在整個事件中,維基揭秘的數據來源是分析國防部數據安全事故原因的關鍵。根據法律規定,國防部應設計壹套有效的數據保護規範和相應的審計系統。但是,這次泄露說明這個安全屏障還是有漏洞的。
壹個完整的數據安全體系應該能夠保護數據語義,保護數據屬性(包括數據的存在),抗推理。對數據的訪問應授權審查和審計,對存儲介質和傳輸通道中的數據進行加密和擴頻,對工作人員進行培訓,采用最先進的安全技術和安全設備。我相信國防部已經做了所有這些工作,但壹定做得不好。數據保護機制,每個環節都不能出錯,每個人都不能出錯,否則機密數據就會泄露。
首先,泄密可以分為主動泄密和被動泄密。主動泄密是指泄密者因脅迫、誘導或其他原因泄密,被動泄密是指泄密者無意泄密。
比如壹個特權用戶有意無意泄露了密碼,攻擊者在知道密鑰的情況下就可以以這個人的身份進入系統,取出很多特權用戶有權限訪問的數據,造成泄露。這個特權用戶密鑰泄露的原因可能很簡單,比如電腦被特洛伊馬入侵,喝醉了被約出去等等,都屬於密鑰管理的漏洞。除了密碼管理的漏洞,還有其他可能導致數據被動泄露的問題:終端或服務器的入侵、秘密通道的存在、未能有效物理隔離明文數據、身份認證和權限管理的漏洞、刪除明文數據時未清除痕跡、明文打印泄露等。數據保護就像建壹座大壩。如果壹個地方漏了,哪怕是很小的漏,數據都會像水壹樣流出來,大壩就決口了。
DOS的公開有兩種可能。壹個是有人不小心泄露了數據;第二,國防部內部肯定有“內奸”。否則,根據國防部的嚴密監視,壹個人不可能帶走他的未經授權的文件。就算他能拿,也不可能不被發現。
在整個事件中,人是行為主體,人是否有意識泄密是決定主動泄密和被動泄密的關鍵。2009年英國反恐高官泄密也是“人治”的問題,加強對人員的管理和培訓是數據保密的關鍵壹環。
計算機和服務終端是人們訪問和存儲數據的接口,保護終端的機密性和完整性是保證信息集封閉的重要環節。數據服務器和數據庫是數據存儲的關鍵領域,也是數據保護的重點。
網絡,網絡是信息傳遞的媒介,秘密信息的傳輸通道需要保護,同時需要防止攻擊者的信息推理(通過收集海量公開信息推理秘密信息)。網絡反應快、波及面廣的特點在此次事件中也很明顯。
簡而言之,數據保護的各個方面都不能出錯,就像木桶壹樣。如果每塊木板都很高,木桶就能裝更多的水。如果壹塊板很低,不管其他板多高,水只會停在最低的那塊板上。因此,數據保護的強度取決於最薄弱的環節。