做安全工作这么多年，遇到或听闻不少让人瞠目结舌的“奇葩”事件。今天举几个例子和大家聊聊。希望给大家带来一些提醒和思考。

看似挺奇葩的事件，其实很多事儿可能就发生在你身边，但也许你还未意识到那是个问题。

 

技术熟练VS安全意识淡薄

早些年做项目，曾接触过一位网络管理员。这个小伙子技术很不错，路由交换协议、安全策略配置得都很熟练，一般性的问题处理起来也得心应手。但是他却有一个不好的习惯，就是很多网络设备都不配置Console（管理控制台）密码，做过网络项目的小伙伴都知道，网络设备的Console控制台是最基本的网络管理接口，所有初始化的配置都要从这里开始。如果不配置密码，被别有用心人得到机会，插上管理线缆就可以“大开杀戒”为所欲为。

和他聊起这个事，他的理由很轻描淡写:平时柜子是锁着的，没事。这个密码不常用，一旦忘记了，遇到紧急情况处理起来会比较麻烦。

这是典型的“图省事”类型的管理员。

和他去现场的时候，发现园区内部分机柜并没有锁紧，只是虚掩着，他也不以为意。

“好人假定”是很多“图省事”型管理员的惯性思维。就象《天下无贼》中的傻根，“哪有那么多贼咧”是一种默认思维定式。然而事实上，你永远不知道，一截车箱里有没有贼，或者什么时候会突然冒出个贼。

这类问题并非个案，即使在一些大企业里也时有发生。走在北京的街头，你偶而会看见一些街边的通信机柜可能是这样的：

不仅柜门大开，而且线缆混乱。设备的维护人员也许在配置命令行的能力上并不差，但对于外面的人来人往“过于放心”了吧。这样完全裸露让人头皮发麻的“壮观”景象，何谈安全呢？

事实上这样的机柜很可能连接着千家万户的宽带网，不用多复杂的攻击，只要把光纤轻轻一拔，就完全可以造成用户的断网。

家里的宽带突然断网？也许就和这样的安全管理有着直接的关系。

 

从内部“飘”出的企业数据

许多企业在安全技术设备上投入很多，防范互联网攻击看似做得无懈可击。对于内部的安全管控却非常松散。数据没有分级，账户权限管理混乱，对内部人员的操作行为，也缺乏必要的限制和审核。

在不少企业里都存在这种“自己人，一般没事儿”的内部安全管理漏洞。

企业对员工的信任和企业的安全管理规则并不矛盾，并非立规矩就是对员工不信任，也并非有信任，就可以放松了规则。在实际工作中由于缺乏必要的内部安全管控，造成信息安全损失的事件，并不少见。

在笔者以往的工作中，曾接触过一家企业，该企业的重要内部数据居然“飘”到了互联网上。后经追查，发现是内部某职员“不小心”泄露出去的。

这样的安全事件本不应该发生，也完全可以避免。虽事后可以对责任人问责，但给企业已经造成的损失却无法挽回了。

对于企业来说，严格外部安全管理和严格的内部安全管理，缺一不可。而内部安全管控是更容易忽视的地方。做好内部安全保护工作，是保护企业资产的需要，也是真正对员工的负责任的做法。

 

自做聪明的程序（管理）员

程序开发人员或运维管理员，常常能接触到企业的核心应用系统或数据。而为了个人维护方便，有时就可能做出一些出格的操作。这对企业来说，同样是巨大的安全隐患，安全风险不亚于黑客攻击。

这类问题其实在企业里也很常见，只是“没出过车祸的人”常常对“酒后驾驶”的危险性体会不深，造成长期的麻痹大意。最近发生的一个案例，可以说是“血”的教训，值得IT从业人员和企业引以为戒。

2018年12月，外包运维人员北京某科技公司的夏某某，利用私自记录的数据库账户密码，在未经授权许可的情况下，运维中使用私自编写的“数据库性能观测程序”和锁表语句，导致“郑州大学第一附属医院系统瘫痪2小时”，造成损失800万元。

2019年5月份，法院最终裁决，判处夏某某有期徒刑五年零六个月。

这个案例中，夏某某是运维人员，“私自记录客户的账户密码”和“执行违规的操作”，是为了维护方便。主观上并无恶意，但造成的严重后果仍然需要自己买单。这个教训对于一个程序员而言不可谓不惨痛，但判决结果却并不冤，这是漠视安全和规则应受到的惩罚。

 

当个程序猿也能坐牢？

恩，是的

希望您在以后的工作中不要露出这样的表情……

反观这一事件，被害企业也应该从中吸取足够的教训，涉事人员安全意识不强可能会犯错，企业也应扎好安全管理的篱笆，不给别人以犯错的机会。安全工作才能真正发挥其应有的作用。

不论网络安全、信息安全还是云安全领域，业内都有这样一个共识，即：“安全工作是三分技术，七分管理。”

难道安全技术不重要吗？当然不是！象上面这些例子，因为个人图方便图省事，有技术没有妥善去用；或企业的安全管理工作落实不到位，没有充分运用安全技术做好防范。那么即使企业购买了昂贵的安全产品，又如何能产生其应有的作用和价值呢？

这才是“三分技术，七分管理”背后的含义。

既有精湛的安全技术，又能通过严谨的管理将安全工作落到实处，上面这些看似奇葩的安全事件，才能够有效的避免。

 

喜欢我们的文章吗？还想了解互联网哪些技术，欢迎留言告诉我们

【AI课工场】互联网知识也能如此好玩~

更多热门互联网技术文章抢先知微信公众号【kgc-cn】