到底是什么让1.2亿元投资的信息安全体系也不堪一击？是人与技术的搏斗，还是人与机制之战？

        ■ 案例回放

        2月27日,中央电视台报道了全国最大的网上盗窃通讯资费案，31岁的程稚瀚是UT斯达康（中国）有限公司深圳分公司资深软件研发工程师，主要工作是帮助公司解决网络安全问题。此前任华为技术有限公司工程师，负责西藏移动等公司的设备安装。他做的事情是，从2005年2月，从西藏移动公司系统进入北京移动公司的充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。

        在随后的4个多月中他在充值数据库中如此操作，并复制出了14000个充值密码。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，获利380万元。

        2005年7月，程稚瀚在窃取最后一批密码时，忘记了修改有效日期，他的这个“疏忽”让买卡的客户向北京移动投诉。7月16日，北京移动接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。

        事实上，在上述案例的作案过程中, 程稚瀚使用的大多都是些没有技术含量的攻击手段，但是,偏偏没有技术含量的攻击事件，使得亿元网络安全投入不堪一击。

        这类信息安全事件也曾在信息化领先的电信、银行、证券、保险业屡有发生，如近日又惊悉两位大学生利用网通ADSL用户升级系统的漏洞，在一个月内盗取了价值70余万元的网易“一卡通”虚拟游戏点卡。这些信息安全事件，不能不令人们深思。

        人技大战，还是人“机”大战？

        到底是什么让1.2亿元投资的信息安全体系也不堪一击？是人与技术的搏斗，还是人与机制之战？

        针对此次事件，一些人在技术上寻找原因。依照“技术路线的惯性思维方式”，他们认为，一定有更先进的技术可以杜绝此类信息安全问题。

        多年来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近年来网络环境下的防火墙、入侵检测、身份认证等。厂商在安全技术和产品的研发上大力投入，新的技术和产品层出不穷，以为技术可以推动产业进步；厂商在某种程度上主导着信息安全建设的发展方向，客户也更加相信安全产品，把仅有的预算也都投入到安全产品的采购上。

        但是，现实严峻地告诉我们，仅仅依靠技术和产品保障信息安全的愿望，往往难尽人意，许多复杂、多变的安全威胁和隐患，仅靠产品是无法消除的。

        “三分技术，七分管理”，这个在其他领域总结出来的实践经验和原则，在信息安全领域也同样适用。

        据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。

        简单归类，属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此，管理已成为信息安全保障能力的重要基础。

        该案例中的安全问题，不仅仅是技术问题，更重要的是内部控制体系上的问题。

        四个IT管控缺陷

        从这次事件中被媒体公开的信息，足以看到，北京移动公司的信息系统管理机制存在如下四个缺陷。

        缺陷之一：西藏移动公司对设备/服务提供商的管控缺陷

        西藏移动公司对华为的管控体系存在重大缺陷，这表现为没有冻结或清理厂商遗留的管理员账户。如果实际需要授予厂商较高权限，应加强相应的补偿控制，如启用系统/数据库日志，对于关键的操作日志定期审核、签订保密协议等。

        西藏移动在华为完成设备集成后，没有强制立即修改提供商原先设置的初始密码（共享密码的情况或密码为空的情况，导致厂商拥有访问和维护生产数据权限的情况，在我国企业中，这可以说是普遍存在的）。

        目前在我国企业中，内审部门普遍不具备完善的信息系统审计职能，本来很简单的一项必修功课----定期复核，却是导致该事件发生的直接原因。据悉，中国移动作为在美上市公司，在今年必须符合更为严厉的萨班斯法案的要求，该法案明确要求IT总控体系必须延伸到外包服务商。

        缺陷之二：北京移动公司的密码管理缺乏有效控制

        生产环境系统密码是逻辑安全的重要控制点，一般要求定期更改密码或制度健全。如果制度健全却没有得到有效执行，具有超级权限的密码更应该进行严格管理，并对其拥有所有权限的必要性进行复核。

        北京移动关键系统的超级用户密码如果做到了定期更换，这项补偿性控制能够大大降低入侵风险, 程稚瀚可能不会在长达4个多月的时间里如入无人之境。

        缺陷之三：北京移动对已过期账号的风险管控缺陷

        已经过期的密码应及时从密码列表中删除，而不是简单的通过状态不同来区分。定期清理无效密码可以降低上述风险，同时也能提高系统的运行效率。从目前得到的信息看，笔者不能推测出移动公司到底有没有相应的控制存在，如果有，那么就是清理无效密码程序运行的频率太低或执行不到位。尽管中国移动是国内最早进行大规模信息安全风险评估的单位，但仍然任重道远。

        缺陷之四：没有异常数据变更的检查报告机制

        事前预防控制没有，事后的检查控制也没有。按说，修改密码状态和过期日期这种业务性质的操作应是很少执行的，这类特定数据的异常更改应该有报告机制，管理层会通过审查此报告来发现未授权的数据更改。

        而此案中长达4个多月异常的数据变更居然没有引起应有的注意，究其原因，或者是控制缺失，或者是职责缺失，或者是执行不到位。

        另外，根据职责分离原则，就算是真正的系统管理员，也不应具有“修改密码状态和过期日期”这种业务性质的操作。但是，有14000条记录被异常更新并且长时间不被发现，同样也是前面提到的检查或审计职能和机制的缺失。