节约与勤勉是人类两个名医。
—— 卢梭
中国软件网每日精选集
近日,大疆无人机源代码泄露事件宣判了,事主被判处有期徒刑半年和20万人民币的罚金。据了解,大疆第一时间给予了回应,但该次事件依然给大疆造成经济损失116.4万元人民币。
无独有偶,前两天国内知名弹幕网站哔哩哔哩(B站)也有可能遭遇了同样的源代码泄漏危机。据某博主爆料称,B站整个网站的后台工程源码泄漏,在源码中还携带有大量的用户名、密码等身份信息。
巧合的是,这两次源代码泄漏事件是出于同一个原因——有人将源代码上传到了GitHub上。更巧的是,将源代码上传到GitHub上的都是公司自己的员工。
显而易见的是,b站和大疆作为各自细分领域的翘楚,对于网络安全体系的建设,自然是十分重视的,但这两次泄露事件却看起来十分容易,这在很程度上说明了,网络安全体系很容易从内部被攻破,来自企业内部的威胁,正在虎视眈眈。
现如今,随着云计算,大数据,物联网,人工智能,移动互联等技术的发展,网络威胁发生了深刻的变化,未知威胁蜂拥而至,甚至会出现有国家背景的网络攻击。当然威胁也不是完全来源于外部,来自内部的威胁同样需要得到足够的重视。老牌安全厂商迈克菲认为43%的数据泄露都是内部人干的ISF信息安全论坛则将内部人所致数据泄露的比例定在了54%。
我们必须重新审视我们的网络安全体系建设。过去讲网络安全建设,很多时候就是“老三样”,希望通过部署边界网关设备这种区分内外网的方式,把威胁独挡在企业外部。在这种方式下,我们通常会认为企业内网是安全的,外部是不安全的。但我们仅从这两件源码泄漏事件就发现了,内网同样是“不安全的”。
那么这两件事情也给了我们几个经验教训:第一,边界防御的模式已经不能满足政企机构对于网络安全的需要;第二,应该加强对内部员工的监管和网络安全教育。大疆的程序员但凡稍微有点网络安全意识,就不会将如此重要的源代码,上传到高泄露风险的Github上,而且默认对全球用户开放。
—END—
张小聪
工作邮箱:zc@soft6.com
3905
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
