按：本文作者Song，雷鋒網(wǎng)專欄特約作者，西雅圖Newsky Security公司聯(lián)合創(chuàng)始人兼CTO，業(yè)內(nèi)知名防病毒專家，黑客。

回顧希拉里郵箱門事件

一年多以前，就在美國群眾開始琢磨，奧巴馬下臺以后誰來接手的時候，一條新聞很配合的跳了出來。國務(wù)卿希拉里.克林頓，居然在自己家里開了個郵件服務(wù)器。

在這次郵箱門事件中，希拉里并沒有公開報道她的郵件服務(wù)器真的被黑，所有公開報道的，都是她違反了各種安全規(guī)定，是和她通信的記者的郵件被黑。

然后事關(guān)美國的重要郵件，居然都是從這個位于她家地下室（也有傳聞是車庫的，不過官方說法是地下室）的服務(wù)器流過的。一起流過的，還有希拉里的各種私人郵件。當(dāng)然，這是希拉里和她的律師定義的私人郵件。

這件事情傳開以后，美國稍微懂點技術(shù)的人民紛紛拿出表情包：

 

事情繼續(xù)發(fā)酵，過了幾天，新的數(shù)據(jù)出來了，希拉里跟她的律師覺得有三萬兩千封郵件是私人的，所以從這個服務(wù)器上面給刪了，刪了......希拉里的回復(fù)是，用私人郵箱？合理合法啊。

不過，等大家發(fā)現(xiàn)，這臺可以從互聯(lián)網(wǎng)上直接訪問的，沒事就在希拉里她家的地下室里面嗡嗡叫的郵件服務(wù)器上面，有兩千一百封是屬于“保密”級別，這里面有65封是“秘密”，22封是“絕密”。這時候美國人民的內(nèi)心是這樣的：

 

從網(wǎng)絡(luò)上面可以找到的公開資料看，這臺服務(wù)器是2008年希拉里競選總統(tǒng)的時候買的，后來奧巴馬當(dāng)選總統(tǒng)，希拉里任國務(wù)卿的時候，就雇了一個叫賈斯丁.比伯，對不起，賈斯丁.庫珀的人來管理這臺服務(wù)器。這人是比爾.克林頓的老朋友了，不過，這人從來沒有什么安全背景。所以，看到clintonemail.com, wjcoffice.com, 還有 presidentclinton.com 這三個域名都指向這臺服務(wù)器，也就沒什么奇怪的了。

除了服務(wù)器的問題，希拉里在這個事件中的另外一個嚴重錯誤，就是用了黑莓手機。（黑莓躺槍）

這是她在任國務(wù)卿之前，和她朋友聯(lián)系的手機。上任以后國家安全人員警告她這是個安全威脅，她不能帶著這個手機去私人辦公室。于是，希拉里就把這個手機上面的郵箱，給放到她自己的郵件服務(wù)器上面了。

當(dāng)然，這種私人的事情，是不會和國家安全人員說的。

這里需要提醒的是，希拉里的黑莓手機不是政府指定使用的手機，所以黑莓手機作為希拉里的私人手機被使用就此躺槍。

另外，不是隨便就能在店里買到美國國務(wù)卿用的手機設(shè)備，比如消費者設(shè)備上的加密密鑰長度，就遠不及政府。要知道美國總統(tǒng)、國務(wù)卿這些人都能指揮軍隊，他們使用的加密密鑰長度是軍用級別，破解難度也是指數(shù)級增長。

美國國家安全人員在2009年抱怨了一下國務(wù)卿的治下估計有安全問題。不過真正出事是在2013年3月，一個叫Sidney Blumenthal的郵件被黑了，大家才從黑客嘴里知道，好多關(guān)于美國外交的事情，居然是從希拉里的clintonemail.com郵箱發(fā)出來給這個記者的。當(dāng)然，這個記者也是克林頓家的老朋友，他自然也沒有通過安全調(diào)查。順藤摸瓜，安全審計人員發(fā)現(xiàn)了不少希拉里用這個郵件服務(wù)器發(fā)送工作相關(guān)郵件的證據(jù)。我估計當(dāng)時調(diào)查人員的表情是這樣的：

 

而被民主黨憋了8年，正準備東山再起的共和黨的表情是這樣的：

 

至于共和黨被川普搞了個措手不及，那又是后話了。

我們從中學(xué)到了什么？

好了，看過美國的笑話，我們中國人，特別是政府官員，應(yīng)該從中學(xué)到什么呢？

首先，大家不要以為安全是很難很高深的事情。希拉里這次出的郵件安全事件，主要是以下三條沒有認真做到。

1. 遵守所在單位的信息安全規(guī)范。

2. 相信專業(yè)安全人員，而不是為了方便而忽視安全。

3. 正確使用計算機通信工具，保證公私分開。

下面我們分別解說一下。

1. 遵守所在單位的信息安全規(guī)范。

在信息時代，無論是為美國政府工作，還是為中國政府工作，或者是為某家科技公司工作，所在單位都有對應(yīng)的信息安全規(guī)范。這些規(guī)范或許比較繁瑣，但是都是多年信息安全實戰(zhàn)經(jīng)驗的總結(jié)。遵守企業(yè)的規(guī)范，是一個人最基本的職業(yè)守則。

你問我創(chuàng)業(yè)了做了老板是不是就不用遵守職業(yè)守則了？拜托，這些守則就是老板花錢制定的好不好？我跟你說，我創(chuàng)業(yè)以后做惡夢都是網(wǎng)站被人入侵了。

2.相信專業(yè)安全人員，而不是為了方便而忽視安全。

不少人覺得信息安全人員故弄玄虛，經(jīng)常造成工作上面的不便。

比如讓大家每三個月?lián)Q一次密碼啦，比如在家上班必須登錄VPN啦，比如進公司必須刷門禁卡啦。但是，相信我，那個在IT部門整天盯著屏幕，一腦袋亂頭發(fā)，一身T恤好像從來沒換過的小子，雖然他看起來挺土的，但是他在保護公司信息安全方面，是站在前人的肩膀上的。前人踩的坑，犯的錯，他能告訴大家，避免重蹈覆轍。

3.正確使用計算機通信工具，保證公私分開。

要做到正確使用計算機通信工具，還是有不少細節(jié)的。我們按照希拉里犯的錯，一個個來說。

• 首先希拉里沒有使用符合公司/政府要求的終端，而是用了自己用慣了的黑莓手機，沒有按照美國政府的要求，使用符合安全保密規(guī)范的終端。

一般科技公司都會給員工配備筆記本。如果員工要用自己的終端設(shè)備，英文叫BYOD (Bring Your Own Device，自帶設(shè)備)，公司也會要求員工的設(shè)備符合公司的規(guī)范，比如需要定期掃描是否有病毒等惡意軟件，需要安裝公司的加密通信客戶端，通常是VPN。最后，如果設(shè)備丟失或者員工離職，要允許公司遠程的擦除設(shè)備信息。

按照規(guī)定使用符合安全保密規(guī)范的終端，高官們受到保護的不只是加密這點，掃描白宮或者五角大樓的郵件服務(wù)器不是那么容易的。掃不到還好，萬一掃到了，國家機器會來找麻煩的。私人郵件服務(wù)器基本上沒有保護，從互聯(lián)網(wǎng)上就能掃描，這個文章上面已經(jīng)提過。

• 第二，希拉里用了自己家的網(wǎng)絡(luò)，自己家的服務(wù)器。

記住，如果你是公司高管或者政府要員，永遠不要相信免費wifi，永遠不要相信免費wifi，永遠不要相信免費wifi！重要的事情說三遍。為啥？因為作為公司高管或者政府要員，你周圍的黑客基本上都是這樣的：

他們在干啥？釣！魚！國內(nèi)的黑產(chǎn)連一般人的銀行賬號QQ號都不放過，你覺得他們會放過你手機上的重要信息嗎？

如果需要在手機上處理重要郵件，記住一定要用加密信道，開啟VPN，最好是用單位網(wǎng)絡(luò)或者3G/4G網(wǎng)絡(luò)。

• 第三，希拉里公私郵件混用，沒事把重要文件發(fā)給記者。

這也就是希拉里，換成下面工作人員這么胡來，早送上法庭了。公私郵件混用不僅容易把自己搞昏頭，把本來應(yīng)該保密的郵件發(fā)給不應(yīng)該看到的人，還很容易被釣魚郵件騙，或者被惡意軟件截屏，盜取密碼等等。

說到底，養(yǎng)成好的信息安全習(xí)慣，就像養(yǎng)成好的衛(wèi)生習(xí)慣一樣，對于保護公司和政府信息健康，是有很大幫助的。

所以，你們知道為啥頂級安全人員往往是學(xué)醫(yī)出身了吧？

推薦閱讀：FBI如何費盡心力破解了蘋果，以及，iOS系統(tǒng)究竟有多安全？

編輯：小芹菜

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。