按：本文作者Song，雷鋒網(wǎng)專(zhuān)欄特約作者，西雅圖Newsky Security公司聯(lián)合創(chuàng)始人兼CTO，業(yè)內(nèi)知名防病毒專(zhuān)家，黑客。

回顧希拉里郵箱門(mén)事件

一年多以前，就在美國(guó)群眾開(kāi)始琢磨，奧巴馬下臺(tái)以后誰(shuí)來(lái)接手的時(shí)候，一條新聞很配合的跳了出來(lái)。國(guó)務(wù)卿希拉里.克林頓，居然在自己家里開(kāi)了個(gè)郵件服務(wù)器。

在這次郵箱門(mén)事件中，希拉里并沒(méi)有公開(kāi)報(bào)道她的郵件服務(wù)器真的被黑，所有公開(kāi)報(bào)道的，都是她違反了各種安全規(guī)定，是和她通信的記者的郵件被黑。

然后事關(guān)美國(guó)的重要郵件，居然都是從這個(gè)位于她家地下室（也有傳聞是車(chē)庫(kù)的，不過(guò)官方說(shuō)法是地下室）的服務(wù)器流過(guò)的。一起流過(guò)的，還有希拉里的各種私人郵件。當(dāng)然，這是希拉里和她的律師定義的私人郵件。

這件事情傳開(kāi)以后，美國(guó)稍微懂點(diǎn)技術(shù)的人民紛紛拿出表情包：

 

事情繼續(xù)發(fā)酵，過(guò)了幾天，新的數(shù)據(jù)出來(lái)了，希拉里跟她的律師覺(jué)得有三萬(wàn)兩千封郵件是私人的，所以從這個(gè)服務(wù)器上面給刪了，刪了......希拉里的回復(fù)是，用私人郵箱？合理合法啊。

不過(guò)，等大家發(fā)現(xiàn)，這臺(tái)可以從互聯(lián)網(wǎng)上直接訪問(wèn)的，沒(méi)事就在希拉里她家的地下室里面嗡嗡叫的郵件服務(wù)器上面，有兩千一百封是屬于“保密”級(jí)別，這里面有65封是“秘密”，22封是“絕密”。這時(shí)候美國(guó)人民的內(nèi)心是這樣的：

 

從網(wǎng)絡(luò)上面可以找到的公開(kāi)資料看，這臺(tái)服務(wù)器是2008年希拉里競(jìng)選總統(tǒng)的時(shí)候買(mǎi)的，后來(lái)奧巴馬當(dāng)選總統(tǒng)，希拉里任國(guó)務(wù)卿的時(shí)候，就雇了一個(gè)叫賈斯丁.比伯，對(duì)不起，賈斯丁.庫(kù)珀的人來(lái)管理這臺(tái)服務(wù)器。這人是比爾.克林頓的老朋友了，不過(guò)，這人從來(lái)沒(méi)有什么安全背景。所以，看到clintonemail.com, wjcoffice.com, 還有 presidentclinton.com 這三個(gè)域名都指向這臺(tái)服務(wù)器，也就沒(méi)什么奇怪的了。

除了服務(wù)器的問(wèn)題，希拉里在這個(gè)事件中的另外一個(gè)嚴(yán)重錯(cuò)誤，就是用了黑莓手機(jī)。（黑莓躺槍?zhuān)?/strong>

這是她在任國(guó)務(wù)卿之前，和她朋友聯(lián)系的手機(jī)。上任以后國(guó)家安全人員警告她這是個(gè)安全威脅，她不能帶著這個(gè)手機(jī)去私人辦公室。于是，希拉里就把這個(gè)手機(jī)上面的郵箱，給放到她自己的郵件服務(wù)器上面了。

當(dāng)然，這種私人的事情，是不會(huì)和國(guó)家安全人員說(shuō)的。

這里需要提醒的是，希拉里的黑莓手機(jī)不是政府指定使用的手機(jī)，所以黑莓手機(jī)作為希拉里的私人手機(jī)被使用就此躺槍。

另外，不是隨便就能在店里買(mǎi)到美國(guó)國(guó)務(wù)卿用的手機(jī)設(shè)備，比如消費(fèi)者設(shè)備上的加密密鑰長(zhǎng)度，就遠(yuǎn)不及政府。要知道美國(guó)總統(tǒng)、國(guó)務(wù)卿這些人都能指揮軍隊(duì)，他們使用的加密密鑰長(zhǎng)度是軍用級(jí)別，破解難度也是指數(shù)級(jí)增長(zhǎng)。

美國(guó)國(guó)家安全人員在2009年抱怨了一下國(guó)務(wù)卿的治下估計(jì)有安全問(wèn)題。不過(guò)真正出事是在2013年3月，一個(gè)叫Sidney Blumenthal的郵件被黑了，大家才從黑客嘴里知道，好多關(guān)于美國(guó)外交的事情，居然是從希拉里的clintonemail.com郵箱發(fā)出來(lái)給這個(gè)記者的。當(dāng)然，這個(gè)記者也是克林頓家的老朋友，他自然也沒(méi)有通過(guò)安全調(diào)查。順藤摸瓜，安全審計(jì)人員發(fā)現(xiàn)了不少希拉里用這個(gè)郵件服務(wù)器發(fā)送工作相關(guān)郵件的證據(jù)。我估計(jì)當(dāng)時(shí)調(diào)查人員的表情是這樣的：

 

而被民主黨憋了8年，正準(zhǔn)備東山再起的共和黨的表情是這樣的：

 

至于共和黨被川普搞了個(gè)措手不及，那又是后話了。

我們從中學(xué)到了什么？

好了，看過(guò)美國(guó)的笑話，我們中國(guó)人，特別是政府官員，應(yīng)該從中學(xué)到什么呢？

首先，大家不要以為安全是很難很高深的事情。希拉里這次出的郵件安全事件，主要是以下三條沒(méi)有認(rèn)真做到。

1. 遵守所在單位的信息安全規(guī)范。

2. 相信專(zhuān)業(yè)安全人員，而不是為了方便而忽視安全。

3. 正確使用計(jì)算機(jī)通信工具，保證公私分開(kāi)。

下面我們分別解說(shuō)一下。

1. 遵守所在單位的信息安全規(guī)范。

在信息時(shí)代，無(wú)論是為美國(guó)政府工作，還是為中國(guó)政府工作，或者是為某家科技公司工作，所在單位都有對(duì)應(yīng)的信息安全規(guī)范。這些規(guī)范或許比較繁瑣，但是都是多年信息安全實(shí)戰(zhàn)經(jīng)驗(yàn)的總結(jié)。遵守企業(yè)的規(guī)范，是一個(gè)人最基本的職業(yè)守則。

你問(wèn)我創(chuàng)業(yè)了做了老板是不是就不用遵守職業(yè)守則了？拜托，這些守則就是老板花錢(qián)制定的好不好？我跟你說(shuō)，我創(chuàng)業(yè)以后做惡夢(mèng)都是網(wǎng)站被人入侵了。

2.相信專(zhuān)業(yè)安全人員，而不是為了方便而忽視安全。

不少人覺(jué)得信息安全人員故弄玄虛，經(jīng)常造成工作上面的不便。

比如讓大家每三個(gè)月?lián)Q一次密碼啦，比如在家上班必須登錄VPN啦，比如進(jìn)公司必須刷門(mén)禁卡啦。但是，相信我，那個(gè)在IT部門(mén)整天盯著屏幕，一腦袋亂頭發(fā)，一身T恤好像從來(lái)沒(méi)換過(guò)的小子，雖然他看起來(lái)挺土的，但是他在保護(hù)公司信息安全方面，是站在前人的肩膀上的。前人踩的坑，犯的錯(cuò)，他能告訴大家，避免重蹈覆轍。

3.正確使用計(jì)算機(jī)通信工具，保證公私分開(kāi)。

要做到正確使用計(jì)算機(jī)通信工具，還是有不少細(xì)節(jié)的。我們按照希拉里犯的錯(cuò)，一個(gè)個(gè)來(lái)說(shuō)。

• 首先希拉里沒(méi)有使用符合公司/政府要求的終端，而是用了自己用慣了的黑莓手機(jī)，沒(méi)有按照美國(guó)政府的要求，使用符合安全保密規(guī)范的終端。

一般科技公司都會(huì)給員工配備筆記本。如果員工要用自己的終端設(shè)備，英文叫BYOD (Bring Your Own Device，自帶設(shè)備)，公司也會(huì)要求員工的設(shè)備符合公司的規(guī)范，比如需要定期掃描是否有病毒等惡意軟件，需要安裝公司的加密通信客戶端，通常是VPN。最后，如果設(shè)備丟失或者員工離職，要允許公司遠(yuǎn)程的擦除設(shè)備信息。

按照規(guī)定使用符合安全保密規(guī)范的終端，高官們受到保護(hù)的不只是加密這點(diǎn)，掃描白宮或者五角大樓的郵件服務(wù)器不是那么容易的。掃不到還好，萬(wàn)一掃到了，國(guó)家機(jī)器會(huì)來(lái)找麻煩的。私人郵件服務(wù)器基本上沒(méi)有保護(hù)，從互聯(lián)網(wǎng)上就能掃描，這個(gè)文章上面已經(jīng)提過(guò)。

• 第二，希拉里用了自己家的網(wǎng)絡(luò)，自己家的服務(wù)器。

記住，如果你是公司高管或者政府要員，永遠(yuǎn)不要相信免費(fèi)wifi，永遠(yuǎn)不要相信免費(fèi)wifi，永遠(yuǎn)不要相信免費(fèi)wifi！重要的事情說(shuō)三遍。為啥？因?yàn)樽鳛楣靖吖芑蛘哒獑T，你周?chē)暮诳突旧隙际沁@樣的：

他們?cè)诟缮?？釣！魚(yú)！國(guó)內(nèi)的黑產(chǎn)連一般人的銀行賬號(hào)QQ號(hào)都不放過(guò)，你覺(jué)得他們會(huì)放過(guò)你手機(jī)上的重要信息嗎？

如果需要在手機(jī)上處理重要郵件，記住一定要用加密信道，開(kāi)啟VPN，最好是用單位網(wǎng)絡(luò)或者3G/4G網(wǎng)絡(luò)。

• 第三，希拉里公私郵件混用，沒(méi)事把重要文件發(fā)給記者。

這也就是希拉里，換成下面工作人員這么胡來(lái)，早送上法庭了。公私郵件混用不僅容易把自己搞昏頭，把本來(lái)應(yīng)該保密的郵件發(fā)給不應(yīng)該看到的人，還很容易被釣魚(yú)郵件騙，或者被惡意軟件截屏，盜取密碼等等。

說(shuō)到底，養(yǎng)成好的信息安全習(xí)慣，就像養(yǎng)成好的衛(wèi)生習(xí)慣一樣，對(duì)于保護(hù)公司和政府信息健康，是有很大幫助的。

所以，你們知道為啥頂級(jí)安全人員往往是學(xué)醫(yī)出身了吧？

推薦閱讀：FBI如何費(fèi)盡心力破解了蘋(píng)果，以及，iOS系統(tǒng)究竟有多安全？

編輯：小芹菜

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。