"123456"能当涉密电脑的密码吗——一次渗透测试的教训

"123456"能当涉密电脑的密码吗——一次渗透测试的教训

老任是某省直机关的老同志，今年五十出头，在单位负责档案管理工作。他用的是一台涉密电脑，存储着大量需要保密的档案资料。

按照保密规定，涉密计算机必须设置开机口令。老任当然也设了，但他设的口令，熟悉他的人稍微想一想就能猜到——是他办公室的电话号码后六位。

"设太复杂记不住啊！"老任每次被提醒的时候都这么说。

单位的信息安全管理员小魏跟他提过好几次："任老师，您这个口令太简单了，而且跟您有关联信息，很容易被猜到。按规定，涉密计算机的口令要包含大小写字母、数字和特殊符号，长度不少于规定位数。"

"哎呀，我这把年纪了，记不住那么复杂的东西。再说了，我这电脑就在我办公室里，谁能进来？门锁着呢。"老任摆摆手，不以为意。

今年单位请了一家专业的安全服务机构做内部渗透测试——通俗讲就是请"白帽子"来模拟攻击，看看单位的网络和系统有没有安全漏洞。

测试团队首先从最外围的网络扫描开始，很快发现：单位的办公网和涉密网之间虽然有物理隔离，但在个别终端上存在一些管理上的细微漏洞。

利用这些漏洞，测试人员通过办公室的公用WiFi进入了办公网络，然后通过一个共享打印机上的接口，绕过了部分访问限制，进入了涉密内网的边界。

但这还远远不够——要真正接触到涉密数据，还需要获得涉密电脑的访问权限。

测试人员在尝试对涉密网内的终端进行弱口令扫描时，不到两分钟就破解了老任那台电脑的开机密码。用的方法是"字典攻击"——把常见的弱口令组合（单位电话、工号、门牌号、生日、简单的数字字母组合等）穷举了一遍。

"破解这台电脑的密码用了不到两分钟。"测试报告上这样写着。

一旦获得了老任电脑的控制权，测试人员发现这台电脑的权限比他们预想的还要大——老任的账号具有多个共享文件夹的读写权限，通过他的账号可以访问到服务器上存储的大量档案文件。

在接下来的四十八小时内，测试人员以老任的电脑为跳板，逐步获取了涉密内网中六台关键服务器的访问权限。他们能做的，包括导出所有能找到的电子档案、查看系统日志中的历史操作记录、修改部分文件权限设置。

测试结束后，当测试团队把这份报告提交给单位领导时，整个会议室安静了至少半分钟。

单位主管信息化的副局长打破了沉默："这不是一次测试，这是一次真实攻击的预演。幸运的是，攻击者是来帮我们的。"

常见问题解答

问：涉密计算机的口令应该怎么设？
答：按照保密规定，涉密计算机的口令应满足长度要求并包含大小写字母、数字和特殊字符，不能使用与个人信息相关的简单组合。口令应定期更换。

问：涉密计算机可以设自动登录吗？
答：不能。涉密计算机必须设置口令保护，严禁设置为自动登录。每次开机或从休眠状态恢复时，都必须输入正确的口令。

问：忘记涉密计算机口令怎么办？
答：应通过单位的信息安全管理员或系统管理员，按照规定的流程重置口令。不得自行尝试使用外部工具破解。

问：除了口令，涉密计算机还有哪些安全防护措施？
答：还包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等多层技术防护。口令只是第一道防线，不能因为有其他防护就在口令上放松要求。

"老任，你说你的电脑在锁着的办公室里，没人能进来。但这次测试告诉我们，攻击者不一定需要走进你的办公室。他们可以通过网络，在你完全不知道的情况下，进入你的电脑。"副局长在总结会上对老任说。

老任低着头，一句话也说不出来。

小魏后来帮老任重新设置了密码——一个足够复杂但又通过记忆技巧让老任能记住的密码。老任这次没有再抱怨"记不住"。

"原来我以为，保密就是管好文件、锁好柜子。现在才明白，电脑密码设得不够复杂，就是在保密的大门上留了一条缝。别人不用踹门，从缝里就钻进来了。"老任说。

是啊，在信息时代，口令就是你在数字世界里的锁。一把不够牢固的锁，保护的再重要的东西，也形同虚设。