从索尼数据泄漏事件看网络安全的“人祸”

2011年3-4月接连发生三起“百年不遇”的企业数据泄漏大案，其波及面之广，受害者之众都是历史罕见。3月份知名信息安全企业HBgary公司CEO的数千封Gmail邮件泄露，波及美国政府部门和包括美洲银行、高盛、强生等多家500强公司。4月初发生全球最大的电子邮件营销公司Epsilon遭黑，导致至少39家大型企业用户邮件地址外泄，紧接着索尼公司遭黑，引发史上最严重的消费者资料“泄露”事故。

由于黑客入侵，超过7000万玩家资料可能遭窃取，这些资料包括邮箱、密码、信用卡号等，索尼公司于4月20日关闭PSN和Qriocity服务。根据彭博社的报道，索尼发言人Shigenori Yoshida已经确认了PSN完全恢复最迟期限是5月31号。这意味着数千万忠实玩家在长达一个多月的时间内无法通过索尼PSN网络进行联机游戏并保存进度，这让日进斗金的索尼游戏业务陷入瘫痪。

此外，由于消费者资料泄露可能导致更为严重的网络钓鱼等大面积网络安全案件，美国、英国、澳大利亚和中国香港等国家和地区的政府已经开始对索尼PlayStation Network网络遭黑客攻击及用户数据失窃情况展开调查，一批游戏玩家已向美国法院提出上诉，控告索尼在保护PlayStation Network网络用户数据方面玩忽职守，违反了它与用户签订的服务合同，整个索尼品牌面临一次空前严重的灾难。

索尼日前指责黑客组织“匿名者”是PS3网络用户数据泄露的元凶，不过普渡大学的Gene Spafford博士在美国众议院商务委员会的听证会上揭开了导致这次史上最严重的消费者数据泄漏事件的重要原因：索尼的服务器运行着一个过期的Apache Web server软件，没有打上补丁，也没有安装防火墙。而索尼早在几个月前已经知悉此事，因为问题早已在论坛上报告给索尼工作人员。很明显，不是黑客匿名组织的技术高超，而是索尼负责信息安全的员工在此次事件中犯下了低级错误，结果门户大开，引狼入室。

索尼数据泄漏事件，再一次给企业敲响警钟，企业信息安全的最大隐患不是服务器漏洞，而是企业人员的信息安全意识出现“真空”。最近，由北京谷安天下科技有限公司发布的国内首份员工信息安全意识报告——《2010年中国企业员工信息安全意识调查报告》显示，国内企业在人员的信息安全意识建设上的现状不容乐观，在很多看起来不起眼的细节上，都隐藏着对企业致命的安全隐患。报告提醒更多的企业管理者，在提高着手员工信息安全意识时，不能指望凭借“三分钟热情”一蹴而就，也不能以偏概，“只见树木不见森林”。

纵观2011年以来发生的最为严重的几次企业信息安全事件，黑客都通过社交工程等手段“巧妙”利用了企业员工安全意识的淡薄和安全知识的短板，随着社交网络、移动互联网和云计算的高速发展，企业信息安全治理面临全新的考验：企业信息安全边界日趋模糊，人已经成为信息安全中最薄弱的环节。即使是索尼和HBGary这样的信息安全技术先进的知名IT企业，在员工信息安全意识的管理和培训出现的任何疏忽，也将遭受灾难性的打击。