V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
jamiesun
V2EX  ›  问与答

为什么这些事业单位,政府部门的网络如此不堪一击?

  •  
  •   jamiesun · 2014-01-25 00:08:48 +08:00 · 4968 次点击
    这是一个创建于 3961 天前的主题,其中的信息可能已经有所发展或是发生改变。
    具体单位不明说了(如果恰好你知道,建议也不要说出来,都懂的)。

    事件涉及到几乎整个省的用户及家庭信息泄漏的可能性,但若论危害性,这还只小儿科。

    记得是一个电视剧《国际刑警》里的片段,一黑客用一个超级电脑,把自己投影到电视上向人民喊话...,当然这个只是打个比方而已。

    从“白帽子”提供的资料来看,整个内部网络被“到此一游”,重要文件资料库暴漏,核心交换机被爆菊,完全可以这么说,黑客可以在几分钟之内接管整个网络。

    一些事业单位,政府部门的人浮于事是我们早已司空见惯的了。还记得“不管你信不信,反正我是信了”的名言吗,其实这类神奇的话还在从一些高管的嘴里蹦出来:“其实怎么防也是防不住的,安全做的再好,也是防君子不妨小人,防得了菜鸟防不了高手...”
    25 条回复    1970-01-01 08:00:00 +08:00
    FrankFang128
        1
    FrankFang128  
       2014-01-25 00:18:07 +08:00 via Android
    多做多错,少做少错,不做不错。
    这是某些地方的处事基本原则你不晓得么?
    你想揽这个担子?好,出事了你负责。

    所以楼主觉得有人主动揽这事不?
    thinkxen
        2
    thinkxen  
       2014-01-25 00:20:53 +08:00   ❤️ 1
    因为要进入体制内,都需要很牛逼的考试技巧:行政职业能力测验和申论等等,我觉得这恰恰是技术控们相对薄弱点方面。
    cxe2v
        3
    cxe2v  
       2014-01-25 01:05:31 +08:00
    现在漏洞出现了,你们随便敢动么?有些地方,不是说技术就决定一切的,骚年(或者说是中年)人
    jamiesun
        4
    jamiesun  
    OP
       2014-01-25 01:55:23 +08:00
    哥既不是骚年,也不是中年,也不在政府和事业单位工作。只是旁观者。政府的网络出了问题,肯定是找安全公司来解决了,这些公司也都有两把刷子,反正有纳税人掏钱买单,最后总会把眼前问题解决了。所以你们没说到点。

    我其实是要评论这句话:“其实怎么防也是防不住的,安全做的再好,也是防君子不妨小人,防得了菜鸟防不了高手...”,我觉得安全公司的人听了这句话估计都在笑了。

    如果还是这种态度,后面还会出事,如果下回不是“白帽子”,那么问题就大了。
    jybox
        5
    jybox  
       2014-01-25 04:09:10 +08:00
    他们又不是互联网公司,网站又不是他们的主营业务。
    sinxccc
        6
    sinxccc  
       2014-01-25 04:34:03 +08:00
    我觉得一方面是领导不重视,算算现在在各个单位里处在领导地位的基本至少也有 40 多吧,能用电脑处理公文,能用邮件沟通工作就已经是很了不起了事情了。这帮人对网络和安全完全没了解,也没动力去了解。你指望他们去主动关心网络和数据安全么?

    另一方面其实也是国内安全公司的服务还很初级,特别是经常跟政府打交道做政府市场的。
    loading
        7
    loading  
       2014-01-25 07:47:14 +08:00 via iPhone
    他们根本没那么多空余时间搞安全,没有专职的员工。这从来都不是工作重点
    emric
        8
    emric  
       2014-01-25 07:59:16 +08:00
    某地域的教育内网, 一路弱密码直到 shell 到手.
    你能想像的到这种事情有多不重视.
    god
        9
    god  
       2014-01-25 08:09:58 +08:00 via iPhone
    少见多怪,神州大陆水表不是盖的。
    armoni
        10
    armoni  
       2014-01-25 08:15:44 +08:00
    公安部门的还行
    tankb52
        11
    tankb52  
       2014-01-25 09:30:59 +08:00
    因为他们早在网络诞生之前,就已经有一套生活工作的方式;没有电脑,他们照样读书上大学;照样踏入社会参加工作;照样和别人沟通交流;照样通过各种渠道获取自己想要的信息。
    电脑与网络这种东西,是他们的生活定型之后才突然插入的新事物,他们完全可以不依赖电脑继续老样子走下去,这叫他们如何重视起来?
    就好像前几天在微博上看到的那样,年轻人在猜想老一辈没有电脑,大学生活该怎么过?
    我估计这群老一辈也在猜想:我电脑不设密码怎么了,你们靠着电脑就真能把我辛苦几十年的成果给清光了?
    mongodb
        12
    mongodb  
       2014-01-25 09:38:02 +08:00
    我其实是要评论这句话:“其实怎么防也是防不住的,安全做的再好,也是防君子不妨小人,防得了菜鸟防不了高手...”,我觉得安全公司的人听了这句话估计都在笑了。

    ___

    真高手还真不敢笑。
    别小看地下黑客圈。
    jasontse
        13
    jasontse  
       2014-01-25 09:40:51 +08:00 via iPad
    文明用语的领导加上文明用语的下属
    gotounix
        14
    gotounix  
       2014-01-25 09:49:30 +08:00
    一看楼主就是没做过政府项目啊!大多数政府单位的网络,包括路由、防火墙、服务器,均不是由本单位自己负责,而是由系统集成、软件开发商负责维护。出了问题,他们只是一个电话叫公司的人来。至于,不堪一击,那也是政府采购的通病。系统验收、回款后,维护力度就会降下来,甚至不维护,出了问题再说。正所谓,当够了孙子(验收前),也该休息休息了(验收后)……
    songxajh
        15
    songxajh  
       2014-01-25 12:18:05 +08:00
    咱们14楼
    另:互联网有什么网站可堪一击呢?
    原始的DDOS攻击,到了80G+,都得找关系,靠人情,装孙子才能解决。
    songxajh
        16
    songxajh  
       2014-01-25 12:18:26 +08:00
    是赞14楼……可恶的输入法
    est
        17
    est  
       2014-01-25 13:38:21 +08:00 via Android
    物理隔绝内网又不是什么新鲜事,更不用说难事。obscurity大多数老滚蛋的思维定势
    wheatcuican
        18
    wheatcuican  
       2014-01-25 14:23:54 +08:00
    @jamiesun 安全公司?领导们知道什么是安全公司?你太高估他们了。
    ayang23
        19
    ayang23  
       2014-01-25 14:48:42 +08:00
    能够拿到政府采购的公司,都是不需要提升技术参与市场竞争的,人家的想法和互联网公司的完全不一样。公关能力才是这些公司的优势。
    sheldom
        20
    sheldom  
       2014-01-25 15:06:14 +08:00
    领导们认为物理隔绝的内网一直很安全!!!所以一路弱口令+从来不ssl

    PS:大家可以google下几个代号:Cottonmouth I(棉口蛇一代),Nightstand(床头柜)(NSA 5年前的作品...)
    还有一种攻击技术叫Side channel attack,主要就是讲不通过破解密文如何攻击的。
    jamiesun
        21
    jamiesun  
    OP
       2014-01-25 17:28:32 +08:00 via iPad
    看来被误读的厉害,信息不透明不对称,没办法。只能娱乐娱乐下了。
    blackcloak
        22
    blackcloak  
       2014-01-25 17:36:42 +08:00
    个人信息泄露是很正常的吧
    话说我之前订回家的飞机票,明天的航班,今天中午收到诈骗短信说航班取消,要打里面提到的400电话改签,短信里我个人信息航班信息订票内容写的清清楚楚
    Ricepig
        23
    Ricepig  
       2014-01-25 17:58:05 +08:00
    lz标题很有“公知”或者钓鱼嫌疑啊

    信息泄漏又不光是政府,之前csdn,腾讯,某些旅馆,各行各业都有啊。
    raincious
        24
    raincious  
       2014-01-25 21:10:41 +08:00
    @jamiesun 我认识一个人,体制内的,** 据说 ** 职责之一是维护当地某个部门的一个DB2数据库,而且据说能访问其他地区的数据库,里面有当地各类商家的详细资料,包括联系方式甚至营业额和税务数据,可以说是十几年的DBA(具体做什么我不知道猜是DBA吧),你猜他工资多少?1800/月。

    @gotounix 说的其实是实情。一些系统上线之后,仅仅通过隔离网络进行安全保护,这种保护很明显是不靠谱的。而且一般管理员不会自己去做upgrade,因为upgrade之后谁知道破坏了什么依赖关系又得出乱子。政府的很多数据库都是很繁忙的,比如社保的数据库系统,每天都必须运作,一旦出现问题不能及时办理,政府的声誉就会受到影响,领导帽子的问题。

    所以,一般都是,建好无尘机房,雇佣几个管理人员,服务器放在那里,不许乱动。
    lawrencexu
        25
    lawrencexu  
       2014-01-26 09:12:56 +08:00
    因为安全体系的最薄弱环节是人,再牛的硬件再鲁棒的软件碰到二货也得跪。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5925 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:29 · PVG 10:29 · LAX 18:29 · JFK 21:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.