比起黑客,「内鬼」才是信息安全事件的主要来源

拥有 50 亿条用户隐私信息的黑产团队被抓，京东某网络安全部员工是嫌犯之一，这些信息泄露可能造成哪些影响？

shotgun，黑客安在

因为目前的事实还不明确，所以这个回答不涉及本次案件的定性，而是评价下内部作案这件事。

与新闻媒体大规模宣传、大家耳熟能详的外部黑客攻击相比，内部作案才是信息安全事件的主要来源，更是各种信息安全事件的重灾区。因此美军的 IATF（信息保障技术框架）中早就把内部威胁和第三方威胁（有各种合作关系的组织或者个人）当作是信息安全威胁的重要来源。

那么高信息安全要求的信息系统（比如政府、银行等），是如何对抗这些内部威胁的呢？

首先是组织架构上三权分立，以银行为例，在大型银行内部，研发、运维和信息安全分别属于不同的部门，甚至信息安全还可能分成多个部门。一个系统的发布和更新，要经过不同部门审核，这样就可以杜绝一个人私自操作。

其次是权限上严格控制，不同的角色只赋予所需要的最低权限，这可以减少威胁的作用范围，以电力系统为例，对生产调度和办公等信息系统进行了详细的安全等级划分，不同密级的系统位于不同的区域，数据在不同区域间传输时要符合信息安全的策略。

第三是对敏感操作严格审计，以备事后查询，例如运营商就大规模部署了业务审计和运维审计系统，对各种操作进行记录。配合严格的管理规定，审计可以有效地威慑内部人员。

第四是对敏感数据从底层进行加密，这不仅仅包括用户的密码，可能还有其他的敏感信息，比如支付信息、家庭住址等等，从最底层进行加密，确保即使泄漏，短时间内也不能被解密。某些涉密的政府机构甚至要求高密级的数据“不落地”，只允许用虚拟技术远程查看。

第五是密切关注威胁情报和社工库的泄漏情况，一旦发生问题，就启动相关预案降低损失。大规模的泄漏事件，往往持续很久，如果能及时反应，可以把损失控制在最小的范围之内。

最后在防护措施上，要学习谷歌，不再把边界当作信息安全的防御重点，而是承认边界其实并不存在，同时也无所不在，把内部当作外部同样来进行防范。

谷歌：未来六年，我们的任务就是让所有的员工从不安全的网络直接访问公司，而不使用虚拟专用网技术。