安全业内公认，在2011年全球众多信息安全事件中，有四个最值得研究：暗鼠攻击、RSA SecurID数据泄露事故、HB Gary Federal公司邮件外泄事件、索尼PlayStation Network个人信息外泄事件。

索尼是世界500强公司， 但其安全策略太过业余，服务器放置于防火墙之外，可以说这是一种很愚蠢的方式。                    

       四大安全事件

       先来看暗鼠攻击，其又称为Shady RAT。该攻击在2011年下半年首先被迈克菲实验室发现。暗鼠攻击具备三个特点：其一、影响面广，14个国家有70余受害者遭受攻击；其二、背景难测，暗鼠攻击是政府支持的商业间谍活动；其三、隐蔽性强，暗鼠攻击从2006年已经被使用，直到2011年才被发现。

       第二个值得研究的安全事件是RSA SecurID数据泄露事故，RSA在身份认证、访问控制、数据防泄露，以及防欺诈等方面是业内的领导者。RSA也曾被认为是安全业内的神话，不可能被攻破，但正是这样的神话，在2011年被打破。3月份其种子令牌被盗，随着RSA种子被盗，引发了另外两个安全事件——5月27日，美国最大的军用飞机制造商洛克希德·马丁信息被盗；6月1日，美国通信公司L3也被成功攻破。由此可见，现在黑客攻击的特点是，一家公司的信息外泄，使得其产业链上下游的企业也被殃及。

       第三个安全事件也是一个神话的破灭，HB Gary Federal公司为美国政府提供安全顾问，据说在抓捕本·拉登的行动中，HB Gary Federal发挥了重要的作用。公司创始人 Greg Hoglung可称为美国安全领域的殿堂级人物，在研究“rootkit”方面久负盛名。

       在HB Gary Federal宣布打算披露关于离经叛道的Anonymous黑客组织的信息后不久，这家公司就遭到了Anonymous组织成员的攻击。 Anonymous成员窃取了60000封机密电子邮件、公司主管的社交媒体帐户和客户信息。随后 60000封电子邮件在互联网上公布，其中涉及美国国会、美国司法部、美国银行的大量异常敏感，甚至是见不得人的信息。

       第四个安全事件是影响面最大的。索尼 PlayStation Network在2011年先后两次丢失了1亿个用户信息，成为史上第四大安全事件。

       攻击是人+技术

       综合看以上四个黑客攻击事件的手法，无外乎从人员和技术漏洞入手，寻找可乘之机。其中人员因素占70%，技术手段只占30%。

       先来看一个人员安全意识方面的例子，如果收到一封“熟人”发来的，带有附件的电子邮件，你的第一反应是什么？先点击附件看内容。这是典型的先点击后思考的模式，RSA就是这样中招的。现在黑客们已经开始利用社会工程学构建一个看似合法的邮件，邮件附件的格式可以是 Word，也可以是Excel，黑客在附件中注入可执行代码，当附件被打开，你的电脑已经被控制，密码、管理员权限可以被轻易拿到。

       另一种人员方面的安全隐忧是笔记本及存储介质的丢失。2011年，瑞士一家银行员工的笔记本电脑被盗，随之丢失的是大量用户数据。受此牵连，3个月后，这家银行倒闭。

RSA以安全令牌闻名，但因为种子被盗，RSA 几乎被毁一世英名。

       除人员之外，技术漏洞也可能是永远避免不了。微软是一家伟大的公司，但微软每天都在发布系统补丁，用户没办法保证随时更新补丁，这也给了黑客可乘之机。

       攻击步骤类似

       但不管是从人员，还是从技术漏洞入手对企业和机构进行攻击，黑客们的攻击步骤都大体类似。第一步：踩点。现实中的小偷下手之前会在门牌上标注记号，网络中的小偷则是应用社会工程学，如监视目标人的微博，以获取更多的个人信息，如果目标人的系统中没有漏洞，就找目标人的同事看是否有漏洞。第二步、注入恶意代码。通过寻找目标人的系统漏洞，或模仿其同事身份对目标人进行攻击，可植入恶意代码。第三步、拿权限。通过植入恶意代码最终拿到各类权限，一旦权限到手，就可达到为所欲为的目的。以暗鼠攻击为例，攻击步骤也大致相同：一、创建可信任邮件；二、利用微软漏洞植入恶意代码；三、将恶意代码植入网站；四、远程控制。最终结果是可随意上传、下载文件、获取服务器中的数据库。

应对越来越狡猾的黑客，必须建立一套类似于机场安检体系的信息安全防护体系。

       如何防范

       了解了黑客攻击的手段和步骤，下一个讨论的问题一定是如何防范黑客攻击。具体而言，可分为五方面：

       其一、定制清晰、易于理解的安全策略。以索尼PlayStation Network为例，索尼是世界500强公司，但其安全策略太过业余，服务器放置于防火墙之外，可以说这是一种很愚蠢的方式。同样，HB Gary Federal虽然是一家安全公司，但公司的CEO和CTO，甚至不同的系统之间使用同一用户名和密码，黑客拿到一个账号，就可通行无阻。回到我们身边，如果你的QQ密码和网银密码一样，邮件密码还使用生日数字，建议您赶快改吧。

       其二、增强对用户的培训，使其拥有足够的免疫力。不要在社交网络上暴露更多的个人信息，看见附件后不要不假思索的点击，这都属于培训的范畴。

       其三、预防。很多貌似很高深的产品，由于用户使用水平有限，安全设备只处于警示、监控的状态，没有实现阻断的作用。Check Point华北区安全顾问吴航说：“建议用户采用多重模式对系统进行防护：第一层、针对服务器、客户端的漏洞，建议用户使用IPS进行防护；第二层、防止黑客对漏洞进行恶意代码植入，可使用防病毒刀片；第三层、即使恶意代码被植入，也可以使用防僵尸网络刀片，防止僵尸网络传播。在这三个层面，Check Point都有相对应的产品，公司一直致力于在技术层面防患黑客的高级威胁。”

       其四、多重防护。吴航说：“传统的防火墙不能满足现实环境的安全需求，越来越多的攻击超越网络层，而对应用层进行攻击。”可以用机场安检进行比喻，安检第一步是验证身份信息，而传统防火墙的作用则与此类似，而某些处心积虑的伪造身份证也可能通过校验。通过身份验证，则要进入行李安检，查看是否携带毒品、爆炸物等，这时候是IPS、防病毒网关、反僵尸网关发挥作用的时候了。如果这阶段还没有发现可疑，就进入第三阶段，恐怖分子携带爆炸物必有其目的，黑客进入网络也必有行动，这时候DLP产品将发挥作用，可防止核心数据泄露。

       其五、集中管理。2011年国内某地铁网站被攻陷，原因是防火墙策略配置有漏洞，在配置的过程中本应只开放80 端口，但管理员将所有端口都开放，黑客通过数据库端口进入网络，拿到管理员权限，将Web服务停止。该事件导致网站半天无法访问。因此看以看出，集中管理是一项硬性的需求。当网络越来越复杂、设备越来越多时，需要统一的管理和配置，需要统一的校验。