加强安全保护 防止企业数据被维基解密

在持续关注维基解密这个现代黑客传奇故事的同时,我总是不禁想到,不管我们怎么看待维基解密这件事,如果政府部门在安全防范上没有犯这么愚蠢的错误,整件事情可能就都不会发生了,起码不会有这么大规模的机密文件外泄。正如我的同事Jason Perlow 所说的,这并不是安全系统设计上的问题,而是实施管理过程中存在问题。

机密互联网协议路由网络 (SIPRNet) 可以说是最安全的网络了。但是美国陆军一等兵Bradley Manning却用实际行动告诉我们,即使是最棒的安全设计,如果不按规范要求去实施,也是毫无用处的。虽然SIPRNet 上的资料仅能在安全网络内部共享,但是Manning所使用的笔记本却带有CD/DVD刻录机,而几个G的文件就这样从机密网络转移到了维基解密的手中。据有线报道, Manning 是这样解释他盗取机密文件的方法的:“我会带一张用CD-RW碟片烧录的音乐CD进入办公室,比如lady gaga之类的CD,然后再将碟片中的音乐擦除,烧录进分割压缩过的文件。”

整个过程没有用到什么高深诡异的网络陷阱,也没有电影Mission Impossible中那种惊险刺激的场面,盗取机密文件所需要的仅仅是一台电脑和一张空白碟片,齐活儿。

在我们都在嘲笑米国政府形同虚设的安全防范措施之前,我们是不是应该先检讨一下自己的网络防护状况呢?就算你的wi-fi网络采用的是WPA2/CCMP (Wi-Fi Protected Access/Counter Mode with Cipher Block Chaining Message Authentication Code Protocol),或者你的有线网络采用的是802.1X Port-Based Authentication,你就能肯定自己的办公电脑是绝对安全的吗?

我现在就在办公室里面对着一台已经用了几年的Dell Inspiron 530S电脑。这台电脑拥有一个DVD+/-RW刻录机,前后共有六个USB 2.0端口,带有四合一读卡器。不用仔细琢磨,我就能大概想出超过十一种将公司网络数据盗走的方法。

而在我旁边的笔记本包里,还有两张空白的DVD RW 碟片,五六个U盘,容量从512兆到4GB不等,一个初代的16GB容量的iPod Touch,以及一个采用Droid II Android 系统的智能手机,机载内存8 GB,还配有8GB microSD卡。如果我正身处在你的办公室中,面对着类似的系统环境,我可以在较短的时间内搬走40GB的企业数据。

我确信如果真的让我去盗取公司资料,这么做肯定能成功。因为我去过的大部分公司都是这样,只要登录进了系统,用我们随身携带的日常电子产品,比如U盘,MP3,智能手机,数码相机等设备,就可以将企业数据拷贝出来。

随着维基解密事件的出现,美国政府也意识到了这个问题。我一个在情报部门工作的朋友就告诉我:“我现在上班什么都不能带了,不能带iPod,不能带手机,不能带可复写的CD,U盘更不能带。”

这么做没错。如果你真的希望自己的数据安全,那么就一定要确保没人能带着任何数据存储设备进出办公场所。而如今,数据存储设备意味着很多现代化的电子设备。另外,还可以封掉电脑上的大部分数据接口。当然,每种“解决方案”都有其自己特有的问题。

因此,下次当我们嘲笑别人的安全防护措施很愚蠢之前,一定要提醒自己,以如今的科技水平,要防止数据泄漏是非常难的。当然,在维基解密这个事件中,政府在安全防护问题上确实犯了很多错,而且怎么就没有网络监管人员发现大量的敏感数据都流向同一台电脑呢?政府部门尚且如此,我们普通企业又有多高的警惕性呢。