论文部分内容阅读
从社区论坛,到游戏网站,再到网络购物,我们已经耳闻了太多用户个人信息被服务提供商泄漏的事件。这类事件一直在持续,似乎已经没有了终结的时日。8月9日,曾开发了包括《星际争霸》、《魔兽争霸》以及《暗黑破坏神》等知名游戏产品的厂商美国暴雪娱乐公司(Blizzard Entertainment)发布声明称,“公司的安全团队发现内部网络遭到了非法入侵”。暴雪游戏连线对战平台“战网(Battle.net)”以及其上所运营的游戏均受到了入侵事件的影响。据悉,被泄漏的信息包括用户的邮箱地址、北美地区服务器上存储的被加密过的密码数据库、加密过的手机号码、个人安全提示问题和答案以及手机安全令牌等内容。
创业容易守业难
一直以来,数据安全都游走在一个很尴尬的位置上。谈到IT建设,CIO们大多会首先考虑计算、存储以及网络部署。计算速度更快、存储容量更大、网络带宽更高,这些需求蒙蔽了CIO们的双眼。之所以出现这种情况,是由于在IT建设过程中,无论计算、存储还是网络部署,都是按照业务需求来匹配的。换句话说,业务推动了以上三个部分的增长。与之相对比的是,安全部署看起来似乎同业务增长没有半点关系。
但是,真的是这样吗?如果说计算、存储和网络被冠以“创业先锋”名号的话,安全则是当之无愧的“守业专家”。“创业容易守业难”,这句话用在此处非常合适。在信息安全攻击的背后,往往涉及着不可告人的经济、商业或者政治利益,这种以人为主导的操作,往往会令业务遭受到重创,并会让企业声誉受损。
从2011年年底开始,国内网站将用户个人信息泄漏的事件频频见诸于报端。令人感到诧异的是,这些网站中有不少都是管理着用户姓名、地址、电话以及钱款等重要内容的电子商务网站。当当网、京东商城、1号店等知名电子商务服务商在这场数据安全大战中无一幸免。
在记者的采访中,一位不愿意透露姓名的安全技术人员表示,国内很多电子商务网站都存在着这样或那样的安全问题。在这些安全问题中,由于部分相关代码涉及到后台发布、数据库管理等核心应用,因此很难被修复,“除非真的出现了问题,服务商痛定思痛去解决,否则都是抱着得过且过的心态。”
不让数据泄漏成常态
那么,看似能够正常运行的信息系统,是如何遭遇到风险的呢?
RSA中国区技术顾问华丹认为,一般来说,我们所谈及的数据泄漏和信息安全风险主要来自内部威胁和外部攻击。随着近年来高级可持续性威胁(Advanced Persistent Threat,APT)的泛滥和恶意软件的快速发展,信息泄漏风险正在面临越来越大的压力和挑战。
在这其中,内部威胁情况比较复杂,服务商需要从包括人员管理、风险策略、安全管理平台等多个方面去考察安全状况。“日常内部各个环节都可能造成数据泄漏等风险隐患。”华丹表示,“包括暴雪等在内的服务提供商通常都需要搭建海量数据平台及系统基础架构,来为公众提供良好的服务。因此,这些服务商不仅需要了解哪些数据是关键数据或高风险等级数据,而且还要确保针对这些数据信息已经有相应的技术手段实现保障。同时,服务商还需要按时按需查看这些技术手段是否在正确的位置发挥了应有的作用,并评估数据出现风险后将会对具体业务和公司运营层面产生哪些影响。”
华丹所谈到的内容涉及了公司策略、制度、技术体系保障、技术实现等多个方面,统一起来的话,可以被称为是对公司IT治理的规划和落实。对于企业CIO而言,不仅需要对安全风险了然于胸,而且还要能够利用工具实现风险的可视性、实时分析、安全威胁智能和合规等内容。
有句俗话叫做“罗马不是一天建成的”,同样,企业安全问题的处置不能够一蹴而就。
CA Technologies亚太及日本地区安全副总裁Vic Mankotia认为:“在我们所生存的这个依靠网络相连接的世界中,对于确保数据安全应该采取更加积极的姿态。”Vic表示,数据安全建设需要有一个多层次的安全体系,通过保护交互的信息来实现网络和基础设施水平上的传统安全。
在线业务安全解决方案一般包括了四个部分:了解身份、管理访问、使用高级认证和数据丢失防护。
Vic认为,对于服务供应商来说,有三方面的安全要素需要特别提起注意:
首先,确保IT系统已经部署了基于内容感知的身份认证和访问管理,并确保实施了像双因子认证机制这样的高级认证服务(相关文章请参见计算机世界2012年8月6日第22版文章《双因子认证不可靠?》)。
其次,服务供应商需要了解其自身是信息的聚合器和仓库这样一个定位,如果没有积极主动地进行安全防护的话,很容易成为黑客和犯罪分子的目标。
最后,如今的网络和信息环境已经通过有线、无线和移动连接覆盖了全球各地。因此,服务供应商需要知道如何合理安全地共享信息,这也是安全保护的关键。
我国个人信息保护立法尚待时日
在这次信息泄漏事件中,暴雪的做法受到了外界广泛的质疑和批评。
根据暴雪披露的信息显示,其早在美国当地时间8月4日就发现了此次黑客入侵。然而,这一入侵事件真正被其公之于众却是在5天以后。暴雪声称,之所以延后披露相关信息是由于其在此期间对攻击事件进行了翔实的调查,包括此次入侵的性质及数据泄露的范围等。然而,这一做法却增加了用户密码的被盗风险。外界普遍认为,如果在攻击事件发生后24小时内对外通报事件并提醒用户修改密码的话,用户将能够更好地保护自己的密码不被盗取。
那么,对于互联网服务商所保存的用户信息,是否有相关法规限制其对这些信息内容的应用?一旦信息发生泄漏,是否存在相关的处理条款?
提到个人信息保护,就不得不提到目前在全球最早颁布的相关法规之一——1995年欧盟所公布的《数据保护指令》。其规定了个人信息的处理流程,并制定了一系列需要所有成员国实施的原则和规则。这一法规是欧盟人权和隐私法规的重要组成部分。
《数据保护指令》在内容上包括一般性规定、合法性的一般规则、司法救济、责任与制裁及成员国贯彻措施等部分。其关于个人信息保护方面的实质性规定主要包括适用范围、对个人数据收集加工的基本原则、数据主体的权利、数据控制者的义务及对数据控制者的监管、救济与法律责任等内容。 尽管《数据保护指令》已经对个人信息处理有所规定,然而其并没有在信息技术和数字通信方面有针对性的条款。2002 年,《隐私与数字通信指令》发布。作为《数据保护指令》的补充和延伸,其对数据交换、垃圾邮件等信息时代特有的内容明确规定了隐私条款。这一条款在2009年又进行了新的修正。《隐私与数字通信指令》重点规范了服务安全、法规遵从、垃圾邮件处理、Cookies等方面的内容。
RSA中国区技术顾问华丹介绍说:“在美国,互联网隐私是以州为单位立法,相互之间各不相同。有一些州的隐私法律禁止公司在未经用户同意下,传播用户信息;有一些州为了防止信息泄露,强制进行数据保护。这些隐私保护法律在美国各州很常见,并且几乎都在执行。”
资料显示,美国商务部于1998年发布了《有效保护隐私权的自律规范》,要求网站从业者必须制定保护网络上个人资料与隐私权的自律规范。同年,美国还出台了《儿童网上隐私权保护法》,禁止网站从业者诱导未成年人填写包括姓名、生日、住址、消费习惯、产品偏好,甚至父母年薪等在内的个人信息。
当然,这些规定并非尽善尽美。比如,很多相关法规和指令由于发布时间过久,因此并没有对信息技术的应用具有适应性。用户很难获知个人信息所存储的地方,也很难知悉个人信息何时、何地被何人收集、加工、传播和买卖。在此背景下,用户举证比较困难,法规和指令很容易流于形式而无法执行。尽管如此,这些法案还是为个人信息保护奠定了基础。
2012年年初,欧盟发布了《数据保护规则》草案,以应对日新月异的数字信息应用。未来,这一规则将取代《数据保护指令》。
在我国,随着近年来信息技术的应用与普及,出台相应法规的呼声也越来越高。2008年,《个人信息保护法》草案被提交至国务院。2011年,工业和信息化部发布了《信息安全技术个人信息保护指南》。
由于我国在个人信息保护立法方面起步较晚,对此的重视程度也不够,因此相比较而言,我国对于个人信息保护的法规条款并不完善。相应的,由信息存储及服务商自发主动披露信息泄漏事件的案例也并不多见。8月14日,有媒体报道称“江苏银行涉嫌泄露3.2万份个人信息”,这一信息随后被江苏银行方面否认。CA Technologies亚太及日本地区安全副总裁Vic Mankotia认为,信息泄漏事件会导致企业的声誉受损,“这可能会导致更多品牌价值和信任的损失,而这些都有着深远的影响。”
链接
深入了解SRP
在攻击事件发生后,暴雪表示,其使用了Secure Remote Password(SRP)协议来对用户的明文密码进行了加密。那么,SRP是什么,它真的能保证用户的数据安全吗?
简单地说,SRP是一种增强型的认证口令密钥协定协议(Password-authenticated key agreement)。在客户端与远程服务器通信过程中,SRP协议会生成一个私有密钥,并通过这个密钥对通信合法性进行验证。换句话说,在通信过程中拦截数据并不能获得明文的传输信息。除此之外,SRP还能对服务器上的数据进行加密存储。
SRP协议在应用上非常方便,其能够让客户端自行向服务器发起认证,而且也不需要一个认证机构或者证书颁发机构。此外,由于SRP会生成各不相同的私有密钥,因此,即使两名用户的明文密码一致,通过密钥加密后的数值也并不相同。这种做法有效降低了大批量数据被暴力破解的可能性。所谓暴力破解,就是将所需要的数值不断进行比对的方法。暴力破解的快慢依赖于运算速度。
尽管SRP协议有着诸多优点,不过在硬件和软件技术高速发展的今天,其可能已经有些“廉颇老矣”。暴雪公布信息泄漏事件并声称采用SRP协议后,就有黑客声称,这一协议其实并不像其所说的那样难于破解。
前文已经说过,SRP自身的加密方式可以抵抗大规模的暴力破解攻击事件。不过,以今天的运算速度来看,一个一个地破解密码也并不需要多久的时间。有国外分析文章提出,可以利用Amazon EC2云计算的高性能进行针对SRP协议的破解。这对于一些采用简单口令的用户来说并不是什么好事。
同时,有新闻称,尽管此前“密码破解软件如Hashcat和John the Ripper都不支持SRP协议,但在暴雪承认黑客入侵事件后不到24小时,John the Ripper的主要开发者Alexander Peslyak就表示,未来会让程序支持破解这一协议”。
创业容易守业难
一直以来,数据安全都游走在一个很尴尬的位置上。谈到IT建设,CIO们大多会首先考虑计算、存储以及网络部署。计算速度更快、存储容量更大、网络带宽更高,这些需求蒙蔽了CIO们的双眼。之所以出现这种情况,是由于在IT建设过程中,无论计算、存储还是网络部署,都是按照业务需求来匹配的。换句话说,业务推动了以上三个部分的增长。与之相对比的是,安全部署看起来似乎同业务增长没有半点关系。
但是,真的是这样吗?如果说计算、存储和网络被冠以“创业先锋”名号的话,安全则是当之无愧的“守业专家”。“创业容易守业难”,这句话用在此处非常合适。在信息安全攻击的背后,往往涉及着不可告人的经济、商业或者政治利益,这种以人为主导的操作,往往会令业务遭受到重创,并会让企业声誉受损。
从2011年年底开始,国内网站将用户个人信息泄漏的事件频频见诸于报端。令人感到诧异的是,这些网站中有不少都是管理着用户姓名、地址、电话以及钱款等重要内容的电子商务网站。当当网、京东商城、1号店等知名电子商务服务商在这场数据安全大战中无一幸免。
在记者的采访中,一位不愿意透露姓名的安全技术人员表示,国内很多电子商务网站都存在着这样或那样的安全问题。在这些安全问题中,由于部分相关代码涉及到后台发布、数据库管理等核心应用,因此很难被修复,“除非真的出现了问题,服务商痛定思痛去解决,否则都是抱着得过且过的心态。”
不让数据泄漏成常态
那么,看似能够正常运行的信息系统,是如何遭遇到风险的呢?
RSA中国区技术顾问华丹认为,一般来说,我们所谈及的数据泄漏和信息安全风险主要来自内部威胁和外部攻击。随着近年来高级可持续性威胁(Advanced Persistent Threat,APT)的泛滥和恶意软件的快速发展,信息泄漏风险正在面临越来越大的压力和挑战。
在这其中,内部威胁情况比较复杂,服务商需要从包括人员管理、风险策略、安全管理平台等多个方面去考察安全状况。“日常内部各个环节都可能造成数据泄漏等风险隐患。”华丹表示,“包括暴雪等在内的服务提供商通常都需要搭建海量数据平台及系统基础架构,来为公众提供良好的服务。因此,这些服务商不仅需要了解哪些数据是关键数据或高风险等级数据,而且还要确保针对这些数据信息已经有相应的技术手段实现保障。同时,服务商还需要按时按需查看这些技术手段是否在正确的位置发挥了应有的作用,并评估数据出现风险后将会对具体业务和公司运营层面产生哪些影响。”
华丹所谈到的内容涉及了公司策略、制度、技术体系保障、技术实现等多个方面,统一起来的话,可以被称为是对公司IT治理的规划和落实。对于企业CIO而言,不仅需要对安全风险了然于胸,而且还要能够利用工具实现风险的可视性、实时分析、安全威胁智能和合规等内容。
有句俗话叫做“罗马不是一天建成的”,同样,企业安全问题的处置不能够一蹴而就。
CA Technologies亚太及日本地区安全副总裁Vic Mankotia认为:“在我们所生存的这个依靠网络相连接的世界中,对于确保数据安全应该采取更加积极的姿态。”Vic表示,数据安全建设需要有一个多层次的安全体系,通过保护交互的信息来实现网络和基础设施水平上的传统安全。
在线业务安全解决方案一般包括了四个部分:了解身份、管理访问、使用高级认证和数据丢失防护。
Vic认为,对于服务供应商来说,有三方面的安全要素需要特别提起注意:
首先,确保IT系统已经部署了基于内容感知的身份认证和访问管理,并确保实施了像双因子认证机制这样的高级认证服务(相关文章请参见计算机世界2012年8月6日第22版文章《双因子认证不可靠?》)。
其次,服务供应商需要了解其自身是信息的聚合器和仓库这样一个定位,如果没有积极主动地进行安全防护的话,很容易成为黑客和犯罪分子的目标。
最后,如今的网络和信息环境已经通过有线、无线和移动连接覆盖了全球各地。因此,服务供应商需要知道如何合理安全地共享信息,这也是安全保护的关键。
我国个人信息保护立法尚待时日
在这次信息泄漏事件中,暴雪的做法受到了外界广泛的质疑和批评。
根据暴雪披露的信息显示,其早在美国当地时间8月4日就发现了此次黑客入侵。然而,这一入侵事件真正被其公之于众却是在5天以后。暴雪声称,之所以延后披露相关信息是由于其在此期间对攻击事件进行了翔实的调查,包括此次入侵的性质及数据泄露的范围等。然而,这一做法却增加了用户密码的被盗风险。外界普遍认为,如果在攻击事件发生后24小时内对外通报事件并提醒用户修改密码的话,用户将能够更好地保护自己的密码不被盗取。
那么,对于互联网服务商所保存的用户信息,是否有相关法规限制其对这些信息内容的应用?一旦信息发生泄漏,是否存在相关的处理条款?
提到个人信息保护,就不得不提到目前在全球最早颁布的相关法规之一——1995年欧盟所公布的《数据保护指令》。其规定了个人信息的处理流程,并制定了一系列需要所有成员国实施的原则和规则。这一法规是欧盟人权和隐私法规的重要组成部分。
《数据保护指令》在内容上包括一般性规定、合法性的一般规则、司法救济、责任与制裁及成员国贯彻措施等部分。其关于个人信息保护方面的实质性规定主要包括适用范围、对个人数据收集加工的基本原则、数据主体的权利、数据控制者的义务及对数据控制者的监管、救济与法律责任等内容。 尽管《数据保护指令》已经对个人信息处理有所规定,然而其并没有在信息技术和数字通信方面有针对性的条款。2002 年,《隐私与数字通信指令》发布。作为《数据保护指令》的补充和延伸,其对数据交换、垃圾邮件等信息时代特有的内容明确规定了隐私条款。这一条款在2009年又进行了新的修正。《隐私与数字通信指令》重点规范了服务安全、法规遵从、垃圾邮件处理、Cookies等方面的内容。
RSA中国区技术顾问华丹介绍说:“在美国,互联网隐私是以州为单位立法,相互之间各不相同。有一些州的隐私法律禁止公司在未经用户同意下,传播用户信息;有一些州为了防止信息泄露,强制进行数据保护。这些隐私保护法律在美国各州很常见,并且几乎都在执行。”
资料显示,美国商务部于1998年发布了《有效保护隐私权的自律规范》,要求网站从业者必须制定保护网络上个人资料与隐私权的自律规范。同年,美国还出台了《儿童网上隐私权保护法》,禁止网站从业者诱导未成年人填写包括姓名、生日、住址、消费习惯、产品偏好,甚至父母年薪等在内的个人信息。
当然,这些规定并非尽善尽美。比如,很多相关法规和指令由于发布时间过久,因此并没有对信息技术的应用具有适应性。用户很难获知个人信息所存储的地方,也很难知悉个人信息何时、何地被何人收集、加工、传播和买卖。在此背景下,用户举证比较困难,法规和指令很容易流于形式而无法执行。尽管如此,这些法案还是为个人信息保护奠定了基础。
2012年年初,欧盟发布了《数据保护规则》草案,以应对日新月异的数字信息应用。未来,这一规则将取代《数据保护指令》。
在我国,随着近年来信息技术的应用与普及,出台相应法规的呼声也越来越高。2008年,《个人信息保护法》草案被提交至国务院。2011年,工业和信息化部发布了《信息安全技术个人信息保护指南》。
由于我国在个人信息保护立法方面起步较晚,对此的重视程度也不够,因此相比较而言,我国对于个人信息保护的法规条款并不完善。相应的,由信息存储及服务商自发主动披露信息泄漏事件的案例也并不多见。8月14日,有媒体报道称“江苏银行涉嫌泄露3.2万份个人信息”,这一信息随后被江苏银行方面否认。CA Technologies亚太及日本地区安全副总裁Vic Mankotia认为,信息泄漏事件会导致企业的声誉受损,“这可能会导致更多品牌价值和信任的损失,而这些都有着深远的影响。”
链接
深入了解SRP
在攻击事件发生后,暴雪表示,其使用了Secure Remote Password(SRP)协议来对用户的明文密码进行了加密。那么,SRP是什么,它真的能保证用户的数据安全吗?
简单地说,SRP是一种增强型的认证口令密钥协定协议(Password-authenticated key agreement)。在客户端与远程服务器通信过程中,SRP协议会生成一个私有密钥,并通过这个密钥对通信合法性进行验证。换句话说,在通信过程中拦截数据并不能获得明文的传输信息。除此之外,SRP还能对服务器上的数据进行加密存储。
SRP协议在应用上非常方便,其能够让客户端自行向服务器发起认证,而且也不需要一个认证机构或者证书颁发机构。此外,由于SRP会生成各不相同的私有密钥,因此,即使两名用户的明文密码一致,通过密钥加密后的数值也并不相同。这种做法有效降低了大批量数据被暴力破解的可能性。所谓暴力破解,就是将所需要的数值不断进行比对的方法。暴力破解的快慢依赖于运算速度。
尽管SRP协议有着诸多优点,不过在硬件和软件技术高速发展的今天,其可能已经有些“廉颇老矣”。暴雪公布信息泄漏事件并声称采用SRP协议后,就有黑客声称,这一协议其实并不像其所说的那样难于破解。
前文已经说过,SRP自身的加密方式可以抵抗大规模的暴力破解攻击事件。不过,以今天的运算速度来看,一个一个地破解密码也并不需要多久的时间。有国外分析文章提出,可以利用Amazon EC2云计算的高性能进行针对SRP协议的破解。这对于一些采用简单口令的用户来说并不是什么好事。
同时,有新闻称,尽管此前“密码破解软件如Hashcat和John the Ripper都不支持SRP协议,但在暴雪承认黑客入侵事件后不到24小时,John the Ripper的主要开发者Alexander Peslyak就表示,未来会让程序支持破解这一协议”。