本文是一篇虛擬口吻的改編，希望你喜歡，全文?4515 字，閱讀時(shí)間預(yù)計(jì) 4?分鐘。除了一系列信息安全的知識(shí)，你還將看到：

• 【史無(wú)前例】來(lái)自 “維基解密成員” 的 “自白書(shū)”；
• 【偶然中的必然】為什么說(shuō) DNC 高層的郵箱一定會(huì)被攻破；
• 【這個(gè)世界總是蠢人比較多】我們又應(yīng)該如何保護(hù)自己的信息安全。

 

姓名不重要，我是維基解密成員，我們今天聊一聊信息安全。

2016 年 7 月 22 日，我們公開(kāi)了民主黨全國(guó)委員會(huì)（以下簡(jiǎn)稱(chēng) DNC ）內(nèi)部時(shí)間跨度長(zhǎng)達(dá) 16 個(gè)月的 19252 封郵件，里面的內(nèi)容足以讓世界上所有的電視頻道在當(dāng)天只能播報(bào)這一件事。

這些郵件清楚地顯示了，民主黨內(nèi)做了如下幾件事，保送希拉里勝選：

▲民主黨高層助攻希拉里打擊黨內(nèi)、黨外對(duì)手的一系列行為可能觸及了道德、法律的雙重底線(xiàn)。（WikiLeaks ）

同時(shí)，希拉里團(tuán)隊(duì)號(hào)稱(chēng)為民主黨募集的 6100 萬(wàn)美金中，只有 1% 留在了黨內(nèi)金庫(kù)，剩下的絕大部分都由希拉里團(tuán)隊(duì)派發(fā)和使用——主要用途是用來(lái)打擊桑德斯。

我們?cè)诿裰鼽h內(nèi)放了一顆原子彈。如果這些事情能夠在法律層面上坐實(shí)，有些大人物就要坐上聯(lián)邦法院的被告席。

第二天，一路高歌的希拉里女士遭遇“滑鐵盧”，民調(diào)指數(shù)被特朗普以 3% 的優(yōu)勢(shì)反超。

▲郵件泄露后后，民主黨高層地震，主席黛比 · 沃瑟曼 · 舒爾茲（Debbie Wasserman Schultz）, 首席執(zhí)行長(zhǎng)艾米 · 達(dá)西（Amy Dacey）和公共主管路易斯 · 米蘭達(dá)（Luis Miranda）相繼引咎辭職。（WikiLeaks ）

之后的 27 號(hào)，我們又公布了 29 段民主黨內(nèi)部的錄音文件。Google、Facebook，所有叫得出來(lái)叫不出來(lái)的名字，都將我們列為危險(xiǎn)網(wǎng)站。媒體們則說(shuō)我們可能受雇于普京——這實(shí)在是太好笑了。

然而，這一切，并不是一個(gè)意外事件。接下來(lái)的篇幅，我想從信息安全的角度說(shuō)明兩個(gè)問(wèn)題：

第一，為什么 DNC 高層郵箱地址百分之百會(huì)被攻破。
第二，DNC 應(yīng)該怎樣加強(qiáng)他們的信息安全防御體系。

為什么DNC 高層的郵箱 100% 會(huì)被攻破？

我們先說(shuō)幾個(gè)前提設(shè)定：

信息安全的戰(zhàn)場(chǎng)上，永遠(yuǎn)是兩撥人在對(duì)抗：進(jìn)攻方不停嘗試新的攻擊手段，防守方對(duì)應(yīng)采取新的防護(hù)措施。

▲信息系統(tǒng)中的安全攻防戰(zhàn)：一守一盜。

防守方想要保證信息資源只被經(jīng)授權(quán)的合法用戶(hù)使用。而進(jìn)攻方則要繞開(kāi)防守方設(shè)置的重重障礙，不經(jīng)授權(quán)就獲取信息資源。

雖然這聽(tīng)上去都是一些顯而易見(jiàn)的 “廢話(huà)”，但這正是為什么 DNC 高層的郵箱一定會(huì)被我們攻破。我用如下四點(diǎn)來(lái)說(shuō)清楚：

第一，信息安全的本質(zhì)是 “驗(yàn)證”。而驗(yàn)證需要在每一個(gè)環(huán)節(jié)中進(jìn)行。

驗(yàn)證一共需要在四個(gè)環(huán)節(jié)中進(jìn)行：驗(yàn)證信息使用者是否合法是否可信任；如果是可以被信任的的，那么還需要規(guī)定他的權(quán)限；規(guī)定好權(quán)限后，要驗(yàn)證他每一步的行動(dòng)；最后還需要驗(yàn)證他的行動(dòng)能夠調(diào)動(dòng)多少資源。

▲驗(yàn)證信息系統(tǒng)是否安全的四大環(huán)節(jié)。（WikiLeaks ）

這其中的每一個(gè)環(huán)節(jié)都會(huì)成為是黑客的攻擊點(diǎn)。而愚蠢的防御方一般都會(huì)忽略 “每一個(gè)環(huán)節(jié)” 這五個(gè)字。

比如一個(gè)最常見(jiàn)的錯(cuò)誤，就是防御方往往設(shè)定只要信息使用者是值得信任的，那其他元素就不用再去判斷。

其實(shí)最大的安全謬誤就是假定在系統(tǒng)內(nèi)部一切都是安全的。

就好像機(jī)場(chǎng)的安檢一樣，安檢之前的水是無(wú)法通過(guò)檢查的，但過(guò)了閘機(jī)后，每個(gè)人都可以隨意喝水買(mǎi)水，至于水是不是偷帶的、水有沒(méi)有問(wèn)題，都沒(méi)有人再檢查。因?yàn)闄C(jī)場(chǎng)安檢這套系統(tǒng)認(rèn)定——能通過(guò)安檢的人都是安全的。這顯然存在安全漏洞。

再比如，黑客也可以從使用者行動(dòng)中盜取信息。舉個(gè)例子，大家常見(jiàn)的無(wú)線(xiàn)鍵盤(pán)就是一個(gè)安全隱患。

▲敲擊鍵盤(pán)這一行為本身，也是黑客攻擊的火力點(diǎn)。

無(wú)線(xiàn)鍵盤(pán)會(huì)定期發(fā)送無(wú)線(xiàn)信號(hào)。用戶(hù)擊鍵時(shí)，黑客可以從 250 英尺的范圍內(nèi)監(jiān)聽(tīng)鍵入的內(nèi)容，從而可以盜取口令、銀行卡信息或其他敏感數(shù)據(jù)。

一些硬件大廠商都忽略了這些漏洞。2016 年 7 月，一家叫 Bastille 的無(wú)線(xiàn)安全廠商就爆出包括惠普、東芝在內(nèi)的至少 8 個(gè)品牌的無(wú)線(xiàn)鍵盤(pán)都存在安全漏洞，非?？赡芤驯槐O(jiān)聽(tīng)。

第二，信息安全的本質(zhì)—— “驗(yàn)證”，注定是不完善的。

信息系統(tǒng)非常復(fù)雜，內(nèi)部有很多分支，每個(gè)用戶(hù)行動(dòng)都不只用到一個(gè)分支的資源。如此復(fù)合的步驟中，總有系統(tǒng)漏洞可以供黑客去攻擊。

美國(guó)花費(fèi)數(shù)十年和數(shù)十億美元打造的愛(ài)國(guó)者導(dǎo)彈防御系統(tǒng)，理論上可以攔截絕大多數(shù)導(dǎo)彈。然而飛毛腿導(dǎo)彈卻輕易地突破了它的防線(xiàn)，它的造價(jià)僅為愛(ài)國(guó)者導(dǎo)彈的 1/100。

驗(yàn)證系統(tǒng)只能無(wú)限接近完善，但世界上沒(méi)有最完善的系統(tǒng)可以信任。

第三，攻防雙方在成本和效率上是不對(duì)稱(chēng)的，防守方處于絕對(duì)劣勢(shì)。

一個(gè)悲催的真理：信息防守方在效率和成本上處于絕對(duì)劣勢(shì)，就像病毒感染的成本永遠(yuǎn)低于疫苗研發(fā)成本。

▲在黑客與防御方的攻防戰(zhàn)役中，攻擊的成本遠(yuǎn)低于防守的支出。

破壞總是比建設(shè)容易，感染一定比免疫輕松。沒(méi)有戰(zhàn)無(wú)不勝的系統(tǒng)，只有防不勝防的黑客。

所謂木桶定律，即一只水桶能裝多少水取決于它最短的那塊木板。一個(gè)信息系統(tǒng)的安全程度也取決于它最薄弱的環(huán)節(jié)。

2014 年索尼公司的 PS 網(wǎng)絡(luò)系統(tǒng)被黑客攻擊，大量個(gè)人資料被竊，損失達(dá)到 1.7 億美元。而對(duì)黑客來(lái)說(shuō)，成本只是一臺(tái)電腦和一根網(wǎng)線(xiàn)。在網(wǎng)上，一些用來(lái)盜取別人賬戶(hù)的軟件只需要幾十美元就可獲得。

第四，在信息安全的戰(zhàn)場(chǎng)上，人是最大的不確定因素，而傻子總是比較多。

除了系統(tǒng)原因之外，人是最大的不確定因素。由人的疏忽、被欺詐所導(dǎo)致的信息安全事故約占到了總數(shù)的 85% 。

全球首屈一指的網(wǎng)絡(luò)安全解決方案供應(yīng)商 Check Point 曾就 700 多名 IT 專(zhuān)業(yè)人士進(jìn)行調(diào)查。結(jié)果顯示如下：

▲人的疏忽大意，而非技術(shù)漏洞，是安全事故頻發(fā)的主要原因。（WikiLeaks ）

87% 的受訪(fǎng)者認(rèn)為，最大的威脅來(lái)自公司內(nèi)部粗心員工；近三分之二的受訪(fǎng)者認(rèn)為，客戶(hù)數(shù)據(jù)頻繁泄漏極有可能是由于內(nèi)部員工的疏忽。

其實(shí)早在 2015 年秋，DNC 內(nèi)部的信息安全專(zhuān)家就其脆弱的內(nèi)部網(wǎng)絡(luò)警告過(guò)黨內(nèi)高層，而這些建議均被置之不理。這批專(zhuān)家們經(jīng)過(guò)兩個(gè)月的調(diào)查，在一份報(bào)告中建議：DNC 應(yīng)該雇傭?qū)I(yè)人士，升級(jí)系統(tǒng)，并設(shè)置可追蹤侵入者的防御機(jī)制。

FBI 同樣也多次對(duì) DNC 的網(wǎng)絡(luò)安全系統(tǒng)發(fā)出警告：“可能存在問(wèn)題”。2015 年，F(xiàn)BI 曾敦促一些 DNC 的人員檢查內(nèi)部系統(tǒng)是否有不尋?；顒?dòng)的跡象，但 DNC 什么都沒(méi)能發(fā)現(xiàn)。

直到 2016 年 4 月 DNC 高層才開(kāi)始重視這些警告，雇傭了私人安全公司 CrowdStrike 對(duì)系統(tǒng)進(jìn)行整頓。然而，我們?cè)趦?nèi)網(wǎng)中已經(jīng)潛伏了超過(guò)一年。

正如我們的一位同僚，羅馬尼亞黑客 Guccifer 2.0 形容的——希拉里的郵件服務(wù)器像 “一朵開(kāi)放的蘭花，對(duì)于任何人而言都很容易攻破。”?

你們可能要問(wèn)我：為什么選擇攻擊 DNC 高層？

當(dāng)然不必再說(shuō)我們的立場(chǎng)就是反對(duì) DNC。DNC 代表了硅谷大財(cái)團(tuán)的利益，而我們是海盜。我們會(huì)盡力破壞希拉里當(dāng)選的機(jī)會(huì)—— “選擇她就是選擇無(wú)休止的戰(zhàn)爭(zhēng)”。但我們今天不談?wù)巍?/p>

信息安全如同安保服務(wù)一樣，保鏢的價(jià)格取決于被保護(hù)的人/財(cái)產(chǎn)的價(jià)值。信息安全也一樣。

黑客們最喜歡攻擊的行業(yè)是價(jià)值密集的領(lǐng)域，比如金融、比如政府。當(dāng)然這些領(lǐng)域也最愿意為信息安全買(mǎi)單——只有大家伙最愿意為恐懼買(mǎi)單。

▲與早年的單純破壞性行為不同，如今的黑客攻擊更多帶有牟利色彩。

2016 年 6 月 IBM 聯(lián)合 Ponemon Institute 發(fā)布報(bào)告《2016 年數(shù)據(jù)泄露成本研究：全球分析》，對(duì) 383 家遭遇過(guò)數(shù)據(jù)泄露事件的企業(yè)進(jìn)行了調(diào)研。報(bào)告顯示：從行業(yè)的角度來(lái)看，公共部門(mén)和教育機(jī)構(gòu)的信息安全問(wèn)題信息非正常流失率最少，而金融和醫(yī)療機(jī)構(gòu)則是信息安全的重災(zāi)區(qū)。

價(jià)值越高，我們就更愿意去鋌而走險(xiǎn)。DNC 高層的郵箱，關(guān)系到整個(gè)國(guó)家的政治格局，尤其在大選關(guān)頭，于是成為我們一直以來(lái)的目標(biāo)。

DNC實(shí)在太蠢了，如果是我……

我們能輕易攻破 DNC 高層的郵箱，與其說(shuō)我們厲害，不如說(shuō)他們太蠢了。

DNC的 IT 系統(tǒng)安全防護(hù)手段極其落后。2016 年 5 月，我們?cè)?jīng)多次成功入侵 DNC 的網(wǎng)絡(luò)系統(tǒng)，曝出了 DNC 主要捐款人信息等一系列文件（包括捐款人姓名、職業(yè)、地理位置與金額）。然而他們的系統(tǒng)仍然沒(méi)有更新加密方式。

IT 系統(tǒng)與技術(shù)的演變導(dǎo)致了對(duì)安全需求的變化：邊界消失、滲透成為常態(tài)。

 

▲過(guò)去只要把守住 IT 系統(tǒng)的 “城門(mén)”，就能確保系統(tǒng)萬(wàn)無(wú)一失。

過(guò)去 IT 系統(tǒng)像是古老的城堡，系統(tǒng)和外界只能通過(guò)有限的 “城門(mén)” 交流。而現(xiàn)在系統(tǒng)向外聯(lián)通度越來(lái)越高，城堡的 “城墻” 消失，發(fā)展成向外不斷擴(kuò)張、內(nèi)部四通八達(dá)的現(xiàn)代化城市。人們無(wú)法在不影響信息系統(tǒng)正常工作的情況下，繼續(xù)用建高墻的方式處理信息安全問(wèn)題。

邊界的消失讓攻擊模式發(fā)生變化。之前對(duì)信息系統(tǒng)的破壞像軍隊(duì)攻城，直接從外部擊破，講究一擊斃命。當(dāng)邊界消失后，攻擊手段演化成了間諜慣用的 “滲透” 手段，長(zhǎng)期潛伏在信息系統(tǒng)內(nèi)部，伺機(jī)而動(dòng)。

如果我來(lái)負(fù)責(zé) DNC 的信息安全，如下四件事情是我會(huì)在第一時(shí)間做的：

第一，建議搭設(shè)零信任網(wǎng)絡(luò)模型，淡化安全假設(shè)。

DNC 的安全系統(tǒng)是非常傳統(tǒng)的。訪(fǎng)問(wèn) DNC 成員們的郵箱，系統(tǒng)會(huì)區(qū)分內(nèi)、外網(wǎng)絡(luò)，如果地址是從內(nèi)網(wǎng)訪(fǎng)問(wèn)，使用者將被賦予更高的信任級(jí)別，有更多權(quán)限讀取系統(tǒng)信息。

這種區(qū)分內(nèi)外網(wǎng)的做法默認(rèn)存在 “守門(mén)人”，而 “城內(nèi)一定安全” 。就像我們剛才提到的機(jī)場(chǎng)安檢的例子——機(jī)場(chǎng)安檢系統(tǒng)默認(rèn)安檢門(mén)內(nèi)的候機(jī)廳絕對(duì)安全。對(duì)于這種傳統(tǒng)的邊界安全模型，黑客們只要能混入系統(tǒng)內(nèi)部，就很容易訪(fǎng)問(wèn)到內(nèi)部應(yīng)用。

只有搭建一套 “零信任” 架構(gòu)，才能打破內(nèi)外網(wǎng)之別。

對(duì)于系統(tǒng)而言，不應(yīng)該存在絕對(duì)安全的區(qū)域或元素。實(shí)際上，現(xiàn)在越來(lái)越多的訪(fǎng)問(wèn)發(fā)生在移動(dòng)端和云端，邊界愈發(fā)模糊，所以不妨一視同仁。

無(wú)論希拉里以及其他 DNC 高層身在何方，在競(jìng)選辦公室、集會(huì)現(xiàn)場(chǎng)，還是在家，都必須用一樣的訪(fǎng)問(wèn)方式：所有到郵箱的連接都要進(jìn)行加密；所有聯(lián)網(wǎng)設(shè)備，包括筆記本電腦和手機(jī)，都要保留信任信息和設(shè)備號(hào)在服務(wù)器中。

“零信任” 的模式下，過(guò)去那些能夠滲透進(jìn)內(nèi)部的攻擊，不可能再進(jìn)入內(nèi)網(wǎng)如入無(wú)人之境。Google 在五年前就開(kāi)始應(yīng)用這一思路，改進(jìn)安全模型，他們稱(chēng)其為 BeyondCorp。

▲B(niǎo)eyondCorp 的安全架構(gòu)示意圖。（WikiLeaks ）

2014 年開(kāi)始，谷歌逐步將自己的全部應(yīng)用組件遷移至 BeyondCorp，并公布了文檔《BeyondCorp: 谷歌的設(shè)計(jì)到部署》，其他有計(jì)劃部署 “零信任” 架構(gòu)的公司可以根據(jù)文檔跟進(jìn)部署。目前可口可樂(lè)、威瑞森通信、馬自達(dá)汽車(chē)公司都在做類(lèi)似的改造。

經(jīng)過(guò)實(shí)證，“零信任” 系統(tǒng)在取消內(nèi)網(wǎng)的 “信任特權(quán)” 后，并不會(huì)影響用戶(hù)的使用便捷性。唯一的壞處是，信息安全團(tuán)隊(duì)的工作量可能會(huì)大大增加。

第二，引入機(jī)器學(xué)習(xí)和人工智能工具。

不要老想著只用機(jī)器學(xué)習(xí)和人工智能干點(diǎn)下象棋的事情，它們更是抵擋黑客攻擊的利器，能夠搭建更為智能的 “免疫系統(tǒng)”。

計(jì)算機(jī)最能做的事情是什么？是做重復(fù)的事情。簡(jiǎn)單來(lái)說(shuō)，機(jī)器學(xué)習(xí)能通過(guò)分析海量的數(shù)據(jù)，比人類(lèi)能更快、更精準(zhǔn)地監(jiān)測(cè)出系統(tǒng)風(fēng)險(xiǎn)。我在前面說(shuō)過(guò)了，不要忘了，在信息安全的戰(zhàn)場(chǎng)上，人是最大的不確定因素，而傻子總是比較多。計(jì)算機(jī)有時(shí)候比人類(lèi)靠譜。

▲機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用拓展了安全工具，并且 “機(jī)器學(xué)習(xí)本身就是黑客技術(shù)，數(shù)學(xué)和統(tǒng)計(jì)學(xué)知識(shí)的加和” ——德魯 · 康威（Drew Conway），美國(guó)數(shù)據(jù)科學(xué)家 。（WikiLeaks ）

Cylance 是值得一提的信息安全初創(chuàng)公司，它由全球最大的專(zhuān)業(yè)安全技術(shù)公司邁克菲（McAfee） 的前 CTO 創(chuàng)立。他們開(kāi)發(fā)了一套基于機(jī)器學(xué)習(xí)的檢測(cè)系統(tǒng)危險(xiǎn)的方法，宣稱(chēng)能檢測(cè)出 99% 的入侵惡意軟件，而傳統(tǒng)方法的識(shí)別率只有 40%。

如果說(shuō)機(jī)器學(xué)習(xí)可以更精準(zhǔn)地發(fā)現(xiàn)風(fēng)險(xiǎn)，人工智能工具則可以更智能地提出解決方案：代替人類(lèi)，對(duì)系統(tǒng)發(fā)現(xiàn)的漏洞進(jìn)行研究，發(fā)開(kāi)補(bǔ)丁程序，最后完成部署，實(shí)現(xiàn)系統(tǒng)安全自動(dòng)化。

在這方面走得比較前沿的是美國(guó)初創(chuàng)企業(yè) PatternEX ，他們推出了一個(gè) “虛擬安全分析師”的智能平臺(tái)，能夠?qū)崟r(shí)追查并理解系統(tǒng)運(yùn)行數(shù)據(jù)，最終模擬人類(lèi)分析師的直覺(jué)，形成威脅預(yù)測(cè)模型。另外，隸屬美國(guó)國(guó)防部的研究部門(mén) DARPA，也在著手打造 “自動(dòng)檢測(cè)—自主修復(fù)” 一體的人工智能系統(tǒng)。

第三，搭建安全感知預(yù)測(cè)系統(tǒng)。

面對(duì)安全威脅，報(bào)警系統(tǒng)和修復(fù)工具還遠(yuǎn)遠(yuǎn)不夠。因此除了升級(jí)防護(hù)工具，還需要搭建一個(gè)并行的安全風(fēng)險(xiǎn)提前感知系統(tǒng)。

簡(jiǎn)而言之，安全風(fēng)險(xiǎn)提前感知系統(tǒng)就像精準(zhǔn)的天氣預(yù)報(bào)系統(tǒng)。氣象專(zhuān)家通過(guò)讀取雷達(dá)、衛(wèi)星等收集的數(shù)據(jù)，了解當(dāng)前的大氣狀況，并在此基礎(chǔ)上給出天氣預(yù)測(cè)。

在安全感知系統(tǒng)中，防火墻、防病毒軟件和入侵檢測(cè)系統(tǒng)（IDS）等安全工具就是雷達(dá)，它們檢測(cè)到的數(shù)據(jù)能反映當(dāng)前系統(tǒng)狀態(tài)，也是感知系統(tǒng)做短期預(yù)測(cè)的基礎(chǔ)。

安全感知系統(tǒng)的工作原理和人腦理解外界信息的認(rèn)知過(guò)程是類(lèi)似的，包括 “獲取信息—理解—未來(lái)預(yù)測(cè)” 三部分，如下圖顯示：

一套安全感知系統(tǒng)的構(gòu)成：

• ?數(shù)據(jù)來(lái)源：防火墻、防病毒軟件和入侵檢測(cè)系統(tǒng)（IDS）等安全工具檢測(cè)到的數(shù)據(jù)；
• 現(xiàn)狀理解：形成分析報(bào)告，包括各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶(hù)行為等，提供輔助決策信息；
• 短期預(yù)測(cè)：將當(dāng)前態(tài)勢(shì)映射到未來(lái)，預(yù)測(cè)使用者行為，并對(duì)結(jié)果進(jìn)行評(píng)估。

安全感知系統(tǒng)和人腦一樣，復(fù)雜而耗費(fèi)資源眾多。在數(shù)據(jù)端需要強(qiáng)大的數(shù)據(jù)挖掘和處理能力。系統(tǒng)運(yùn)行產(chǎn)生的海量數(shù)據(jù)中，僅有 20% 是可以直接利用的。而能否將剩下 80% 數(shù)據(jù)結(jié)構(gòu)化并加以利用，決定了信息安全團(tuán)隊(duì)在面對(duì)安全威脅時(shí)的響應(yīng)速度。

提升系統(tǒng)的理解能力和推理能力，則需要依賴(lài)機(jī)器學(xué)習(xí)、人工智能等來(lái)模仿人腦的工作方式，理解當(dāng)前系統(tǒng)狀態(tài)，并推演出短期內(nèi)系統(tǒng)運(yùn)行情況變化。

大廠商已經(jīng)在嘗試了。2016 年 5 月，IBM 推出了 “認(rèn)知安全” 工具 （IBM Watson for Cyber? Security），能夠?qū)z測(cè)到某個(gè)異常數(shù)據(jù)做快速關(guān)聯(lián)分析——比如異常行為發(fā)生次數(shù)，涉及的文件、和資產(chǎn)等，同時(shí)生成自己的 “判斷觀點(diǎn)” 以及支撐細(xì)節(jié)信息。這款 “認(rèn)知安全” 工具在數(shù)據(jù)結(jié)構(gòu)化上有很大優(yōu)勢(shì)，每天能處理 20 萬(wàn)條安全事件數(shù)據(jù)。

▲IBM 推出了 “認(rèn)知安全” 工具 （IBM Watson for Cyber? Security）工作流程。（WikiLeaks ）

第四，覆蓋物聯(lián)網(wǎng)設(shè)備。

如前面所說(shuō)，黑客可以從使用者行動(dòng)中盜取信息，比如大家常見(jiàn)的無(wú)線(xiàn)鍵盤(pán)就是一個(gè)安全隱患。

除了常用的電腦手機(jī)，DNC 團(tuán)隊(duì)使用的各種聯(lián)網(wǎng)設(shè)備必須納入到搭建的安全系統(tǒng)中來(lái)。比如競(jìng)選總部的智能電視機(jī)，工作人員和志愿者的 iWatch 和各種手環(huán)，就連希拉里家里的可以上傳運(yùn)動(dòng)數(shù)據(jù)的跑步機(jī)等等，都可能是隱患點(diǎn)。

▲DNC 內(nèi)部使用的一切智能設(shè)備在網(wǎng)絡(luò)中暢聯(lián)無(wú)阻時(shí)，也讓黑客的突破變得簡(jiǎn)單。（WikiLeaks ）

最安全的地方就是最危險(xiǎn)的地方。百密一疏，容易釀成大禍。

黑客可以輕易地從智能設(shè)備入手，作為收集信息、捕獲安全信任憑證的跳板，發(fā)起后續(xù)攻擊。然而大多數(shù)人，不論是生產(chǎn)商還是使用者，完全沒(méi)有意識(shí)到這些聯(lián)網(wǎng)設(shè)備正是IT系統(tǒng)的薄弱環(huán)節(jié)。

云服務(wù)可以解決這些智能設(shè)備的問(wèn)題——將多種聯(lián)網(wǎng)設(shè)備都托管到云，并對(duì)設(shè)備和云端的所有數(shù)據(jù)傳輸進(jìn)行加密。

比如美國(guó)的一家提供物聯(lián)網(wǎng)云安全基礎(chǔ)設(shè)施的初創(chuàng)公司 Afero，智能設(shè)備可以通過(guò)他們提供的嵌入式藍(lán)牙模塊（ASR-1），實(shí)現(xiàn)所有設(shè)備間的安全連接。

▲Afero 的云平臺(tái)是整套系統(tǒng)的核心所在。（WikiLeaks ）

以上便是我作為一個(gè)良心黑客從信息安全角度對(duì) DNC 做的一點(diǎn)良心建議。

人們?cè)敢饣ㄔ絹?lái)越多的錢(qián)在信息安全這件事上——人們?yōu)榭謶仲I(mǎi)單。2015年，全球信息安全的開(kāi)支 750 億美元，美國(guó)政府花銷(xiāo) 86 億美元。摩根大通（JP Morgan）每年的信息安全開(kāi)支是 5 億美元，美國(guó)銀行（Bank of Ameirca）的信息安全預(yù)算則是 “沒(méi)有上限”。

希望大家都能覺(jué)得物有所值。

網(wǎng)絡(luò)安全概念股：立思辰、拓爾思、聯(lián)絡(luò)互動(dòng)、啟明星辰、同有科技、榕基軟件、北信源、任子行、啟明星辰、衛(wèi)士通、東方通、美亞柏科、綠盟科技、藍(lán)盾股份、南威軟件、同方股份。