互联网监控项目“棱镜计划”曝光对安全监控机构和人员的警示

prism-whistleblower

“棱镜计划”被爆料者一公开,便成为全球特别是中美大众和媒体关注的一个重要话题,泄密者斯诺登选择了一个“出名”的最佳时机——恰逢中美两国元首会晤洽谈国家黑客主义和网络安全之际。

观看互联网舆情,媒体和大众多在对美国国家安全局进行指责,不少计算机网络信息安全业者更是抓住这个监控“把柄”,大释宣扬国外信息系统服务的不可靠,其目的无疑是推广信息安全要使用“自主创新”产品的目标。

不过,在我们多数人的有生之年,美国创新精神仍将会引领世界潮流,核心产品和营销理念仍将领先中国多年,拨开“自主创新”的外衣,我们依然要做多年的“跟随者”。

要说核心战略行业和领域早已开始在安全保障方面“国产化”,政策层面各网络信息安全主管机关以及重点行业监督委员会不断出台相关信息安全法规和指南,要求信息系统在本土登记、注册和使用经授权的本土信息安全产品和服务,大批的产品和服务如防火墙等设备的使用、信息安全管理等保体系的建立等等让国内的一批网络信息安全公司乘势得到快速成长和扩张。

不过,“跟随者”们在崛起的过程中,仍然被领先者美国牵制着信息技术的应用,如我国关键的行业如电力、银行等的核心信息系统仍然有90%以上使用国外的领先产品。

近几年,由美国引头儿折腾的“云计算”风水渐起,特别表现在“公有云”——互联网领域,美国的志向和眼光早已不局限于北美,而是全球,这让信息化相对落后的“跟随者”们很惊恐。加之美国不断输出西方文化理念和普适价值观,冲击着其他的文明,于是各国纷纷启用国家防火墙,监控和过滤着不利的信息流。

对使用者的信息流进行监控是拥有互联网主权的国家和组织的正常行为,甚至各国和一些商业公司都有实施一些间谍活动,这都是些常识并且无可厚非。泄密者斯诺登正好参与了对民众进行互联网信息监控的“棱镜计划”,从广义上讲,将范围由国家缩小到组织机构,有多少信息安全从业人员甚至IT人不是也有从事类似的工作呢?那些IDS、网络审计、内容过滤、上网行为管理、文档安全、数据安全之类的信息系统不都或多或少在监控着员工们的通讯信息吗?

在国家层面,美国不时出台国家安全和互联网监控相关的法律法规,授权相关机构合法监听监控国民的通讯信息。而在组织机构如公司层面,多数也有信息系统使用规范,强调信息数据和信息系统归公司所有,公司有权查看和监控员工工作相关的通讯信息。

所以,我们不必要跟风起哄或赞扬或鄙视或同情斯诺登,或责怪美国政府的网络安全双重标准。我们需要分析研究泄密者斯诺登的动机,以及如何防止事情发生到自身或自己的组织里面。

问题的根本原因在哪里?斯诺登是个异类或叛徒?不是,他自称并没有反对美国国家和人民的利益,他坚持自己的民主价值观,认为民众应该有知情权并且投票决定这一政策。我们从美国的政治文化上看起来,这合乎逻辑,是正常的。

斯诺登在受采访时提到周边人员对他的疑问的漠视,他称“在圈子里已经无法解决这个问题,只有交给大众。”这才是问题的核心所在,在他周边的从业人员可能和我们多数IT及安全从业人员一样,认为这是天经地仪的事,不需要大惊小怪。他服务的组织可能也觉得给了他丰厚的金钱报酬,甚至让他签定了保密协议,再说他看起来也是个正常人,也就没把他放在心上。

正是这些漠视,激起了他在大范围内进行爆料的想法,让大众知道,让大众来评断……他爆料的想法越来越强烈,最终他选择了行动!

人是有思想的复杂的动物,要防范人们做出偏激甚至怪异的行动,要从内心活动抓起。昆明亭长朗然科技有限公司信息安全分析师James Dong说:这就是我们常说的“把恶念消除在萌芽状态”。试想,如果斯诺登的同事和领导们对他进行一些必要的开导,让他正确认识到互联网信息监控的合法性,或许他对监控工作的认识会更进一步,他可能根本都不会有爆料的想法。

说到底,要有效解决这种问题,防范未来再次发生类似事故,还是得从安全意识沟通开始,这也确确实实是一个信息安全认知的问题。当然到目前为止,斯诺登还算是一个好人,没有泄漏手头上所有的更多内幕信息。要知道,来自内部的安全威胁要远远高于外部,掌握更多内幕信息的IT人干起坏事儿来杀伤力更是强大。

回顾起差不多十年前的一起员工网络通讯监控案例,再看看今天的事情,深深觉得雇佣双方在安全认知方面的沟通不足,危害甚大。而解决之道,无疑是强化对员工进行信息安全意识教育,将相关的安全政策、标准、制度和规范详细告知员工,并将此作为一项常规培训活动,而不是简单地让员工们签定一下信息安全和保密相关的法律文件。

浅谈甲午战争的合规安全保密教训

中日甲午战争是中国近代史上规模最大、影响最深、失败最惨、后果最重、教训最多的一场战争。战后,马关条约签订,清廷割让台湾岛及澎湖列岛给日本,赔偿日本2亿两白银。纠其原因,昆明亭长朗然科技有限公司安全保密研究员董志军表示:简单说,日本强而自知,清朝弱而不自知。当日本国力上升之时,必定要拼力一博,以从“被压迫国”向“压迫国”过渡,清国这个以天朝自居的传统“压迫国”,在被日本挑战之时,没能看清楚时局变化和力量对比,为维护“尊严”自讨苦吃。如果说在战略层面清廷犯了大忌,在战术层面,清国也是错误连篇,特别是电报泄密,加速了战争的失败,也扩大了赔偿的数额。

接下来,我们从合规与安全保密层面,简单聊一聊战术方面的失败教训。

一、清朝不守契约不懂国际规矩,在国际外交上让自己“输理”了。举例来讲,清廷明知日本关切朝鲜问题且三方有签相关条约,仍然纠缠朝鲜是否清朝藩属这个大是大非问题。当朝鲜东林党起义,朝鲜高宗向清廷告急求清廷派兵时,朝鲜早已是独立自主国了,更何况早前的《中日天津条约》中有明文约定:“将来朝鲜如有事,中日两国或一国要派兵,应先行文知会;及其事定,仍即撤回,不再留防。”清廷此时隐瞒日本,打着英国商船旗号,悄悄派兵到朝鲜,这明明不是不懂国际规则的无知表现就是不守国际规则的赖皮表现。只通过这个有代表性的例子,就知清廷并非仍旧沉迷于“天朝朝贡思维”,而是“不法”,当然,战后清廷就“知法”了,主动向日本求和,主动承认朝鲜为独立国并撤出朝鲜半岛。这个由“不法”变“知法”的教训很惨痛,今天中国仍然有很多人骨子里缺乏契约精神,不明白国际法,总是从自己“有理”、“有利”的狭隘视角看国际上的大问题。需知,不管是国际还是国内,不管组织机构的规模大小,我们都要遵循世界通行的规则,要维护国际社会也就是“外人”眼中守法合规的形象,这样才能被认可和接受,否则只有被排挤和欺负。

二、清朝不重视安全中人的要素,战备不足之中,管理水平落后,将士综合素质低下是战败的关键。北洋水师与联合舰队进攻火力差不多,但是炮弹配备严重不足,领导丁汝昌被指“只识弓马”,战争中一干管带也全用错炮弹,不用海战时的开花爆破弹,用穿甲弹甚至训练弹。虽然北洋水师舰速略逊一筹,但吨位、火力、装甲、重炮均占优势,如果炮弹配备到位必然可重创日舰,可是那只是如果……对此,时值今日,在中华大地,我们仍然能看到类似的“宝贵遗产”,那就是在安全方面,偏重硬件设备,但是在安全管理方面却很弱,工作人员缺乏足够的安全教育训练,知识技能方面不配设备操作所需。记住:如果领导干部和一线员工没有必要的安全能力,不采用基本的安全原则和防护措施,那么花数百万元购买尖端的安全产品和军事级加密必将是没有效用的,高手只需来个“钓鱼”,借助跳板,即可越过它们。

三、清朝保守但不重视保密工作,让日本间谍抓住了“命门”。外交谈判人员不懂保密,被日本间谍用钓鱼手段破解了电报密码,造成清朝的军事行动计划和谈判底线被日本牢牢掌握,以至于清廷处处被动。有人说清朝方面对电报密码的保密其实是很重视的,并和各国一样有电讯管制措施。其实,这种“重视”是一种落后者对新兴科技的“无奈抗拒”和“盲目管制”,管制的结果就是造成清朝上下对电报这种先进科技包括知识、思想和技能方面的落后。愚昧呀,落后呀!说到底,一味的“愚民”和“封闭”造成外交人员根本不明白电报的泄密隐患,被日本间谍利用“已知明文攻击”的方式来钓鱼,真是攻防双方的实力太不对等了。对我们今天来讲,这种教训是严重的,我们要真正的“重视”保密,需了解到,“开化”与“保密”不矛盾,所有新科技都可能带来新的窃密泄密隐患,盲目拒绝和管制不能消除隐患,只有让人们认识和了解到新科技中的窃密泄密隐患,方能搞好保密工作,同时用好新兴科技。

总之,甲午战争失败,马关条约签订,赔款之巨,割地之多,前所未有。对于清廷来讲,是致命的,“中日战后,情势急转直下,外来的凶猛压力,跟踪而至,片刻未弛,直可谓危急存亡之秋。”与此同时,日本胜利为后来孙中山及其他革命团体领导的革命创造胜利的先决条件。不过,清朝没落带来的大混乱让中华大地元气大伤,对于中华儿女来讲,无疑是代价沉重的。不管如何,历史早翻过了那一页,今天我们在追求民族复兴的路上奋勇前行。然而,民族的特性和文化根深蒂固,是难以轻松“翻过”的。只有强化公民的安全保密与合规意识,提升领导干部对安全、保密与合规的重视度,建立全社会对法律规则的敬畏,做好工作中人员的安全保密文化素养,才是取得包括未来战争成功的关键。当然,在和平时期,亦是取得国家安全与经济利益得以保障的要素。

前事不忘,后事之师。昆明亭长朗然科技有限公司是国内安全保密文化建设的倡导者,我们致力于帮助各类型的组织机构对工作人员进行保密、安全与合规方面的宣教,为此,我们推出了大量专门针对职场人员的安全保密意识课程,欢迎有需要的客户或伙伴们联系我们,洽谈合作。当然,如果您对文中的这个话题有兴趣或者有自己的观点看法,欢迎联系我们,以进一步深入探讨。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898