《人民的名义》这部长达50多集、引爆全民追剧风潮的“神剧”终于迎来收尾。我很少看电视剧,但这部剧编剧走心、制作精良、戏骨云集,让包括我在内的观众们欲罢不能。但就在剧情进行到关键时刻、社会关注度极其高涨时,未播的全集资源遭到了外泄。
2017年4月13日,带有“送审样片”水印字样的全53集《人民的名义》视频文件被泄露。一夜之间,外泄的资源呈铺天盖地之势,在微博、微信、QQ、各类贴吧论坛、电商平台上疯狂转载,公开售卖。《人民的名义》小说作者周梅森先生怒斥此行为是严重犯罪,同时剧集版权方也成立了专案小组,配合警方共同调查泄露源。
常年从事企业信息服务的职业敏感使我对此事非常担忧:媒体平台花重金买下的文化作品播放权,却如此轻易地被泄露出去,商业利益受到了极大的损害。信息安全漏洞为本剧在商业上的胜利蒙上一层巨大的阴影,相当可惜!
今天《何洋开讲》的主题,就是要揭开这次商业信息泄密的主要原因,并提出解决方案,供各位企业主朋友们参考。
从技术的角度分析《人民的名义》视频泄露事件,关键在“水印”上。给文件打水印,其实是一种很好的被动式安全措施,它给信息泄漏留下可追溯的痕迹,提高了犯罪成本。《人民的名义》泄露视频中的“送审样片”水印,就可以起到这种作用。
警方侦查案件时,第一步就可以缩小排查范围,“送审样片”水印说明了泄露的视频就是送广电总局审查的片源。第二步,则可以开始分析细节。例如,影片送审过程中经历了哪些环节?又有哪些细节有泄密风险?这些都可以成为案件侦查的突破口。水印技术至少为侦查提供了大方向,否则案件的真相难免石沉大海,成为无头冤案。
但对于案件的侦破来说,仍然有很多细节需要考虑,比如要先理清楚以下问题:
片源的传输、移交环节有没有出纰漏?
片源的审查人员有没有遵照保密制度操作?
是监守自盗,还是第三方侵入盗窃?
片源是在什么地方、什么时间泄露的?
实际上,要找到以上问题的答案并不容易,获得确凿证据更是难上加难,以往许多类似的泄漏事件最后都不了了之。但是,如果在泄露事件发生之前,整个样片送审流程可以落地一个完善的信息安全管理方案,类似的问题是完全可以避免的。
用什么思路来构架这个“信息安全管理”方案和流程呢?我总结了五个安全要点:
整个送审流程都应该在一个安全封闭的私有云中完成。样片的存储和传输,都采用加密技术,只有送审流程中的相关人员才能获得系统的登录权限;
无论是影片的出品方,还是广电总局的相关审查人员,严格遵守操作规范,不能将样片移离这个系统,任何类似移动硬盘的拷贝或者转移都是绝对不能被允许的;
实现一个强大的文件权限体系。如此一来,我们就可以将不同的权限赋予送审流程中的相关人员。例如,我们可以配置谁能下载样片、谁仅能预览样片。
实现一个后台行为审计功能,这就可以实时监控和记录整个私有云中的所有动作。例如,我们可以知道谁在什么时间、什么地点下载了哪一集的样片。
实现一个强大的动态水印功能。在《人民的名义》泄露视频中,“送审样片”是一个固定的水印,我们从中能提取的信息非常有限。但动态水印则不同,它是以当前使用者的相关信息作为水印来呈现的。
例如,我是整个样片送审流程的授权人员之一,我的账号是“何洋”,当我在系统内观看样片时,一个动态水印即出现(如下图所示),即“送审样片@何洋@2017-4-28-18:30:26”,水印信息包含了我的系统登录账号以及观看样片的具体时间。因为是动态水印,其他授权账号观看样片时,都会自动生成与其相关的不同的水印。
使用安全的私有云系统、严格操作规范限制、设定权限体系、操作行为审计、动态水印,这5个安全要点可以相互产生协同效应,让犯罪成本瞬间变高,有效杜绝类似《人民的名义》送审视频泄露事件的发生,有效保障信息安全。
其实,无论是这次《人民的名义》剧集泄露事件,还是其他信息安全问题,最关键的问题是——管理者的事前重视。数据信息至上的时代,只有企业一把手对信息安全给予足够重视,才能防患于未然。