从索尼数据泄漏事件看网络安全的“人祸”

　　索尼日前指责黑客组织“匿名者”是PS3网络用户数据泄露的元凶，不过普渡大学的Gene Spafford博士在美国众议院商务委员会的听证会上揭开了导致这次史上最严重的消费者数据泄漏事件的重要原因：索尼的服务器运行着一个过期的Apache Web server软件，没有打上补丁，也没有安装防火墙。而索尼早在几个月前已经知悉此事，因为问题早已在论坛上报告给索尼工作人员。很明显，不是黑客匿名组织的技术高超，而是索尼负责信息安全的员工在此次事件中犯下了低级错误，结果门户大开，引狼入室。

　　索尼数据泄漏事件，再一次给企业敲响警钟，企业信息安全的最大隐患不是服务器漏洞，而是企业人员的信息安全意识出现“真空”。最近，由北京谷安天下科技有限公司发布的国内首份员工信息安全意识报告——《2010年中国企业员工信息安全意识调查报告》显示，国内企业在人员的信息安全意识建设上的现状不容乐观，在很多看起来不起眼的细节上，都隐藏着对企业致命的安全隐患。报告提醒更多的企业管理者，在提高着手员工信息安全意识时，不能指望凭借“三分钟热情”一蹴而就，也不能以偏概，“只见树木不见森林”。

　　纵观2011年以来发生的最为严重的几次企业信息安全事件，黑客都通过社交工程等手段“巧妙”利用了企业员工安全意识的淡薄和安全知识的短板，随着社交网络、移动互联网和云计算的高速发展，企业信息安全治理面临全新的考验：企业信息安全边界日趋模糊，人已经成为信息安全中最薄弱的环节。即使是索尼和HBGary这样的信息安全技术先进的知名IT企业，在员工信息安全意识的管理和培训出现的任何疏忽，也将遭受灾难性的打击。