2011年末國內最大程序員社區(qū)CSDN的數據庫泄露事件橫掃整個中國互聯網,引起了億萬網民的關注、懷疑互聯網的安全性����, 似乎一夜之間數據外泄和數據庫安全成為流行。其實不然���,數據外泄從05年開始就在國外爆發(fā)���,典型代表為美國的數千萬信用卡數據失竊事件。
從歷史上看����,往往一個大的事件會引起人們的警醒,甚至一定程度會影響到法律法規(guī)的制訂和全員對安全意識和手段的提高����。面對此類安全事件,我們需要的不是過多的責難��,而是不斷改進的問題本�,站在信息系統(tǒng)安全高度來看待這些層出不窮的安全事件。
信息安全不能頭痛醫(yī)頭腳痛醫(yī)腳
這次事件引發(fā)了很多互聯網企業(yè)���、電子商務��、電子政務等諸多在線業(yè)務系統(tǒng)關于數據庫防泄露的探討與分析�����,安全廠商也紛紛拿出了各自的防數據庫信息泄露的解決方案����。深入分析這次事件,不難看出��,數據庫泄露事件僅僅是信息安全事件的一種表現形式而已�。這次被公布的賬戶信息不過是黑客產業(yè)鏈輸出的已經失去價值的信息殘渣;這背后可能存在修改核心數據庫的記錄����、獲取特定社會公眾人物的重要信息、涉嫌大宗商業(yè)詐騙等違法行為等更為嚴重的不為人知的惡性安全事件�����。亡羊補牢為時不晚����,但若我們安全建設的策略僅聚焦在數據泄露這個安全事件的表象上,這將會是危險的����。
信息安全建設切忌頭痛醫(yī)頭腳痛醫(yī)腳��,如前些年網站出現的大量篡改事件���,從而導致防篡改解決方案、防篡改產品��,防篡改要求紛紛上陣;去年醫(yī)藥價格的暴光推動了防統(tǒng)方的需求�����。這都表現為過于被動的安全策略����,如果沒有CSDN賬戶信息的大量丟失事件,可能我們對信息安全依然陌生����,對WEB應用系統(tǒng)的安全仍然停留在防篡改的層面,對WEB攻擊的認識只會知道有SQL注入�,對數據庫安全認識也只是弱口令。這些事件給我們的信息安全建設敲響了警鐘��。值得慶幸的是這次事件的很多受害網友都是程序員�,因此也直接增強了程序員安全意識教育���。對于信息系統(tǒng)的安全建設我覺得應該從如下幾個方面著手考慮。
安全意識的培養(yǎng)與管理層的重視
很多人都聽說過“七分管理����,三分技術”,也聽說過“70%風險來自內部”����,這兩個準黃金分割其實沒有必然聯系,其實誰在管理��,如何管理���,如何運用合理的技術,如何控制風險����,如何把風險降到可控的范圍,里面最重要的是人�,特別是管理層的決策。從我這些年的觀察來看��,在實踐中大部分都體現了人性的一些弱點“不遇到痛處�����,不會意識到”。伴隨著08奧運安保���、09建國60周年�����、10年世博會和亞運會安����;顒拥某晒�,一個功勞是進行全國性的信息安全教育和安全意識的提高(尤其是在領導層面),這方面的影響將是深遠的�����,而且這次數據庫信息泄露事件我想最值得總結的教訓就是應當提高管理層的安全意識和決策層對信息安全的重視���。很多企業(yè)信息安全沒有專職部門���,甚至只是網管部門某個職工的兼職工作內容。這樣的組織架構是很難落實信息安全工作的��。我們應優(yōu)化組織架構,盡可能建立專職部門并賦予一定的權限�����,這樣才能較好地展開信息安全建設工作�。
立足信息系統(tǒng)安全的高度來看待問題
信息安全是一項系統(tǒng)工程,我們在進行安全的規(guī)劃就是應立足系統(tǒng)安全的高度來分析需求���。從基本的物理安全�、:機房門禁制度��、網絡訪問控制����、操作系統(tǒng)安全、應用安全��、安全訪問人員的認證�、授權��、審計管理等����,其中任何一個環(huán)節(jié)安全措施處理的不當都有可能帶來嚴重的后果���。比如我們信息資產的價值與敏感程度是與相應的訪問角色相對應,從核心數據庫的維護��、管理����、中間件讀取再到普通用戶的瀏覽的每一個層面的權限控制、訪問審計等安全措施是否到位都應納入其中��。
信息安全是技術和管理的統(tǒng)一體����,內部運維和外部訪問的安全管理同等重要。安全管理制度要建立�����,但更需采用一定的手段來監(jiān)測我們的管理制度能否落到實處���。比如我們的制度要求定期修改密碼����、敏感數據訪問需要審批���、權限調整變更需要審批�����,但這些制度是否得到執(zhí)行我們不得而知����。內部管理工作應采用制度建設與技術手段相結合的方式來展開,如我們對數據庫的操作進行審計�,上述的制度是否得到有效執(zhí)行將能直觀的體現到審計報表中,從而促使管理制度得到良好的執(zhí)行�����。
以信息資產的價值來權衡安全的投入
我想強調的是我們做信息安全規(guī)劃時應當以信息資產的價值重要程度和相應的安全風險來決定信息安全的投入��。網站僅為了發(fā)布一些日常信息時���,可能部署一套防篡改軟件就足夠了���,但如果我們是一個重要的交易系統(tǒng)�����,或者是涉及大量用戶信息的社交網絡則需要更為全面的安全考慮。
比如我們的網上應用系統(tǒng)由大量服務器群構成�,如文件服務器、緩存服務器���、多媒體服務器����、廣告服務器�����、交易應用服務器�����、賬戶會話服務等等��,我們在制定安全策略時應當對風險指數高的交易服務器���、賬戶會話服務器進行較多的安全投入�����,而不需要對所有的服務器都采用相同的安全策略從而帶來巨大的信息安全投入本成����。
應具有社會責任感
最后我想說的是以信息技術為載體的企業(yè),無論是專業(yè)的安全公司還是互聯網企業(yè)都應具有良好的社會責任感�。如今幾乎所有銀行、證券�、電信、移動��、政府以及電子商務企業(yè)都提供在線交易���、查詢和交互服務�,這也意味著社會公民的財產��、身份信息��、賬戶信息��、家庭信息�、社交關系等均在互聯網上有了全面的記錄。如果其中的某個環(huán)節(jié)的信息被泄露���,這些信息將可能被別有用心的人關聯起來����,并結合社會工程學等攻擊手段給我們廣大民眾帶來非常大的威脅��。
比如近期的信息泄露可能導致社會民眾的恐慌���,而日益嚴重的如網頁掛馬��、網絡釣魚也給民眾造成了實質性的傷害����,可能這些安全問題對我們服務器本身�����、核心數據庫���、業(yè)務等并不會有直接的影響;用戶因為這些安全問題遭受經濟損失后���,從法律上講,也許我們的企業(yè)并沒有承擔責任的義務��,但我們應在這幾個方面加強安全防御措施�,盡可能降低類似事件的發(fā)生�,不但為健康的網絡環(huán)境做一份貢獻���,同時也是為我們自己的企業(yè)信譽做一份努力�����。
