上期小博跟大家一起回顾了2011年十大信息安全事件的上半部分,当中选题和观点免不了比较粗糙,大家权当是抛砖引玉吧!本期,我们带来2011信息安全大事记的下篇,看看已经过去的2011,还给我们留下了哪些警示。
5. 该出手时就出手——两高联合制定《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》开始施行
事件回放:
2011年8月29日,最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》。这个共有十一条的司法解释从2011年9月1日起开始正式执行。
值得注意的是,2012年1月,国内知名黑客,“黑基网”实际控制人王献冰,因为提供侵入、非法控制计算机信息系统的程序、工具罪,被判处有期徒刑5年,罚金人民币60万元;被告人周林亮被判处有期徒刑4年,罚金人民币10万元。这是在上述司法解释出台后审结的第一起有显著影响力的黑客案件。可以说,从此以后,有关信息安全犯罪行为,开始“有法可依”。
评论:
目前我国现行法律法规及规章中,与信息安全直接相关的是65部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域。从数量上来看,确实很多,但也还有很多不足。
首先,目前国内有关信息安全的法规,大多都是规章制度,立法法律层面的明显不足,如果发生类似的信息安全事件或犯罪行为,执法的威慑力与执行力,都不如其他领域的法律有保障,从根本上不能震慑犯罪行为。目前泛滥的个人隐私信息泄漏问题,其根源一定程度上也在于此。国外在这一方面做的就比较好,例如,美国2002年的《联邦信息安全管理法》、87年的《计算机安全法案》、俄罗斯95年的《联邦信息、信息化和信息保护法》等。此次两高解释的出台,算是开了一个头。
其次,随着信息技术在各行各业的迅猛发展,与信息安全相关的其他法律有待完善。例如信息安全中涉及的个人权利主要包括通信秘密、言论自由、隐私权、著作权及相关知识产权,而与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法,与隐私权相关的法律是民法通则,与著作权及相关知识产权相关的法律是著作权法、合同法,信息安全中涉及的单位的权利主要包括商业秘密、技术秘密、著作权及相关知识产权等,而与商业秘密、技术秘密相关的法律有反不正当竞争法、技术合同法,与著作权及相关知识产权相关的法律有著作权法、合同法。如何在整体上提高这些法律法规的整体性,使其相互配合,并尽量不产生冲突,都是未来需要做的更多的。
无论如何,此次出台的法律法规,是第一次在制度层面有了实施指导意义的法律规章,算是迈出了第一步。革命尚未成功,同志仍需努力。
4. 人云亦云,不知所云——亚马逊云服务宕机,服务终端,部分客户数据丢失
事件回放:
美国太平洋标准时间2011年4月21日上午01:30分,由于北弗吉尼亚州的数据中心出现故障,造成了位于Virginia州Ashburn 的Amazon公司旗舰数据中心EBS服务无法正常使用。在大约12小时后,AWS表示,在除一个区域以外,所有可用区域的功能均已恢复并运行正常。
4月24日晚上7:00,AWS表示,该服务运行稳定,恢复过程仍在进行中,但是直至4月25日AWS才将美国东部地区的运行状态标为正常。
基于位置的移动服务Foursquare、问答服务网站Formspring.me和新闻聚合器Reddit.com,都指责这次事故导致他们的网站运营中断。同时,这次故障也使一些公司的网站崩溃,这些公司是帮助企业开发运行在亚马逊云计算中的工具。例如Salesforce.com的Heroku网站停止运营已超过八个小时。
评论:
过去的一两年,“云”似乎成为了一个大热的话题,“云存储”、“云计算”甚至是“云杀毒”,云的触角似乎蔓延到了每一个角落,言必称“云”,是很多展会上的常见风景。然而,究竟云的概念是什么?是技术发展的里程碑,还是厂商一厢情愿的概念炒作造成的虚假繁荣?没有人能说的清。
对于云计算的安全,目前大致可以分为两类:传统安全厂商的新产品,以及云计算厂商本身的保证。前一类,是赛门铁克、麦咖啡、RSA等传统的安全厂商老树开新花,是否适应云计算时代,还有待检验;而后一类,只是云计算厂商的自说自话,毕竟亚马逊还宣称自己99.95%的可靠性,最后还是宕机四天才解决,这种承诺的可信度和可控性,值得怀疑。
此次亚马逊云服务宕机事件,为我们提了一个醒,在你兴奋的想要应用这些先进的技术之前,应该问自己几个问题:
- 云计算是什么?我需要的是哪种云计算,平台即服务(PaaS),软件即服务(SaaS),还是基础设施即服务(IaaS)?
- 我是应该选择公有云,还是私有云?
- 如果把我的业务转移到云平台中,无论是公有云,还是私有云,目前有相对应的信息安全保护解决方案么?换句话说,连我都不知道在云中何处的信息,它安全么?
另外,值得一提的是,国内有多个城市把云计算提上了发展计划,成为继“动漫”、“软件”、“汽车”之后的又一类支柱产业。政府主导的产业,很多时候都会变了味,云计算会不会变成下一个硬件厂商和地方政府的联合狂欢,还有待观察。但看了多次云服务宕机的事件之后,相信大家心里,都应该有几分谨慎了。
3. 免费安全时代来临?——360成功上市
事件回放:
2011年3月30日,号称中国最大的信息安全企业的奇虎360在美国纽交所上市,这是2011年第一家在美国成功上市的中国互联网公司,也是迄今为止第一个独立上市的中国互联网安全公司。上市当日收盘价为34美元,首日涨幅达134.48%,首日总市值达38.5亿美元,以当日计算位居中国十大互联网公司行列。
然而,自2011年11月起,国外做空机构Citron Research发起了一系列的针对奇虎360股票的做空行为,认为其财务造假,主营业务盈利能力不强等,使得奇虎360股票大跌的同时,也引来了国内外对于奇虎360盈利能力以及“免费安全+导航广告”商业模式的广泛质疑。
2011年,根据有关机构及360自身发布的数据,360旗下产品中,安全卫士拥有4亿用户,安全浏览器有2.35亿用户,手机安全卫士也有7000万用户,几乎占据了相关市场的半边天,可谓成绩斐然。同时,作为安全厂商,360一直以来与国内安全厂商口水仗不断,经历了2010年底的3Q大战,2011年,360仍然持续与金山、瑞星、腾讯等国内厂商纠缠不清。
此外,2011年,360还低调推出了企业版360安全卫士,进军企业市场。通过与国内的部分企业级IT厂商合作,360免费企业安全产品也在低调推进中。
评论:
2010年年末那场举世闻名的“3Q”大战,谁对谁错众说纷纭,没有定论。唯一带来的,就是俨然变身娱乐圈的安全圈。在此我们姑且不评论360所推行的免费安全的质量如何,只讨论企业级的免费安全是否可行?我想,恐怕有待商榷。
首先,如果真的按照360自己所说,其用户量达到了4亿,那么它就跟腾讯的QQ一样,成为了用户覆盖率极高的产品,相比某些linux发行版几千万的发行量,俨然成为另外一种操作系统(事实上,QQ和360目前所推动的平台战略,也显露出了操作系统的野心)。这个时候,有关这个产品的安全风险,就已经升级成了对数亿用户的安全威胁。就像微软的Windows无尽的补丁一样,360是否有这个能力维持自身的安全?很多企业已经禁用了QQ,就是出于安全的考虑,而360作为安全产品,在系统层拥有更高的权限,一旦发生意外,带来的破坏会更加严重。
其次,企业级安全产品与个人安全产品有着明显的不同。从技术上,企业级安全产品对技术的要求更高,没有一定的技术积累而只是从简单的个人产品升级而来显然不可取。我们不怀疑360的技术钻研能力,但这个领域要求的技术实力,显然要求深厚的技术积累,而不是一两个月能提升上来的。
最后,企业级产品对于服务的要求是免费安全无法给予的。免费安全产品,说白了就是用“免费”来换取市场份额,并在后期通过增值业务收费。用户接受了免费,换来的就是一句“一切解释权均为本企业所有”。而安全对于企业来说,恰恰是最要求拥有自主权和实际保证的。如果出了安全事故,免费产品的用户显然不可能凭着一份当初直接按下下一步的“用户协议”来维护自己的权益。
企业免费安全,看上去很美。我们肯定不排除360延续以往的策略,在后期采用一些定制化的手段和特殊服务对企业级产品进行收费,然而在此之前,360还是要扎扎实实走路,更应该看清楚“企业级”这三个字,意味着什么。
2. 老大哥在看着你——运营商Carrier IQ跟踪用户手机使用信息事件
事件回放:
2011年12月,一位 25 岁的黑客 Trevor Eckhart,发现 Android、Nokia、HTC 等手机内置的 Carrier IQ 服务会不断上传用户的操作数据,并发布了一段视频作为佐证。
此后,涉及此次事件的几大手机厂商与运营商大部分都出面承认了事件的真实性,其中包括三星、诺基亚、HTC等手机厂商,以及AT&T、Sprint、T-Mobile等运营商。此次CIQ事件一时间引起轩然大波。这是继之前苹果与Android跟踪用户地理位置之后爆出的又一牵涉用户隐私信息保护的重大安全事件。尽管CIQ的开发商辩称,他们的产品并不收集用户隐私信息,只是为了运营商改进产品与服务,用户对此仍有重大疑虑,美国部分议员也表示了对此的关切。
目前,部分手机厂商和运营商已经公布了补救措施,包括如何移除手机内置的Carrier IQ产品,以及在以后不再在产品内预先安装此软件。
评论:
随着基于i-OS、Android等系统的只能移动设备的爆发性增长,智能设备迎来了前所未有的春天。然而,相对应的,由此带来的安全威胁也不得不让人正视。作为智能操作系统,这些产品能实现更多的应用,但也开始面临着过去windows等操作系统面临的同样的安全威胁。另外,越来越频繁的个人信息泄漏事件,让用户对于个人隐私泄漏的焦虑越来越严重。因此,此次事件发生后,引起公众的强烈反应也就不足为奇。
另外,企业层面,智能设备的普及,也让IT部门面临着两难。员工利用私人设备,能够方便的处理工作任务,加快工作进程,但不断爆出的安全事件,却让IT管理人员对于私人设备进入企业IT系统充满了警惕,因为一旦企业的机密信息通过私人设备泄露,造成的经济及其他非经济损失更加直接,影响也更大。
智能设备的狂潮肯定是不可阻挡的,IT管理人员应该做的,是开始考虑对于智能设备应该采用怎样的安全策略,这些策略当然也不仅仅是“放”与“禁”那么简单。准入控制,数据加密,数据移除,网管员都需要未雨绸缪。
1. 当密码不再是秘密——CSDN、天涯等遭遇最大用户密码泄漏事件
事件回放:
2011年12月21日,中国互联网突然传出重磅消息:知名程序员网站CSDN被曝600万用户帐户密码泄漏。黑客在网上公布了用户数据库,此数据库在网络上广泛传播,并被制作成网页供网友查询。更为惊人的是,此次泄漏的用户数据库中,密码竟然是明文存储的。CSDN随后承认用户密码失窃,但强调这些密码都是在2009年之前注册用户的,现在已经不再明文存储密码。
令人始料未及的是,此后又有多家知名网站爆出了用户密码数据库泄漏,当中包括天涯、人人网、开心网甚至新浪微博等知名站点,更有疯传部分银行的网银数据库也被泄密,一时间人人自危,改密码成了热词。有传言称,此次泄密事件暗含反对微博实名制的声音。
截止到目前,经过国家互联网应急中心官方发布的消息称,能够证实CSDN与天涯两家网站发生了用户数据库泄密事件,其他的站点泄密事件,均无法准确证实,或为内部人员所为。同时,到目前为止,已经有2名涉事黑客因为此次事件被捕。
评论:
在2011年的末尾,即将踏入传说中的“2012”的时候,CSDN和天涯 的系列泄密事件,无疑给中国互联网投下了最大的一颗炸弹。虽然最终官方的定性报告力图淡化此次事件的影响,极力否认与反对实名制有关,这些事件对于中国互联网的影响,注定像去年年底的3Q大战一样,意义深远。
曾几何时,提起黑客,很多人都会觉得离自己很遥远,事不关己,也就对安全不闻不问。这样的情况在本次泄密事件之后有了根本的转变。互联网上有人笑言,最近人们聊天的第一句是“今天你改密码了没?”的确,国内用户的信息安全意识一向淡漠,同一套ID、密码和邮箱走天下的情况非常普遍,因此,即使在不相关的网站泄漏了帐号,也可能影响到更为重要的网银等系统的安全。
本次事件充分暴露了互联网上脆弱的安全生态,黑客泛滥,用户安全意识不足,企业无良,法规缺失,种种负面因素的累加,使得类似事件的发生也就有了其必然性。这是第一次影响广泛的信息泄密事件,却也是第一次浮上水面的泄密事件,冰山一角尤如此,水面下的暗流如何涌动不难想象。目前,国内重视信息安全的企业,除了寥寥几个互联网巨头,再无其他,而这些巨头,无一例外的是牵涉到电子支付、电子商务等经济活动,可以说,是利益使得他们的安全上了一个台阶。而面对着今天千疮百孔,但却一损俱损,一荣俱荣的互联网安全生态,我们希望的,是除了利益之外,还能有一份责任,促使国内的企业、相关机构和从业人员一起,推动我们的安全事业踏实的向前走,毕竟,这与每个人都有关,同时,也有利于每个人。
结语:
以上,就是溢信科技总结出的2011十大信息安全事件回顾。2011年发生的信息安全事件,远远不止以上10起,其影响力,更绝非寥寥数语能够讲完。我们希望的,只是站在2011和2012的拐角,回头看一下走过来的路,当中的坑洼和磕绊,走过的人心里自知。2012年,或许不是世界末日,但无论是企业级安全,还是个人安全,却都到了准备买票的时候。希望2012的安全方舟上,安全行业的相关者,都能少一些纷争,少一些口水,多做一些实事。
安全,是做出来的,现在,就是行动的时候。