互联网监控项目“棱镜计划”曝光对安全监控机构和人员的警示

prism-whistleblower

“棱镜计划”被爆料者一公开,便成为全球特别是中美大众和媒体关注的一个重要话题,泄密者斯诺登选择了一个“出名”的最佳时机——恰逢中美两国元首会晤洽谈国家黑客主义和网络安全之际。

观看互联网舆情,媒体和大众多在对美国国家安全局进行指责,不少计算机网络信息安全业者更是抓住这个监控“把柄”,大释宣扬国外信息系统服务的不可靠,其目的无疑是推广信息安全要使用“自主创新”产品的目标。

不过,在我们多数人的有生之年,美国创新精神仍将会引领世界潮流,核心产品和营销理念仍将领先中国多年,拨开“自主创新”的外衣,我们依然要做多年的“跟随者”。

要说核心战略行业和领域早已开始在安全保障方面“国产化”,政策层面各网络信息安全主管机关以及重点行业监督委员会不断出台相关信息安全法规和指南,要求信息系统在本土登记、注册和使用经授权的本土信息安全产品和服务,大批的产品和服务如防火墙等设备的使用、信息安全管理等保体系的建立等等让国内的一批网络信息安全公司乘势得到快速成长和扩张。

不过,“跟随者”们在崛起的过程中,仍然被领先者美国牵制着信息技术的应用,如我国关键的行业如电力、银行等的核心信息系统仍然有90%以上使用国外的领先产品。

近几年,由美国引头儿折腾的“云计算”风水渐起,特别表现在“公有云”——互联网领域,美国的志向和眼光早已不局限于北美,而是全球,这让信息化相对落后的“跟随者”们很惊恐。加之美国不断输出西方文化理念和普适价值观,冲击着其他的文明,于是各国纷纷启用国家防火墙,监控和过滤着不利的信息流。

对使用者的信息流进行监控是拥有互联网主权的国家和组织的正常行为,甚至各国和一些商业公司都有实施一些间谍活动,这都是些常识并且无可厚非。泄密者斯诺登正好参与了对民众进行互联网信息监控的“棱镜计划”,从广义上讲,将范围由国家缩小到组织机构,有多少信息安全从业人员甚至IT人不是也有从事类似的工作呢?那些IDS、网络审计、内容过滤、上网行为管理、文档安全、数据安全之类的信息系统不都或多或少在监控着员工们的通讯信息吗?

在国家层面,美国不时出台国家安全和互联网监控相关的法律法规,授权相关机构合法监听监控国民的通讯信息。而在组织机构如公司层面,多数也有信息系统使用规范,强调信息数据和信息系统归公司所有,公司有权查看和监控员工工作相关的通讯信息。

所以,我们不必要跟风起哄或赞扬或鄙视或同情斯诺登,或责怪美国政府的网络安全双重标准。我们需要分析研究泄密者斯诺登的动机,以及如何防止事情发生到自身或自己的组织里面。

问题的根本原因在哪里?斯诺登是个异类或叛徒?不是,他自称并没有反对美国国家和人民的利益,他坚持自己的民主价值观,认为民众应该有知情权并且投票决定这一政策。我们从美国的政治文化上看起来,这合乎逻辑,是正常的。

斯诺登在受采访时提到周边人员对他的疑问的漠视,他称“在圈子里已经无法解决这个问题,只有交给大众。”这才是问题的核心所在,在他周边的从业人员可能和我们多数IT及安全从业人员一样,认为这是天经地仪的事,不需要大惊小怪。他服务的组织可能也觉得给了他丰厚的金钱报酬,甚至让他签定了保密协议,再说他看起来也是个正常人,也就没把他放在心上。

正是这些漠视,激起了他在大范围内进行爆料的想法,让大众知道,让大众来评断……他爆料的想法越来越强烈,最终他选择了行动!

人是有思想的复杂的动物,要防范人们做出偏激甚至怪异的行动,要从内心活动抓起。昆明亭长朗然科技有限公司信息安全分析师James Dong说:这就是我们常说的“把恶念消除在萌芽状态”。试想,如果斯诺登的同事和领导们对他进行一些必要的开导,让他正确认识到互联网信息监控的合法性,或许他对监控工作的认识会更进一步,他可能根本都不会有爆料的想法。

说到底,要有效解决这种问题,防范未来再次发生类似事故,还是得从安全意识沟通开始,这也确确实实是一个信息安全认知的问题。当然到目前为止,斯诺登还算是一个好人,没有泄漏手头上所有的更多内幕信息。要知道,来自内部的安全威胁要远远高于外部,掌握更多内幕信息的IT人干起坏事儿来杀伤力更是强大。

回顾起差不多十年前的一起员工网络通讯监控案例,再看看今天的事情,深深觉得雇佣双方在安全认知方面的沟通不足,危害甚大。而解决之道,无疑是强化对员工进行信息安全意识教育,将相关的安全政策、标准、制度和规范详细告知员工,并将此作为一项常规培训活动,而不是简单地让员工们签定一下信息安全和保密相关的法律文件。

如何建立网络安全文化

根据网安科技的一项调查,中央国资企业仅将其IT预算的3.2%用于网络安全。对此,昆明亭长朗然科技有限公司网络安全专员董志军感叹道:这点支出与全球范围内的跨国企业13%的基准相比,显得多么的微不足道。

不可否认的是,很多中央企业担负着重要的政治任务,这就造成可能在非经济领域的事情上花了很多钱,因此尽管有庞大的开支,在网络安全方面,央企仍然会觉得处处都是威胁,尽管有如《网络安全法》、等级保护等法规驱动力来促进网络安全工作的开展,但是“巧妇难以无米之炊”,那紧张的预算,想买高端的设备和服务,是不可能的。

《网络安全法》实施几年来,相关细则不断出台,给互联网、金融等行业带来了巨大变化,许多公司正在不断加强对网络安全的关注和投入,但是这种情况似乎并没有在央企大量发生。为什么央企不带好头儿严格遵循网络安全相关的法律法规呢?要说他们不怕惩罚那是不可能的,要说没有资源那也说不过去,有国家做后盾的都是财大气粗的,而且有大量的服务商盯着看着。

一位常年与央企网络安全负责人打交道的超级销售称:“客户知道他们在信息安全方面的支出低于其发达国家同行的支出,但是他们也知道中国的国情,即使争取到了可观的网络安全预算,也很快会被领导一句话,就挪做他用。”

这就是央企国企的企业文化的一部分,网络安全负责人无奈也没有办法。不过,如果硬着头皮要上,那最好也是从文化入手,即少花钱买“物品”,多用“人力”,以建立网络安全文化。网络安全领域传统的观念就是安装硬件设备,安全人员喜欢这样做,因为外行的领导们不懂,当然,这闹出过很多笑话,比如一套软件一张光盘一千块领导觉得贵,把同样的软件装进工控机十万块领导却觉得值。不过近些年来,领导们越来越聪明了,他们不再迷信机器设备这些硬件,而是更注重人的因素。这也是一个潮流和趋势,设备设施是为人服务的,也要人来使用的,安全亦是如此,需要与人互动起来,才是真的安全。

建立企业网络安全文化,通过内部沟通,让人人懂安全,是最经济实惠的“秀”安全工作的方法,领导们可能不喜欢去机房看那些硬件设备,但一定会喜欢看到职员们展示出来的安全风貌,这就是领导们喜欢玩儿的,安全文化的体现。网络安全文化的体现会在哪些方面呢?董志军举出如下几个例子。

密码或口令的保护,密码出入各类信息系统的钥匙,是网络安全防御体系的重要一环,央企职员们可以使用容易创建、容易记忆、复杂而强大的密码来帮助提高网络安全性。这需要网络安全团队强化宣传,以激励职员们保持更健康的密码习惯。在职员们为领导们演示工作时,输入复杂的密码登录系统,与输入简单的密码,或者看着屏幕旁边的小纸片上记录的密码,给领导的印象会截然相反。

机密与隐私的保护,领导到办公区走走,看到有的员工不在座位上,但涉密信息却被摆放在桌面,有的员工在微信中随意披露工作内容,有的员工将工作文件上传到互联网云盘上,领导肯定会有些担心。与之相比,领导看到不在座位的员工桌面仍然很整洁,电脑屏幕也被锁定起来,其他的员工在离开座位时也收拾好桌面,并习惯性地锁起重要物品和电脑桌面。即使领导嘴上不说,心里也肯定会有自己的认识和看法。

恶意软件的感染,从来未感染过或听过受到恶意软件感染的机构,和感染了勒索软件的机构,给领导的印象绝对是截然不同的,即使领导是个网络安全方面的技术外行,但是显然,人们会有一个常识,电脑文件被勒索软件加密,绝不是偶然的因素,而无疑体现出网络安全综合水平的落后。

通常上述几个例子,相信不难理解网络安全文化的重要性,网络安全文化并不是虚无的东西,也并不是表面的东西,而是实实在在的网络安全治理管理体系的组成部分。文化的养成源自行为习惯的塑造,而行为习惯则源自于对网络安全的积极和正确的认识。如果人们不认为安装安全补丁有什么用处、甚至觉得是麻烦事儿的话,他们就不会及时安装软件的安全补丁,系统和网络的安全漏洞就会一直存在,一旦遭遇网络安全威胁,风险便随之而来。

不要以为通过扫描网络漏洞、识别和监控网络安全入侵行为,建立网络安全事件快速响应计划等等措施就可以替代掉对职员的安全文化熏陶工作,网络安全是一项全民的工作,针对网络安全威胁的战争亦是如此,不能仅仅依靠专业团队,全民用网络,全民要防范。

借助新型的安全意识培训产品,央企网络安全负责人可以快速、轻松地部署以培训员工安全意识的在线网络教育课程,内容包括安全意识基础和安全意识技术。在线网络教育系统通常还使管理人员下载报告以识别已完成课程和未能及时完成课程的职员。

当然,网络安全文化的建立并非一两次安全意识培训活动就可以达成,要不断地放在实践中去检验,网络安全现场审核与检查、人员网络安全意识访谈、模拟网络钓鱼攻击等等活动,都是花很少钱,却能同时衡量和促进网络安全文化建设的好方法和好工具。

确保网络安全法规与政策的落实,需要拿得出的东西来激励人们学安全、行安全。创建网络安全文化不能虎头蛇尾,要坚持不懈,定期进行全员安全意识刷新是必不可少的工作。

为帮助各类型企业机构的网络安全负责人员,昆明亭长朗然科技有限公司推出了网络安全意识培训与文化宣传服务及课程内容资源,欢迎联系我们,洽谈采购与合作事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898