孟加拉国总理车队有一次出了个小状况,但这个小状况带来的安全问题一点也不小。车队在一个加油站加油之后,加油站的加油记录系统里产生了相应的记录。正常情况下这些记录只有内部管理用,但这次有人——不知道是谁——连续多次去查询总理车队的加油记录。平时总理车队加油的频率、每次加多少油、在哪个加油站加的,这些数据被大量异常查询之后,等于把总理车队的出行规律摆在了别人面前。别人不需要搞跟踪,不需要装GPS,查查加油记录就把车队摸透了。
听起来是不是有点像大数据分析的商业案例?对,原理差不多。加油记录本身不是什么敏感信息,但当你把一段时间内的加油记录放在一起分析,就能看出很多东西。如果某天加满了油之后就连续几天没再加油,说明总理可能去外地了。如果某次加油的量明显少于平时,说明可能只是短途移动,或者车队当天有别的安排。如果加油时间集中在某个时段,说明总理有固定的行动模式。这些数据单独看都没问题,放到一起就成了一份完整的"总理出行行为分析报告"。
更可怕的是什么?即使没有远程查询权限,普通人也可能通过"实地观察"来获取这些信息。比如说在加油站附近蹲点,记录下总理车队每次来加油的时间。然后把这些记录和加油站内部系统里的数据做交叉比对,就能验证自己的推论是否正确。甚至如果有内部人员配合,根本不需要在外面蹲点,直接导出系统的查询日志就能知道总理车队什么时候来加的油。加油数据就像一面镜子,把车队的活动规律照得清清楚楚。
那这件事该怎么防?归根结底就是一句话:要对领导人的消费痕迹进行全方位的"脱敏"处理。总理车队的加油不应该走正常流程,不应该在加油站的公开系统中留下可被关联的记录。具体怎么做呢?第一,政府车队应该使用独立的内设加油站或者移动加油车,而不是到公开的商用加油站去加油。这是最彻底的解决方案,直接把加油行为从公开系统中隔离出去。
第二,如果必须在外面加油,也要采用"批量加油"的模式——派出多辆非敏感车辆同时在不同加油站加油,这样即使攻击方能拿到加油数据,也分不清哪些是总理车队的记录。加油数据被混淆了,分析也就失去了价值。第三,要对政府车队的加油卡使用情况进行实时监控。一旦发现某个加油站的记录被异常的大量查询,应该立即触发安全告警,通知安保团队评估风险,判断是不是有人在收集情报。
第四,定期更换车队使用的车辆牌照和加油卡,让攻击方无法建立连续的数据关联。你刚摸清规律,我换了个车牌号,你的分析工作等于从头再来。这就好比打游击战,不断变化自己的行动模式,让对手永远处于"追踪但追不上"的状态。
孟加拉国这起事件其实反映了数字化时代的一个普遍难题:数据一旦产生就留下了痕迹,而痕迹一旦聚合就形成了情报。对领导人安保来说,今天的挑战已经不是"不让坏人接近",而是"不让坏人的信息收集工作成功"。加油记录这种看起来人畜无害的数据,在聚合分析技术的加持下,一样能干掉了精心设计的安保方案。
