|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
本帖最后由 Wengege 于 2011-5-15 09:06 编辑 7 A( b7 R9 }0 A; Y! K/ Z$ U) Z: E. m
& V* N# V- o+ F; t1 S
“我觉着我不该把自己的想法强加于世界。这完全是瞎折腾。”
( [' _- L4 Y( o+ h5 I5 o
8 O0 i% _/ b( q9 A5 {9 p% A5 B“火眼金睛[1]!”
w3 H% l8 r8 @& `3 y3 Q8 C+ e这句话被印在Google安全团队廉价的的黑色酷T恤背后。团队的成员包括电脑狂人、科学家、24小时苦哈哈值班的技术员和前电脑黑客“大师”们。# |+ H i9 G( z
8 @$ T G: c7 r! S( k* o; Q
即便如此大言不惭,对现实的无知无觉 -- 确切的说,在稀里糊涂之中失去方向,走上杯具之路的风险,还是困扰着Google,几乎令公司陷入其最严重的危机之中。当有一天这样的事实被揭露出来:安全问题正在发生,公司的智慧资产纷纷走光、网络攻击搞定了Gmail信箱,这时Google的问题就成了头条新闻。几个星期的痛苦挣扎之后,Google的执行委员会,包括施密特,佩奇和布林[2],最终决定了这家公司历史上最大的也是最悲催的撤退。2010年1月12日,他们改变了公司在这个拥有世界上多互联网用户的地方的方向,宣布从大陆撤出搜索服务器。
8 S6 r7 n6 Z3 M3 ^. O, p- W; M6 Q: H" }; A; H1 N
尽管Google撤出的深层原因是网络审核。有讽刺意味的是,触发这次撤退的却是一次网络攻击。Google曾深信它在电脑科技上的高水平加上对技术的深入理解,足以使其成为信息安全领域上的领先者。带着一种蒙特梭莉[3]式的天真和傲慢,这家公司觉得既然自己在那么多的领域都表现优异,理所当然的也能在安全性上做得足够漂亮。直到那次入侵事件发生之前,事实也确实是这样的。
2 ^* e B( ]! Y8 Z) |9 e$ z2 i U0 @" P. x g8 H5 ^
和公司的其他方面一样,Google的安全团队一直在和公司一起成长。2002年5月,Google首次聘请了一个安全专家,名叫希瑟.阿金斯,专门负责防范来自网络的入侵,破环和偷窃。阿金斯差不多是意外进入网络安全领域的。她最初在洪堡大学念的是海洋生物学专业,完全是偶然地接触到计算机,然后她就转到了计算机科学专业。那是1990年代中期,当时的互联网狂潮催生了数以百计的科技公司,个个对工程师求贤若渴。还没等阿金斯毕业,Excite[4]公司就把她弄到了硅谷,为公司维护一个巨大的电子邮件系统。她在那里一边工作,一边继续学习直到取得学位,随她后离开了Excite加入一家短命的初创公司,在那里负责系统安全。再后来她成功闯过了Google的面试关,成为这个世界上最显眼的网络攻击目标的顶级保护神。这一年,她只有25岁。
5 O$ l4 K. V% n, g" A3 V1 z* F* i/ @; `! G% h( M; v
Google的网络运营团队(sysops)的成员都是业界最有经验的工程师。在各种安全软件的帮助下,完全能游刃有余地应付几乎是持续不断的网络刺探和攻击,所以阿金斯的工作从来没有遭受过危机。事实上她很大一部分时间是用来确保Google对外提供的软件和服务有必要的安全性。有些攻击,所影响的不仅仅是Google自己的系统,而且会威胁到Google用户的私人信息。这样的挑战最早出现于Google的电子邮件系统--Gmail的研发阶段。Google要对数以十亿计的邮件负责,这些邮件中充满了个人信息和商业机密。阿金斯提出从安全的角度重新审核系统的设计。她把整个Gmail的设计队伍都拉到外地,一连数天地开会,分析各种可能的易受攻击的弱点。这就是Google的一个传统 -- 在软件和服务的设计阶段就把考虑安全进去 -- 的开始。Google的安全团队还负责对内培训,包括那些要求Noogler(Google新员工)必须参加的培训,同时他们还得负责应付日常的各种棘手的安全问题。7 ?5 g# V+ Q% s& N* p, y0 P0 \5 h6 S
: Y% ]$ n7 M+ V |$ |! A6 @Google的安全团队是在阿金斯作为公司的第451号员工加入之后才实质性的开始发展的。他们雇用三种不同的安全人员:学术性的计算机科学家,值班技术员(佩戴BB机,随时准备处理阻断网络的攻击,比如说2003年发生的那次趁Google员工集体出去滑雪时发起的巨型网络攻击),还有一种是“破门者”,这些人扮演黑客的角色。他们发起反向攻击,刺探Google的系统,看能否发现可被不法行为所利用的漏洞。有时候,Google也付钱给外部的顾问 -- 一些简历含糊不清的高手们 -- 来发现自己系统的弱点。另外一些时候,Google借助于一些熟练的业余爱好者的力量进行测试,他们很乐意帮Google发现系统的漏洞,而所取只是Google的T恤(曾经有讨论:是不是应该发放这样的纪念品:上面印着“我发现了Google的缺陷,可他们只给我这件破T恤”。但是终于没有这样做,因为安全团队担心这会引发对Google的更多攻击,所以他们决定在发放的衣服上只印上公司的名字)。
" Y( |- x/ H; ^3 `' I* p# p7 F. o3 s
2003年,公司雇用了阿尔玛.惠藤。她是卡内基.梅隆大学的计算机安全和人类行为学的博士。她的工作主要是负责内部安全--确保Google的安全规则足够易于使用,让公司的工程师不会刻意绕开它。她的工作不仅是激发员工的安全意识,在最糟糕的情况下,也需要她去追踪那些违反了职业道德的员工。
4 Q, `5 Z/ X4 \4 `( | 1 H, R# V8 C% J- y
“Google曾被形容成一个居民自治的小区”,布兰登.道尼,一位和惠藤一起工作在安全维护团队的员工说,“事实上不仅仅是这样,它更像是一个居民人人都有枪的地方。”这里有珍贵的信息需要保护,也有成千上万台服务器可能被恶意地变成一堆废物。然后,这里被若隐若现地黑客活动的幽灵围绕。
7 i& `$ z1 u' k6 U5 {9 Z ; N4 V- q8 F; `4 @& u! S# s1 Q3 Q
在惠藤时代,Google重写了它的用户日志系统。这些日志记录的信息是Google皇冠上的明珠,包含有珍贵的,有时候甚至包含一些不良内容的信息,它们记录着Google用户的行为,他们在搜索什么,他们在渴望什么。Google希望不断深入研究这些信息来提升自己的搜索系统和广告系统,但是同时公司有非常严格的规定:不允许任何人检索这些内容,以获取某个特定用户的信息。
/ {8 ~+ U" j- G, R( D
7 x8 A3 I \' L: Y% s% G 惠藤意识到Google需要一个其他大型信息科技公司已经拥有的东西:明确的安全策略。但这个策略又必须是有Google特色的。因此惠藤和其他七人成立了一个委员会,撰写了公司的内部安全常识策略,这份文件用浅显易懂的英语写成,只有几张纸的篇幅。: @ Y# [1 A1 B5 J7 {1 p6 F2 N8 H; u0 I: F( t
! k3 J$ s* ~2 V- n 有一件事成为了这个委员会的难题。“具体的讲,就是Google的保安人员是否有权要求员工接受搜查”,惠藤说,“当时委员会的成员都对这种相互检查的内部员工关系非常的不舒服。”保安人员要求要求授权他们对任何触动了安全团队敏感神经的人随时进行搜查。“人们担心在公司环境下这种检查的动机会走向不合理 -- 可能被搜查的总是门卫,而那些搜索科学家们永远都不会被查。”
! M) H x8 C- ]6 g
4 o0 M9 D1 m: v1 { 这样的讨论持续了数月,这在这家以毫秒计量时间的公司可不太正常(“有很多次人们把这个过程比做婴儿降生”,惠藤说)。最终,小组达成了一个大家都可以接受的协议。Google的保安人员可以可以在员工人身安全受到影响的时候去执行搜查而无需明显理由 -- 比如去搜查枪支 -- 但是不能因其他原因就这样做。”你可以为人们的人身安全去要求搜查,但财产安全就不能作为理由”,惠藤形容说。
: V( a, ~2 K' @$ h 0 f* `, ?- @/ c3 x) t/ }
这就是山景城的Google保安部门的运作规则。和安保一样重要的原则是:Google不会容忍不信任员工这样的意思的存在。用阿尔玛.惠藤的话说,就是“审计轨迹要合情合理”。Google不会把自己置于一种处处设防的状态之下。如果公司把员工看作顺手牵羊的人,不停搜他们的包,那他们还算是Google员工吗?
1 a8 ^8 @) ^. z
+ n( y6 k( y, [' k. v" o* W- g 2009年到来的时候,有人问希瑟.阿金斯她的OKR(目标和关键成绩)是什么。“最重要的是:不被攻破”,她说。“这永远是我的第一目标。”她特别关注那些来自于海外的攻击。巴勒斯坦黑客开始浮现。伊朗的威胁在上升。但有一个地方现在成为Google的安全团队的最大担忧。“当然,”她说。“来自亚洲”。( F w( t- R+ ]7 H
: D, ~) G: [2 K" A! b" S0 J5 R$ w: x
* f1 y2 O" f$ y: P( V3 J, g
[1] Do know evil ,与Google的公司格言“不作恶”Do no evil (Don’t be evil) 谐音
! e0 n c3 q$ \ , \- Q! s6 T6 n* S% U
[2] Eric Schmidt, 埃里克·施密特, Google 行政总裁
1 q4 K, ]9 H) |) G7 r
Z* q* O$ i; Z Larry Page, 拉里·佩奇,Google创始人: R! ?' Q: g! x# G% i- e+ a
0 g+ _) ?* T9 }
Sergey Brin, 谢尔盖·布林, Google创始人! s. G8 u6 i/ i0 t7 ?! H8 q4 B
" s2 G m6 x ]" ]' T [3] 一种幼儿教育方法8 n& E( N3 w W- ^8 _4 n
/ y) R& F! X$ R9 { [4] 90年代最大的互联网服务提供商之一8 o* Y4 E; |) g) H
/ t: E! m0 v2 M: l, V3 w# c5 \/ n多好的搜索引擎
j3 t9 a( ?2 e8 I. Z1 B就这么着在CNGOV没了…… |
|