30億個用戶隱私泄露!13個經典案例教你如何應對
新聞背景:
據新華社報道,雅虎公司近日宣布,在2013年黑客入侵雅虎的事件中,30億個用戶賬號信息被盜。被盜的信息包括用戶姓名、電子郵件地址、電話號碼、出生日期、密碼,在某些情況下還有安全問題和答案。這一數字是此前公布被盜賬號數量的三倍,相當於「半個世界被盜」。
中國互聯網分析師葛甲表示,其中至少有幾千萬中國用戶。他提醒,所有用雅虎郵箱登錄微博的用戶,都存在信息泄露的風險。這些中國用戶都是過去將近20年中積累下來的,雖然有很多都已經是殭屍用戶了,但是他們的用戶名和密碼在國內還被廣泛用來進行各種登錄。建議中國雅虎的用戶最好是修改密碼,或者是更換登錄名。
而雅虎的隱私泄露事件危害極大,除了技術方面的漏洞,在管理上更不容忽視。安碼科技創始人楊義先教授在《安全簡史》中就這樣寫道:「三分技術,七分管理」,是網路空間安全領域中,最響亮的口號之一。它意指,安全保障的效果,主要依靠管理,而不僅僅是技術。
接下來,我們從13個經典案例來看信息安全管理。
1、蝴蝶效應
「蝴蝶效應」是指:當一隻蝴蝶在亞馬遜雨林,偶爾振動一下翅膀後;在美國得克薩斯州,也許就會掀起一場龍捲風。意思就是說吧:網路空間安全無小事,一丁點管理失誤,經網路放大後,就會引發重大事故。如果不重視「安全管理」,可能有人就要扇翅膀了!
2、青蛙效應
「青蛙效應」剛開始將青蛙放進開水鍋,青蛙屁股一燙兩腿一蹬,就躥出了險境。第二次把青蛙放進冷水鍋,慢慢加溫;當青蛙發現上當後,卻已沒力氣跳出來了;最後,成了一碗清燉湯。做「安全管理」也是這樣,別等風險已累積到不可挽救的地步後,才倉促應對;否則,必將後悔莫及。
3、鱷魚法則
鱷魚:哥們兒,請記住,要是我咬住你的腳,千萬別再用手來試圖掙脫你的腳;否則,我會同時咬住你的手和腳。你愈掙扎,就被我咬得越多,直到我吃飽為止。所以,萬一你被我咬住了腳,唯一的辦法就是:犧牲掉那隻腳。記住,如果安全事件大規模爆發,特別是像病毒蔓延等;那麼,奉勸各位,在必要時,可以對網路進行局部隔離,就當是「放棄那隻腳」吧。
4、鯰魚效應
鯰魚:各位,沙丁魚是我的最愛。可是,它們在運輸過程中,成活率很低。後來,就有人把我放進了沙丁魚箱。嘿嘿,當然求之不得啦。於是,我大開殺戒!只見我,左一口,吃掉沙丁魚媽媽;右一口,吃掉了它爸爸;上一口,吃掉它婆婆;下一口,吃掉它爺爺……。就算吃飽喝足了,我也不閑著,仍追著它們玩,嚇得它們屁滾尿流,成活率大大提高。哇塞,好興奮喲,想起來就流口水,真想呆在那裡不出來。你們提心弔膽的所謂安全評估、檢查、審查、評比等,其實就相當於把我放進魚箱;只不過這時,你們成了沙丁魚,而安全管理者則變成了我。
5、羊群效應
「羊群效應」就是說:頭羊往哪裡走,後面的羊就跟著往哪裡走;換句話說,這個效應又叫「從眾心理」。從「安全管理」角度來看,這是一種潛在危害很大的錯誤觀念;特別是,如果其它用戶,哪怕是你的上司,若不遵守規章制度,你也千萬別盲目跟風;當然,最好還能夠規勸他們,幫助改正。黑客們的許多攻擊手段,也正是基於用戶的「羊群效應」,才能生效。
6、刺蝟效應
「刺蝟效應」是說:「兩隻睏倦的刺蝟,由於寒冷而擁在一起;可各自身上都長著利刺,於是又分離了一段距離;但又冷得受不了,再次湊到一起。幾經折騰,兩隻刺蝟終於找到了合適的距離:既能互相取暖,而又不至於被扎」。從「安全管理學」角度看,「刺蝟效應」的含義就是說:「安全」和「效益」就是一對「刺蝟」,必須在它們之間找到合適的平衡距離;既不能只顧效益,而忽略安全;也不能以安全為由,而拒絕效益。
「刺蝟效應」還有另一個新版本,意思是說:無論狐狸用什麼辦法來謀害刺蝟,我們只需倦縮起來,它們就無計可施了。翻譯成「安全管理」的語言,便是:防守是最佳的攻擊,只要管理好內部的安全,任由黑客上躥下跳,我只需面帶微笑。
7、手錶定律
「手錶定律」其實就一句話:當你只有一塊表時,可以確定時間;而當你同時擁有兩塊表,但它們又不同步時,你反而無法確定時間了;因為,你失掉了信心,不知道該相信哪只表了。
至於「手錶定律」的啟發,那就太多了。像什麼,「選你所愛,愛你所選」呀;像什麼,「兄弟,如果你是幸運的,你只要有一種道德就行了;不要貪多,這樣,你過得會更容易些。(尼采)」呀,像什麼「明確目標、不受干擾;懂得取捨,該放則放」呀等等。反正,對「安全管理」的啟發,至少有:對同一批用戶或同一個信息系統,別同時採用兩種管理方法,不能同時設置兩個目標,否則,大家將無所適從……
8、破窗理論
從「安全管理學」的角度來看,「破窗理論」是指:面對你的信息系統,要儘力維護它的安全;千萬別讓黑客們以為它是「破窗」,更別引誘黑客們來圍攻你的系統,否則,你必死無疑。
9、二八定律
所謂「二八定律」,又叫「巴萊多定律」,它是說:在任何一組東西中,最重要的只佔其中一小部分(約20%),其餘(80%)儘管是多數,卻是次要的。比如,社會上,約80%的財富,集中在20%的人手裡;而80%的人,卻只擁有20%的社會財富。又比如,在網路空間安全界,也說:80%的安全事件,是因為管理不善,由內部人員的失誤引起的;而只有20%的安全事件,是源於外部人員的攻擊。
10、木桶理論
所謂「木桶理論」,就是:組成木桶的木板,如果長短不齊;那麼,木桶的盛水量,不是取決於最長的那塊木板,而是取決於最短的那一塊。這個理論在「安全管理」中的應用,根本就不用再多說了,因為,「木桶理論」本身,就是安全技術的基本原則。
11、鳥籠邏輯
所謂「鳥籠邏輯」,其實是諷刺人們慣性思維的。它就是說:在房間顯眼處,掛個漂亮鳥籠後,過不了幾天,主人就一定會「二選一」:或者把鳥籠扔掉,或者買只鳥回來放籠里。此過程很簡單,設想你是主人;只要有來客,看到鳥籠,都會忍不住問你:「鳥呢?是不是死了?」你也許回答:「我從未養過鳥。」客人會問:「那你要鳥籠幹啥?」最後,你不得不二選一,因為,這比無休止的解釋容易得多。當然,從「安全管理」角度看,「鳥籠邏輯」就是要警告你:別被慣性思維所誤;比如,電信網路詐騙等,就是利用了「鳥籠邏輯」,誘使你上當的。
12、責任分散效應
「責任分散效應」,揭示了這樣一個事實:在不同場合,人的援助行為確實是不同:如果只有他一人能提供幫助,他會意識到自己的責任,對受難者給予幫助;因為,如果他見死不救,便會產生罪惡感、內疚感,這就需要付出很高的心理代價。而如果有許多人都在場,那麼,見義勇為的責任就由大家來分擔,造成了責任分散,每個人的責任就減少了;旁觀者甚至根本沒意識到,自己還有責任。這種「我不去救,還有別人」的心理,造成了「集體冷漠」。因此,要想做好「安全管理」,就必須明確責任,絕不能將「本該具體對象承擔的」安全責任,分散到眾人身上;否則,就會造成「表面上的集體負責,實質上沒人負責」的後果。
13、習得性無助效應
所謂「習得性無助效應」,起源於這樣一個實驗結果:經過訓練後,狗狗可以想辦法,逃避實驗者加予的電擊。但是,如果狗狗曾經遭受過莫名電擊的話(即,既不知電從何來,也不知該如何應對),那麼,今後再遭受類似電擊時,本來有機會逃離,也會變得無力逃離了。而且,狗狗還會表現出其他方面的缺陷,比如,感到沮喪和壓抑,主動性降低等等。之所以表現出這種狀況,是由於在實驗早期,狗狗學到了一種無助感。也就是說,狗狗認識到,無論做什麼,都不能終止或控制電擊。在每次實驗中,電擊終止權都掌握在人類,狗狗只知道自己回天無力,從而產生了無助感。當然,這種「習得性無助效應」在人類身上也存在;所以,在「安全管理」中,千萬不能讓用戶產生「習得性無助」,否則,他們就會陷入絕望和悲哀,更不可能維護安全了。
參考資料來源:新華網、《安全簡史》
安碼
動態
TAG:安碼零一學院 |