2011年安全大事件回顾

　　2011年的最后一天，你是不是有万般感慨、诸多往事集于心头呢?对企业安全从业人员来说，哪些安全事件曾让你胆战心惊、加班苦战呢?你们准备好迎接2012年的威胁挑战了吗?让我们一起回顾2011年发生的安全大事件，谨记这些事件带来的经验教训。

　　一、RSA遭遇APT攻击　SecurID被偷

　　RSA是EMC公司的安全部门，今年3月18日，RSA遭遇APT攻击，其SecurID被偷，随后RSA证实国防工业巨头洛克希德•马丁(Lockheed Martin，位于美国马里兰州贝塞斯达)遭遇攻击，且利用了SecurID的因素。

　　但RSA这次反应并没有那么快，三个月后，也就是六月份才表示将更换SecurID令牌，因为其最大的客户们在针对政府承办商的攻击中受害，他们认为这与双因素认证机制有关。RSA这次遭袭后，一下将安全界的目光都引向了安全认证技术，各大认证厂商也纷纷宣传自己的产品。

　　二、索尼接连被黑　大量用户数据泄漏

　　2011年对索尼来说可没那么好过。自今年4月份索尼PlayStation network用户数据泄漏后，它的噩梦就开始了。被黑客入侵、用户资料泄露的PSN网络还没有完全恢复，索尼旗下的世界各地其他网站和服务又频频遭到类似的攻击，一时间让索尼焦头烂额，不得不关闭了加拿大、泰国和印度尼西亚的一些互联网服务，原因是这些网站也遭到黑客入侵。

　　这一系列事件让索尼损失巨大，在大量数据泄漏事件中，索尼是其中备受瞩目的一个，它标志着2011年数据泄漏的开始。

　　三、LulzSec和Anonymous　黑客组织很嚣张

　　LulzSec是最近异军突起的黑客团体，他们因为多次攻击索尼的全球网站并获取成千上万的用户资料而一战成名。随后该组织还攻击了美国中央情报局(CIA)网站，福克斯电视台，美国参议院等等。

　　不过，如果说上半年LulzSec出尽风头的话，那么下半年就是以Anonymous为主角了。Anonymous最近攻击了美国智库Stratfor数据库，获取到了其中的大量个人信息，随后又攻击了从军事和执法装备零售商SpecialForces站点，窃取了1.4万个用户登录密码及8千组信用卡账号，并将在线公开这些信息。

　　四、DigiNotar CA泄漏　黑客获得数字证书

　　位于荷兰的证书颁发机构DigiNotar，为网络犯罪分子颁发了证书，使他们获得了使用流氓SSL证书劫持Gmail帐户，以及使用SSL和EVSSL数字证书(为安全考虑同时向用户证明其合法性)欺诈安全的网站的能力。这次违反操作发生在7月19日。

　　从黑客活动留下的痕迹来看，可能来自伊朗，从6月19日持续到7月22日。攻击者们发出了数百个流氓证书，包括针对谷歌，Skype，Mozilla附加组件，微软更新和其他的SSL证书。

　　五、黑客公开CSDN网站数据库　600多万用户资料泄露

　　可能谁都想不到，2011年的年末发生了中国有史以来的最大数据泄漏事件。自2011年12月21日CSDN网站数据库中600多万用户资料被泄露后，众多大网站接连遭遇数据库暴库，包括人人网，当当网等等。一时间引起了极大的网络安全恐慌，不过到目前为止，事情还没有查清，用户们在不停地改密码，网站企业们在不停地道歉和调查，希望事情能早日水落石出。

　　“泄密门”事件让人们陷入关于网络安全的深深思考中，如何让用户的信息资料安全存储和访问，我们还有很多要做的。

　　编者按：也许还有些事件非常重大，但是我们没列出来。2011年即将过去，安全从业人员们回想一下你们各自的2011年或者展望一下你想要的2012年，谈谈你们各自的安全关键词，欢迎留言。