2008年奧運會舉辦 前，因為國家領導萬無一失的要求，北京進行了大規(guī)模的信息系統(tǒng)安全性檢查，我參與了很多系統(tǒng)的安全性測試，遇到了這么一個案例。  

 

北京某區(qū)政府門戶網(wǎng)站上，通過搜索網(wǎng)站，找到了一個郵箱使用說明,該網(wǎng)頁說明了如何使用區(qū)政府公務員郵件系統(tǒng)。其中有以下描述：  
---------------------------------------------------------------------    
在地址欄輸入http://www.xxxxxxx.gov.cn，按回車鍵登陸北京xx網(wǎng)站。如圖1所示，選擇公務員郵箱，輸入郵箱名，郵箱密碼默認為 六個1，鼠標單擊登陸。例如，選擇公務員郵箱，在用戶名處輸入tjjbgs，密碼輸入111111，單擊登陸即可進入統(tǒng)計局辦公室的郵箱。
 ---------------------------------------------------------------------    

 

從這一段描述中，可以獲得以下信息，郵箱命名方式一般用中文拼音的第一個字母，密碼默認六個1,那么對于攻擊者，只要在網(wǎng)上找找，就能找到區(qū)重要領導名 字、重要部門的名稱，再據(jù)此進行攻擊。不過在本次測試中不需要，因為幫助說明最后給出了區(qū)重要領導的郵件地址（編寫者是為了方便人員發(fā)郵件，直接告訴別 人，給哪個部門發(fā)郵件發(fā)哪個郵箱等）。對這些公布的郵件進行了簡單的口令測試（大綱只測了五分鐘后），有重要領導的郵箱密碼尚未改變，有兩位領導已經(jīng)改變，不過改得有些簡單，123456，與沒改一樣。登錄進行，看到了給領導發(fā)的匯報材料，請示之類的。還好我只是測試人員，不是XX功人員，否則以此領導 的郵箱群發(fā)個XX功的宣傳郵件，我想在當時保奧運的嚴格要求形勢下，應該反應會比較激烈，后果很嚴重。 

 

從鐵人王進喜照片泄密案到現(xiàn)在的影星隱私泄露表明，很多時候，信息安全問題是在不經(jīng)意間產生的。公開的信息會出賣你的，不要太不以為意，信息安全如是，生活中如是。