人力防火墙才是信息安全最后防线

随着为美国政府和500强企业提供信息安全技术服务的HBGary Federal公司CEO的黯然辞职，人们骤然醒悟，云时代保障企业信息资产安全的核心问题不是技术，而是人，不是部门职能，而是集体意识！企业门户大开的原因不是没有高价安全技术，而是缺乏一道“人力防火墙”。

2011年2月6日，美式橄榄球超级碗决赛之夜，HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候，发现密码被人修改了，这位以研究“rootkit”而著称的安全业内资深人士立刻意识到了事态的严重性：作为一家为美国政府和500强企业提供安全技术防护的企业，自身被黑客攻陷了！更为糟糕的是，HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。

对HBgary Federal公司实施攻击的黑客组织“匿名者”随后将战利品——6万多封电子邮件在互联网上公布，直接导致HBgary Federal公司CEO Aaron Barr引咎辞职，由于此次信息泄露涉及多家公司甚至政府部门的“社交网络渗透”、“商业间谍”、“数据窃取”、“打击WikiLeak”计划，HBGary公司的员工还纷纷接到恐吓电话，整个公司几乎一夜间被黑客攻击彻底击垮。

在整个事件中，黑客组织“匿名者”透露的攻击细节中，我们大致能了解到，攻陷这家知名安全公司防卫森严的网络堡垒，其实并不需要采用多么特殊的高深技术，“人”的漏洞最终导致HBGary声明扫地。

HGGary Federal的首席执行官Aaron Barr和他领导的管理层犯下了最原始最不可饶恕的信息安全“漏勺”：在所有的账户中使用相同的密码。黑客组织“匿名者”只是通过攻击其企业网站所获得的外围密码，就开启了Barr几乎所有的网络账户：Twitter、Linkedin…当然，最糟糕的是Gmail企业账户，里面有HBgary Federal公司的客户：索尼、强生、杜邦等500强企业的私密信息，当然，还有那些涉及政府部门和组织的“特殊商业计划”。

轰动全球信息安全界的HBgary Federal邮件泄露案，为所有的企业CIO、CSO（首席安全官）敲响警钟，“人”已经成为企业IT风险管理中最为脆弱的环节，上至企业老总、下到企业基层员工，安全意识的薄弱正在成为企业面临的最大IT风险，再强大的安全防护技术，也抵不上关键人员的一次低级错误。与此对应，专门挖掘人性弱点的社会工程学（Social Engineering）也正在成为网络犯罪的最大热点。

反观我国，各行业企业在建设信息安全管理体系时，提高企业全体人员的信息安全意识目前还面临重重困难，虽然提高员工信息安全意识是各种信息安全管理体系标准中共同的要求，无论ISO27001系列还是国内的等保标准，都会提到对人员的管理和培训，但在具体实施中信息安全意识又是一个最容易被忽视的环节，安全管理信息分散、文档版本凌乱、安全管理制度简单粗暴、新员工无从下手、离职员工信息泄露…企业迫切需要建设专业的、人性化的信息安全知识共享平台。目前国内已经有专业的IT风险管理服务商能够提供IT风险管理系统（ITRM）。

但我们应该看到，企业信息安全管理正在面临前所未有的挑战，搭建风险管理系统平台只是迈出了第一步，信息安全的成功，对终端用户的依赖越来越大。信息安全管理也需要比以往任何时候更加关注终端用户的安全意识和安全行为。只有通过包括知识共享、安全培训、安全策略等多方面的，持续的、系统的、专业的企业安全管理体系建设，才能够在企业内部搭建起一道牢不可破的“人力防火墙”。