信息安全案例：信息安全中的公开信息安全

2015-01-28 10:27:50 大云网　点击量：评论 (0)

网上热炒一个帖子，一名清华理科生根据影星王珞丹的微博，推理出王珞丹的住址。主要过程包括，根据王珞丹微博提到的她当演员这么多年，还没在四环以里买房子，并且在其他微博中提到她在四环堵车的情况，可以知

网上热炒一个帖子，一名清华理科生根据影星王珞丹的微博，推理出王珞丹的住址。主要过程包括，根据王珞丹微博提到的她当演员这么多年，还没在四环以里买房子，并且在其他微博中提到她在四环堵车的情况，可以知道王珞丹住四环外，然后再根据她发的两张从家里拍小区的照片，大致知道小区中有一个大的四方形花坛。然后在google earth上找北京，找到有方形花坛的小区，然后再根据照片拍摄的位置和角度，就找到了王珞丹住住址。

2008年奥运会举办前，因为国家领导万无一失的要求，北京进行了大规模的信息系统安全性检查，我参与了很多系统的安全性测试，遇到了这么一个案例。

北京某区政府门户网站上，通过搜索网站，找到了一个邮箱使用说明,该网页说明了如何使用区政府公务员邮件系统。其中有以下描述：
---------------------------------------------------------------------
在地址栏输入http://www.xxxxxxx.gov.cn，按回车键登陆北京xx网站。如图1所示，选择公务员邮箱，输入邮箱名，邮箱密码默认为六个1，鼠标单击登陆。例如，选择公务员邮箱，在用户名处输入tjjbgs，密码输入111111，单击登陆即可进入统计局办公室的邮箱。
---------------------------------------------------------------------

从这一段描述中，可以获得以下信息，邮箱命名方式一般用中文拼音的第一个字母，密码默认六个1,那么对于攻击者，只要在网上找找，就能找到区重要领导名字、重要部门的名称，再据此进行攻击。不过在本次测试中不需要，因为帮助说明最后给出了区重要领导的邮件地址（编写者是为了方便人员发邮件，直接告诉别人，给哪个部门发邮件发哪个邮箱等）。对这些公布的邮件进行了简单的口令测试（大纲只测了五分钟后），有重要领导的邮箱密码尚未改变，有两位领导已经改变，不过改得有些简单，123456，与没改一样。登录进行，看到了给领导发的汇报材料，请示之类的。还好我只是测试人员，不是XX功人员，否则以此领导的邮箱群发个XX功的宣传邮件，我想在当时保奥运的严格要求形势下，应该反应会比较激烈，后果很严重。

从铁人王进喜照片泄密案到现在的影星隐私泄露表明，很多时候，信息安全问题是在不经意间产生的。公开的信息会出卖你的，不要太不以为意，信息安全如是，生活中如是。