許在配置命令行的能力上并不差，但對(duì)于外面的人來人往“過于放心”了吧。這樣完全裸露讓人頭皮發(fā)麻的“壯觀”景象，何談安全呢？

事實(shí)上這樣的機(jī)柜很可能連接著千家萬戶的寬帶網(wǎng)，不用多復(fù)雜的攻擊，只要把光纖輕輕一拔，就完全可以造成用戶的斷網(wǎng)。

家里的寬帶突然斷網(wǎng)？也許就和這樣的安全管理有著直接的關(guān)系。

2.從內(nèi)部“飄”出的企業(yè)數(shù)據(jù)

許多企業(yè)在安全技術(shù)設(shè)備上投入很多，防范互聯(lián)網(wǎng)攻擊看似做得無懈可擊。對(duì)于內(nèi)部的安全管控卻非常松散。數(shù)據(jù)沒有分級(jí)，賬戶權(quán)限管理混亂，對(duì)內(nèi)部人員的操作行為，也缺乏必要的限制和審核。

在不少企業(yè)里都存在這種“自己人，一般沒事兒”的內(nèi)部安全管理漏洞。

企業(yè)對(duì)員工的信任和企業(yè)的安全管理規(guī)則并不矛盾，并非立規(guī)矩就是對(duì)員工不信任，也并非有信任，就可以放松了規(guī)則。在實(shí)際工作中由于缺乏必要的內(nèi)部安全管控，造成信息安全損失的事件，并不少見。

在筆者以往的工作中，曾接觸過一家企業(yè)，該企業(yè)的重要內(nèi)部數(shù)據(jù)居然“飄”到了互聯(lián)網(wǎng)上。后經(jīng)追查，發(fā)現(xiàn)是內(nèi)部某職員“不小心”泄露出去的。

這樣的安全事件本不應(yīng)該發(fā)生，也完全可以避免。雖事后可以對(duì)責(zé)任人問責(zé)，但給企業(yè)已經(jīng)造成的損失卻無法挽回了。

對(duì)于企業(yè)來說，嚴(yán)格外部安全管理和嚴(yán)格的內(nèi)部安全管理，缺一不可。而內(nèi)部安全管控是更容易忽視的地方。做好內(nèi)部安全保護(hù)工作，是保護(hù)企業(yè)資產(chǎn)的需要，也是真正對(duì)員工的負(fù)責(zé)任的做法。

3.自做聰明的程序（管理）員

程序開發(fā)人員或運(yùn)維管理員，常常能接觸到企業(yè)的核心應(yīng)用系統(tǒng)或數(shù)據(jù)。而為了個(gè)人維護(hù)方便，有時(shí)就可能做出一些出格的操作。這對(duì)企業(yè)來說，同樣是巨大的安全隱患，安全風(fēng)險(xiǎn)不亞于黑客攻擊。

這類問題其實(shí)在企業(yè)里也很常見，只是“沒出過車禍的人”常常對(duì)“酒后駕駛”的危險(xiǎn)性體會(huì)不深，造成長(zhǎng)期的麻痹大意。最近發(fā)生的一個(gè)案例，可以說是“血”的教訓(xùn)，值得IT從業(yè)人員和企業(yè)引以為戒。

2018年12月，外包運(yùn)維人員北京某科技公司的夏某某，利用私自記錄的數(shù)據(jù)庫賬戶密碼，在未經(jīng)授權(quán)許可的情況下，運(yùn)維中使用私自編寫的“數(shù)據(jù)庫性能觀測(cè)程序”和鎖表語句，導(dǎo)致“鄭州大學(xué)第一附屬醫(yī)院系統(tǒng)癱瘓2小時(shí)”，造成損失800萬元。

2019年5月份，法院最終裁決，判處夏某某有期徒刑五年零六個(gè)月。

這個(gè)案例中，夏某某是運(yùn)維人員，“私自記錄客戶的賬戶密碼”和“執(zhí)行違規(guī)的操作”，是為了維護(hù)方便。主觀上并無惡意，但造成的嚴(yán)重后果仍然需要自己買單。這個(gè)教訓(xùn)對(duì)于一個(gè)程序員而言不可謂不慘痛，但判決結(jié)果卻并不冤，這是漠視安全和規(guī)則應(yīng)受到的懲罰。

當(dāng)個(gè)程序猿也能坐牢？

恩，是的

希望您在以后的工作中不要露出這樣的表情……

反觀這一事件，被害企業(yè)也應(yīng)該從中吸取足夠的教訓(xùn)，涉事人員安全意識(shí)不強(qiáng)可能會(huì)犯錯(cuò)，企業(yè)也應(yīng)扎好安全管理的籬笆，不給別人以犯錯(cuò)的機(jī)會(huì)。安全工作才能真正發(fā)揮其應(yīng)有的作用。

不論網(wǎng)絡(luò)安全、信息安全還是云安全領(lǐng)域，業(yè)內(nèi)都有這樣一個(gè)共識(shí)，即：“安全工作是三分技術(shù)，七分管理。”

難道安全技術(shù)不重要嗎？當(dāng)然不是！象上面這些例子，因?yàn)閭€(gè)人圖方便圖省事，有技術(shù)沒有妥善去用；或企業(yè)的安全管理工作落實(shí)不到位，沒有充分運(yùn)用安全技術(shù)做好防范。那么即使企業(yè)購買了昂貴的安全產(chǎn)品，又如何能產(chǎn)生其應(yīng)有的作用和價(jià)值呢？

這才是“三分技術(shù)，七分管理”背后的含義。

既有精湛的安全技術(shù)，又能通過嚴(yán)謹(jǐn)?shù)墓芾韺踩ぷ髀涞綄?shí)處，上面這些看似奇葩的安全事件，才能夠有效的避免。