从安全事件谈无国界的网络与有差异的文化

每天都有着大量不为人知的网络安全及信息泄露事故发生,其中不少都和我们有着切身的关系。这些安全事件或许就发生在拥有我们个人信息的互联网服务商,或许就在我们工作、学习或生活的单位以及与之有千丝万缕关联的组织机构。

通过媒体,我们经常看到美国的大公司如Google、Apple、Microsoft、Facebook、Amazon等时不时便会遭遇数据泄露的报道,还有那些跨国公司、外国政府机构、医院和大学等等也经常被黑客入侵。但反观国内的机构如阿里、腾讯、京东、新浪、网易遭遇数据泄露的情况就少得多,国内政府机构和企业、医院及大学似乎就是“无坚不摧”的。这种情况明显是值得怀疑的,因为美国发明了互联网,也是全球的领导,其在互联网安全防范技术和制度管理等方面都要领先于我国。

值得怀疑的东西就有其可深究的原因,对此,昆明亭长朗然科技有限公司网络安全分析员董志军表示:虽然说被网络黑客等不法分子入侵或者内部人员有意无意泄露数据的“丑事儿”当然不易公开,这在中西方都不例外,但是这里面也还有很多地缘政治文化引起的差异。我们相信不管在美国还是在中国,被公开的黑客入侵事件或数据泄露事故都只是冰山一角,绝大部分都被私下悄悄地解决了,媒体和大众甚至用户永远都不知晓。

那么差异在哪儿呢?引起差异的根本原因是什么?我认为在安全事件发生后的应对措施方面,并不是说扑救的方式有什么异同,而是对受事件影响的人员的告知和安抚,西方人会觉得有必要及时通知到用户,一是对其知情权利的尊重,另一方面需要用户的配合动作,以减轻进一步的损失。中国人,甚至东亚人则想的是一方面该如何避免给用户造成困扰和不便,最好还是不要让用户知晓,另一方面也想帮助用户处理后续的麻烦,不愿被用户误解进而导致恐慌行动和混乱局面,最好的方式就是悄悄处理。

相比起来,您会发现西方人的处理方式比较“开放”,而东方人则比较“保守”,这就是文化差异的根源。说到中国,有人喜欢扯到苏维埃共产主义极权统治的一个传统做法是控制新闻舆论,故意不要民众开化。我不知道苏俄的情况,但在中国,这明明是跨越时空进行附会和瞎扯,国家相关网络安全法规明明规定了网络安全事故的紧急应对措施,一要报送监督管理机构,二要通知受影响人员。

尽管政令法规的出发点都是好的,尽管网络服务商也是为用户着想,但用户可能并不满意,为什么呢?用户不放心呀!服务商是用户数据的管家,管家在主人(用户)的数据泄露后捂着不告知,尽管管家您是不想主人(用户)操心和担惊受怕,但是主人我自此得担负起数据泄露的后续未知风险,比如收到莫名其妙地广告骚扰,甚至受到各种有针对性的网络钓鱼诈骗攻击。主人(用户)们咒骂着网络不法分子,却不知道始作俑者竟然是自己信任的网络服务商,甚至自己工作、学习或生活的单位。主人(用户)们能做些什么呢?告知(外部)服务商和单位内部IT部门,请让我们及时知道事实真相,也请让我们参与进来,即使短时担惊受怕吧!

为什么国家法令那么好,而网络服务商甚至自己工作、学习或生活的单位就不遵守呢?这就是法律落地的问题,西方的法律精神是从下至上的,我国的是从上至下的,说到底我们的民众不具备法治精神,我们的网络服务商,我们各组织机构的网络安全响应团队,都是被动的守法,也就是“安全事件发生了,捂下去就解决了,相当于没发生安全事件,没发生就没通报”。这就造成我国网络安全事件表面上看起来风平浪静,实则暗流涌动的现状。

看了看垃圾邮箱,发现95%以上都是来自海外的,就知道中国互联网的安全治理的很好。再细看那些海外的垃圾邮件,其中有大量安全威胁,比如涉及色情、暴力和诈骗的不良内容,分析一下来源域名、语言和地址,仿佛都来自前苏联共产国家,他们真是国际互联网安全的死敌呀。不过也值得同情,后冷战时代,原苏联国家的人民生活不易,很多人精通网络技术却仍然没有什么好的出路,只有靠网络不法行为来骗取他国人民的钱财,进而养家糊口。如果这些人生在美国,或许会生活的很富足很舒适。

抛出问题不解决不是什么有责任心的企业和人员,对此,董志军称:文化的差异和鸿沟很难填充,其实我并不完全否认中国甚至东亚的这种“保守”文化,也不觉得“保守”文化就一定落后于“开放”文化,举例讲,“保守”文化似乎更利于信息数据的安全保密。近些年流行“文明趋同,文化求异”之说,我们了解一下西方信息安全文化,知己知彼,不多余。在此基础上,如果能取其之长,补己之短,倒不失为信息安全管理的一项策略。当然,能发扬光大我们自己的安全管理文化,使其融入世界,为全球网络安全空间的文明建设贡献积极的力量,则善莫大焉。

为了沟通中西方网络安全意识文化,帮助各国加强彼此了解,昆明亭长朗然科技有限公司与欧、美、印、日等多国建立了业务合作关系,我们引进了大量的海外信息安全意识教程素材资源、软件以及方法,同时,我们也根据中国特色,创作了大量的网络安全、信息保密及合规意识相关的动画视频、电子漫画、海报图片及网络课件。欢迎全球全国各类型的组织机构联系我们,洽谈安全宣教内容的选购与合作,以及安全意识宣传活动的策划与实施。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

从“轮渡”和“摆渡”看信息安全文化

对比中外信息安全意识宣教内容,发现一个有意思的现象:关于网络骗局,西方国家有很多专业性的词汇,并且详细解释不同名称的骗局之间的差别。而中国除了“钓鱼”、“诈骗”之外,几乎没有什么对应的专业名称。

反思一下,从计算机病毒的命名方法开始,中国就一直是西方强国的追随者,如同西医一样,西方强国讲科学,为什么在人员安全领域,很多学术方面的新词引进不来呢?分析原因,昆明亭长朗然科技有限公司网络安全分析师董志军说:如同中医中的疾病名称数量远不如西医多一样,万“骗”不离其宗,在国人眼中,反正都是骗,没必要给不同的骗术取名以区分。

这不见得就完全是一种文化落后,举例讲,病人在看病的时候,问医生是什么病,如果被告知一个拗口的疾病名称,那病人的心理负担可能会加重。当然,病人可以花更多时间和精力去各种渠道了解相关疾病的真相。同样,在网络攻击和网络诈骗领域,很多专业新名词也会让一些非专业人士懵逼,不过笔者认为这不应该是在信息安全意识领域止步,不引进西方强国定义的很多名词的理由。就如同一个老师想:这些都是笨孩子,不要给他们新知。

这种“落后”,原因在于保守的传统,化解方法其实很简单,一方面要积极开放,通过引进西方强国的新知,另一方面要果断摈弃落后的传统,也是常说的传统文化中的糟粕。

说到传统文化中的糟粕,不仅仅是愚忠愚孝和封建迷信,更应该注意“语言腐败”,张维迎教授对这点有深刻的阐述。笔者最近看到近几年信息安全保密领域里有一些新词,比如“轮渡”和“摆渡”,这两个词其实是一个意思,正如同一条大河阻隔了河两岸百姓的生活,但老渔民为方便乡亲们的生活,利用渔船在两岸“轮渡”或“摆渡”接送人过河。当然,这是善意的,计算机领域的“轮渡”或“摆渡”攻击却是恶意的,但原理与之类似。

政府机构、军队、银行金融、能源电力等关键部门的信息系统,首要的防护措施便是隔离,内部网络与外部网络之间实行严格的物理隔离。但是泄密事件仍时常发生,这是什么原因呢?就是因为“轮渡”或“摆渡”攻击。这词的发明是多么的生动形象呀!我们不得不叹服造词者深厚的传统文化底蕴。

造词者对“轮渡”或“摆渡”攻击给出了如下案例描述、步骤讲解,以及防范之道:

攻击的实例

张某,某大学知名教授。其白天使用办公电脑工作,晚上使用个人电脑上互联网查阅资料。为了方便工作,其用U盘将互联网资料拷贝到办公电脑,并将办公电脑中未完成的工作拷贝到个人电脑,造成办公电脑内几百份涉密资料泄露到互联网上。事后,张某受到严重的行政和党纪处分。

典型攻击步骤

“轮渡”或“摆渡”攻击利用移动载体比如U盘作为“渡船”,达到间接从内部网络中秘密窃取文件、资料的目的。

  1. 黑客首先攻击该涉密人员连接互联网的私人计算机,在该计算机中植入木马。
  2. 当涉密人员在私人计算机上使用U盘拷贝资料时,木马将自身打包存储到U盘内。
  3. 该涉密人员将U盘插入内网计算机,木马将自身拷贝到内网计算机。
  4. 木马窃取内网计算机中的文件、资料并存储到U盘中。
  5. 当涉密人员再次将U盘插入到私人计算机上时,木马将从内网中窃取的文件、资料拷贝到私人计算机中。
  6. 涉密人员使用私人计算机上网时,涉密文件、资料被发送到互联网上。

这样,通过U盘这个“渡船”,在“轮渡”或“摆渡”木马的控制下,就完成了内部网络与互联网之间的“轮渡”或“摆渡”攻击。

攻击的防范

“轮渡”或“摆渡”木马与正常软件没有本质的区别,杀毒软件也无能为力,普通用户更加难以防范。U盘等移动载体在摆渡攻击中承担重要角色,因此,禁止在两个信息系统之间交叉使用移动载体,已成为最重要的安全保密规定。

关于信息安全保密文化的反思

前述部分看上去比较科学严谨吧?不要高兴太早,因为在两个系统之间有交换数据的需求!接下来,各种奇葩的保密产品、技术和管控制度就出台了,当然,伴随而来的是各种企图突破或超过这些保密控制措施的奇怪招数。比如,不让交叉使用移动存储载体,那我用条网线或无线收发器连接成局域网行不行?不要混合内外网?用个单向数据传输设备行不行?

这些解决问题的方法简单说总是拿一个新东西来补救一个旧东西,真是让人啼笑皆非。董志军说:通过使用似是而非的“新词”来推动信息安全保密“改革”工作,真是在当前环境下的一种无奈之举。不过这正体现了我们很多组织机构信息安全文化的“落后”,不承认落后不行,只有认识到落后了,才能奋起直追向强者学习。那么,请我们仔细分析问题的根源,木马怎么来!电脑本身不安全!涉密人员使用电脑的行为不安全!为什么会这样?公私不分!工作用计算机没有得到必要的安全加固!涉密人员的信息安全意识缺乏,计算机安全操作技术不过关!

说到底,很多涉密机构的信息安全保密管理人员不懂基本的计算机安全原理、技术和方法,即使有一些懂的,也没能让涉密人员掌握必要的信息安全保密知识和技能。

人太傻,只好使用技术控管措施、更多的保密产品和更多的保密检查,花钱事小,效果不佳,泄密失密频发,违纪人员被一波一波整肃,信息安全保密工作岗也受到牵连才真正事大。当然,事后也还要来点模板式的总结,比如“此事泄密事件暴露了部分涉密人员保密观念淡薄、信息技术知识特别是网络安全防范知识欠缺、单位网络管理不规范等问题。”

国内很多机构保密人员“人浮于事”,其实那些信息安全保密人员都是聪明人,只是聪明才智得不到发挥。为什么呢?表面上看是事儿太多,忙不过来,只有拆东墙补西墙般救火。其实是信息安全保密文化的落后使然,您一个人再能干,在那个环境下,也是不足够的。因为信息安全保密工作是全员性的,至少要让所有涉密人员都变强大。

当所有涉密人员都在信息安全保密意识方面强大了,信息安全文化便真正建立起来,失密泄密事件即使发生,局势也会在控制之下,失泄密责任清晰明了,信息安全保密工作人员自然不会因工作不到位而受影响。

如何把信息安全保密从业人员的知识理念和安全技能传输给其他涉密人员呢?昆明亭长朗然科技有限公司创作了数百部信息安全保密教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益,形成了一道强有力的安全人员防线,对建立良好的信息安全保密文化进到了良好的促进作用。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898