1.2 企业安全风险综述

信息安全直接关系到企业的生存和竞争力，笔者会通过实例从多个角度阐述一般互联网企业所面临的安全风险。

1.2.1 业务与运维安全

业务与运维安全通常又被称为生产网安全（DevSecOps）。下面分别从业务开发和基础运维两个层面来具体看一下相关的安全事件。

●业务开发

互联网企业涉及的研发业务主要为Web服务、App移动应用以及PC（个人电脑）端软件等。由软件开发人员安全编程能力（SDL）差、安全意识薄弱以及配套的企业安全制度规范及流程建设不到位造成的安全开发问题比比皆是，例如大规模数据泄露事件，详情请见参考资料[6]。这其中不乏各种大型知名互联网企业。有很多安全事故产生的原因都是研发人员进行开发时编写了有漏洞的代码。已经流行了几十年的SQL注入漏洞依然是最主要的数据泄露元凶之一，常年占据OWASP十大漏洞榜单。2016年，雅虎公司发生了用户数据被盗事件，直接导致该公司股价跌幅超过6%，甚至影响到Verizon公司斥资48亿美元对雅虎核心互联网业务的收购。而与金融相关的产品漏洞对公司生存的影响是最为直观的，大量以比特币为首的区块链加密货币交易平台被黑客入侵后直接宣布破产。目前，知名的加密货币以太坊便出现过多个相关设计漏洞，例如The DAO事件。The DAO是一个去中心化的风险投资基金，以智能合约的形式运行在以太坊区块链上，为以太坊筹集资金。在The DAO创建初期，任何人都可以向它的众筹合约发送以太币，获得DAO代币。2016年6月18日，该智能合约中的withdrawRewardFor递归调用逻辑漏洞导致360万以太币被盗。无独有偶，2017年7月19日，以太坊钱包Parity同样因为一个名为wallet.so的多重签名智能合约而出现漏洞，使得15.3万以太币被盗。

●基础运维

业务开发（Dev）完成后，就进入运维（Ops）阶段了，该阶段的资产管理、漏洞与补丁管理、安全配置基线、应急响应等如果没有做好也容易造成各种安全风险。例如由于开发过程中引入了大量第三方组件，如果没有持续进行漏洞与补丁管理，那么时间一久就会积累大量的安全漏洞隐患。2017年9月，美国征信巨头Equifax确认1.43亿条用户信用记录被黑客入侵窃取，被窃取的信息包括用户名、社会保障号、出生日期、家庭住址，以及一些驾驶证号码。该事件的起因竟是2017年3月6日曝光的Apache Struts2漏洞CVE-2017-5638，Equifax在漏洞出现的两个月内都没有修复，导致5月份黑客利用这个漏洞进行攻击，其敏感数据被泄露。该事件使得Equifax的股价下跌了超过30%，市值缩水约53亿美元。

1.2.2 企业内部安全

企业内部安全通常又被称为办公网安全。据统计，70%以上的安全威胁来自企业内部，因此保障企业内部安全非常重要。企业内部安全有如下几种类型。

●隔离安全

隔离包括网络隔离和物理隔离。网络隔离主要包括网络边界隔离，例如VPN、防火墙、Wi-Fi、部门间的网络隔离等。物理隔离主要包括门禁系统、摄像监控等方面的隔离。例如某国内大型电商公司的VPN由于没有使用动态口令验证，使得黑客可以通过撞库攻击获得员工账号及密码，登录后入侵Zabbix管理端，直接控制上万台服务器。由于Wi-Fi没有使用证书认证或动态口令，因此导致安装有Wi-Fi万能钥匙手机App的员工泄露了公司的Wi-Fi账号信息，使得黑客可以通过Wi-Fi万能钥匙进入公司内网。还有很多创业公司由于门禁系统管理松散，使得很多第三方人员可以随便出入，也给公司带来了很大的信息安全隐患。2017年5月，著名的网络军火商Hacking Team的400GB数据被盗，包括一些核心产品的源代码、电子邮件、录音和客户详细信息，以及Hacking Team掌握的大量漏洞和攻击工具。根据事后解密发现，被入侵的原因竟是黑客利用了该公司一个网络出口路由器的漏洞，入侵路由器后进一步入侵了内网大量的服务器。

●终端安全

终端主要包括PC、打印机、电话及BYOD设备等。PC通常需要安装集中管理杀毒和补丁的管理软件。2014年12月，索尼影业由于被黑客攻击导致大量员工的PC被入侵而无法工作，内部邮件系统瘫痪一周，部分未上映影片和内部邮件泄露，给公司带来了巨大损失。其他类似的终端设备，例如打印机等，通常由于很少被关注和升级也存在大量安全隐患，非常著名的相关事件是，在伊拉克战争中，美军利用伊拉克的一台打印机的后门入侵伊拉克军事指挥和防控系统，使伊拉克输掉了一场战争。2017年2月，一个自stackoverflowin”的黑客侵入了超过15万台打印机，被入侵的这些打印机全部都打印出了这名黑客留下的警告信息“YOURPRINTER HAS BEEN PWND'D”。其实早在2017年1月份，3名来自德国波鸿鲁尔大学的安全研究者便发表了一篇文章，揭露了大量打印机存在的安全漏洞，详情请见参考资料[7]。2018年8月3日晚，台积电的新设备感染了WannaCry勒索病毒的变种，在接入厂房生产设施的网络后导致大量未打SMB漏洞补丁的Windows 7系统被感染，一度造成工厂停工，直接损失11.5亿元人民币。

●办公系统安全

办公系统主要包括Mail、OA、CRM、ERP、HR、BOSS等方面的系统，还有针对研发的代码管理和测试系统（如SVN、Git、Wiki、Jenkins系统等）。始于2013年的Carbanak犯罪团伙向不同银行的近千名职员发送了带后门的钓鱼邮件，进而入侵他们的电脑，植入Carbanak木马和Cobalt木马，控制银行的网络和服务器，获取高级权限，进而修改账户余额，将资金转移到虚假账户并提现，或者命令受感染的ATM机直接吐钱，然后用这些钱去购买加密货币，借以洗钱。至今，该犯罪团伙已入侵全球40多个国家和地区（俄罗斯、日本、瑞士、美国、荷兰、中国台湾等）的100多家银行、电商公司和金融机构的系统，造成大约10亿美元的损失。这期间，在中国轰动一时的是，2016年7月11日台湾第一银行在多地的41台ATM机自动吐钱的大事件。很多公司内部的办公平台都存在不同程度的安全隐患，比如邮件缺乏防病毒网关而导致电脑感染木马、系统登录缺乏双因素认证而导致利用社会工程学（社工）的暴力破解、存在OWASP十大漏洞而导致内部信息泄露、众多系统未及时打安全补丁而使黑客可以通过SSRF入侵等，而这些安全隐患直接关系到企业是否能正常运营。

●员工安全

涉及员工安全的问题比较多，比如弱口令、离开工位后电脑不锁屏、外部人员尾随进入、私自接入BYOD设备、安装盗版软件、复制公司产品代码和数据、使用私人邮件处理公司事务、将公司最新产品的未公开信息告诉亲朋好友等。这些问题造成的最大也最普遍的危害就是数据泄露，内部安全做得好不好和是否进行了有效的员工安全意识培训、是否具备完善的安全流程制度及技术管控手段息息相关。随着GitHub的流行，很多互联网公司的员工都喜欢把自己开发的相关代码上传到GitHub以便之后使用，问题是很多代码都包含内部邮箱账户、数据库账户甚至加密认证的密钥等敏感数据。例如，Uber公司宣布司机数据库在2014年5月遭到攻击，导致50000名司机的信息（包括司机姓名和驾驶证号码）泄露。经过调查，Uber发现本是机密的司机数据库的访问账号和密码竟然公然出现在GitHub公共区域中！黑客发现并利用这些密钥窃取了Uber内部的数据库。还有一些安全事故是由有主观意愿的内鬼导致的。例如，国内电商行业一半以上的数据泄露是内鬼所为，阿里巴巴、京东等都出现过员工出售用户数据的案例。2017年阿里巴巴发布的《电商生态安全白皮书》报告称，数据最大的泄露源是商家和物流方，泄露比例分别占36%和35%。数据泄露的原因中，49%是公司内部出现内鬼，16%是账号出现问题，14%是受到木马攻击。一部分账号类风险也与内鬼有关，例如有些电子商务（电商）和物流公司的员工会把自己的账号对外出租。

1.2.3 法律法规与隐私保护

随着网络的蓬勃发展，世界各国的政治经济的正常运行越来越依赖网络。为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，各国近年来纷纷制定了相关法律及规范，例如信息安全管理体系ISO27001、IT服务管理体系ISO20000、业务连续性管理体系ISO22301、美国NIST《网络安全框架》、我国等级保护测评（DJCP）、云安全国际认证（CSA STAR）、美国企业隐私标准认证、通用数据保护条例（GDPR）以及各国其他相关法律等。而美国也制定了相对完善的法规，如教育行业有《家庭教育权和隐私权法案》（FERPA）和《儿童在线隐私保护法》（COPPA），金融服务行业有PCI DSS和AICPA支持的相关法案，政府方面有FedRAMP支持的相关法案、NIST Cybersecurity Framework，医疗健康行业有HIPAA法案，媒体与娱乐行业有MPAA支持的相关法案，而像ISO27001、云安全ISO27017和云隐私ISO27018、PCI这样的标准也适用于电商等其他行业。其中对我国互联网企业影响比较大的是欧盟的GDPR、我国的《中华人民共和国网络安全法》以及与之配套的《信息安全技术 个人信息安全规范》。这些法律规定企业有义务加强自身信息安全防护，保障用户数据隐私安全。

●GDPR

GDPR（General Data Protection Regulation），即《通用数据保护条例》，于2018年5月25日在欧洲联盟（简称“欧盟”）实施，被称为史上最为严苛的个人数据保护条例。在处理个人数据时一旦被欧盟认定违规，最高处罚金额可达2000万欧元或企业全球年营业额的4%（两者中取其高值）。对一些中小企业来说，巨额罚款无异于灭顶之灾。而即使是亚马逊这样的科技巨头，营收的4%也已经基本超过了净利润。2018年4月，Facebook因Cambridge Analytica引发的数据泄露问题，使其CEO扎克伯格不得不出席为期2天的美国国会听证会，特别是第二天扎克伯格孤身一人接受了44位美国议员5小时的连番质问，并接受了欧洲议会质询。2018年6月13日，英国家喻户晓的跨国电信公司Dixons Carphone宣布正在调查“大量客户数据被非法访问”事件，官方对事件的具体描述为“黑客试图在Currys PC World和Dixons旅行商店的一个处理系统中破坏客户590万张信用卡和120万条包含非财务数据的记录，如姓名、家庭住址、电子邮件地址……”这可能是英国有史以来最大的数据泄露事件。如果根据GDPR规则处理整个事件，英国信息专员办公室（Information Commissioner’s Office，ICO）有可能对Dixons Carphone进行罚款，使其年收入降低4%。2017年，该集团报告的总销售额达105亿英镑。GDPR下的罚款可能高达数亿英镑。而根据英国1998年颁布的《数据保护法案》进行处罚的话，最高罚款仅为50万英镑。在欧盟统一使用GDPR后不久，隐私保护组织noyb.eu便分别代表4位欧盟公民向奥地利、比利时、法国、德国的当地监管机构提起申诉，控诉Google、Facebook、WhatsApp、Instagram这4家公司违反GDPR的规定，请求对其发起进一步调查，确定其用户权利是否被侵犯，请求禁止其相关数据处理行为，并处以惩戒性罚金。

●《中华人民共和国网络安全法》

《中华人民共和国网络安全法》于2017年6月1日实施。第六十四条规定“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”2017年8月12日，蚌埠市怀远县教师进修学校的网站因网络安全等级保护制度落实不到位，遭黑客攻击入侵。蚌埠市公安局网安支队在调查案件时发现，该网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务。根据《中华人民共和国网络安全法》第五十六条的规定，省公安厅网络安全保卫总队约谈了怀远县教师进修学校法定代表人、怀远县人民政府分管副县长。蚌埠市公安局网安支队依法对网络运营单位怀远县教师进修学校处以15000元罚款，对负有直接责任的副校长处以5000元罚款。2017年9月，广东省通信管理局查实，广州市动景计算机科技有限公司提供的UC浏览器智能云加速产品服务存在安全缺陷和漏洞风险，未能及时全面检测和修补，已被用于传播违法有害信息，造成不良影响，依据《中华人民共和国网络安全法》第二十二条的规定，责令该公司立即整改，采取补救措施，并要求其开展通信网络安全防护风险评估，建立新业务上线前安全评估机制和已上线业务定期核查机制，对已上线的网络产品服务进行全面检查，排除安全风险隐患，避免类似事件再次发生。

1.2.4 供应链安全

近几年，随着供应链安全事故频发，供应链安全也被逐渐重视起来，常见的供应链风险通常会发生在基础设施、生产软件和加密算法这3个方面。

●基础设施

2016年，来自密歇根大学的研究人员演示了在芯片制造过程中植入硬件木马的可行性。同年，美国卫报记者格伦·格林沃尔德在新书《无处藏身》中揭露了NSA（美国国家安全局）截获从美国出口到国外的路由器、服务器和其他计算机网络设备，安装后门监听工具并重新通过工厂包装打包后再发往海外，持续监控国外网络信息的丑闻。近几年，Intel CPU ME模块接连出现安全漏洞，例如近期出现的Meltdown漏洞和Spectre漏洞，影响范围之广令人惊叹。由此可见基础设施供应链安全所面临的威胁之大，以及选择可信伙伴的重要性。随着技术的发展，不少厂商也对硬件使用带有根秘钥等功能的可信芯片来保证软硬件的完整性，例如Google的Titan可信芯片。

●生产软件

从2015年开始，与生产软件相关的供应链安全也逐步进入大家的视野，这里列举一些影响比较大的案例：与研发相关的苹果编程开发软件XCodeGhost的二次打包事件导致12306、滴滴打车等众多iOS App被感染，与运维相关的SSH客户端软件XShell被黑客植入了后门导致全球大量服务器SSH账号被盗。此外，还有Python pip源污染事件，以及与普通用户相关的CCleaner后门事件。早期的相关事件有2009年CentOS官网遭黑客入侵事件以及2011年Linux内核官网被黑事件。

●加密算法

加密算法在很多方面都是保障安全的基础。2013年12月，路透社曾爆料称著名加密产品开发商RSA在收取NSA上千万美元后，在其软件Bsafe中嵌入了NSA开发的、被植入后门的伪随机数生成算法（Dual_EC_DRBG，双椭圆曲线确定性随机数生成器），NSA还使该漏洞算法通过NIST（美国国家标准与技术研究院）认证，使其成为安全加密标准，从而使得该算法成为大量软件产品默认使用的随机数生成器，从而使得利用某些万能钥匙破解加密成为可能。另一个更早的事件是2011年3月RSA被入侵从而导致SecureID双因素认证token的数据泄露，间接使得大量使用RSA双因素认证key的用户受影响。