燕麦云何洋开讲丨真假海盗？黑客杠上好莱坞，还要把电影变成现实

《加勒比海盗》系列电影是美国迪士尼影业的超级IP和吸金神器，它的前4部为迪士尼带来了超过37亿美元的票房，更不必说还有主题游乐园的巨额收入。该系列的最新力作《加勒比海盗5：死无对证》已于上周末全球同步上映。但本片引起国内外主流媒体注目的最大原因之一，竟是“电影海盗”在现实中遭遇“信息海盗”——在电影上映2周前，片源疑似遭到黑客恶意窃取及勒索。

就在不久前Wannacry病毒在全球范围快速扩散时，迪士尼公开宣称曾接到黑客的勒索电话，有一部尚在制作中的样片遭窃取；但情况却在最近出现反转，迪士尼CEO出面否认片源被黑客窃取，并拒绝警方介入调查。

片方是否在电影上映前为吸引媒体关注而进行“狼来了”式炒作，我们尚不得而知；但是，随着好莱坞电影工业的数字化程度迅速提升，高附加值的影视“数字资产”，确实有被掘金黑客们盯上的趋势。

实际上，“影视作品被窃”案件是有规律可循的——好莱坞工业化流程制片，专业性强、环节复杂、合作公司众多，片源泄露极有可能源于制作过程中的某个环节，《加勒比海盗5》此前即被认定为是从某个合作制作工作室处被窃取的。

事件发生后，不少影视行业专家表示，黑客们在高收益诱惑下容易铤而走险窃取作品文件，如果对此不加重视，类似泄露案件只会越来越普遍。

好莱坞泄密案例

2002年，经典科幻大片《星球大战前传2：克隆人的进攻》上映前两个月，极客影迷们就在http://aint-it-cool-news.com看到这部影片的第一条评论；在电影上映前一周，网络上已经到处充斥着低画质的完整影片。侦破发现，这是一起“监守自盗”案件——在《星球大战》制片公司卢卡斯影业工作的Shea O’Brien Foley，窃取了价值在45~1700万美元不等的电影音效、故事板和剧本等机密文件，Foley因此被判处一年徒刑。

2003年，李安版《绿巨人》未完成的影像被泄露给一家广告公司，根据数字拷贝文件中的电子标签，警方很快锁定了文件泄露源头，盗版人Kerry Gonzalez被判处六个月监禁和7000美元的罚款。

《黑客帝国2：重装上阵》上映的前一天，高清完整版本就在网上被疯传。分析了文件的数字嵌入代码后，警方不但揪出六名福克斯电影公司的“内鬼”，随后还粉碎了两个臭名昭著的非法盗版链条。

最广为人知的好莱坞黑客案件莫过于《X战警前传：金刚狼》文件泄露案。在影片上映前一个月，一个“特效未完成版”影片文件被泄露，它的流传范围之广，使得许多人在电影公映前就已经在网上看了片子，给本片全球票房造成重大损失。

2014年，索尼影业被一个叫“和平卫士”（Guardians of Peace）的黑客组织袭击，旗下的众多影片、甚至包括公司内部邮件、员工薪酬和众多员工个人信息都在网上被曝光。索尼在这次信息袭击中颜面尽失且损失惨重，导致接下来的2015年需要预留1500万美元预算以应对后续余波。

2017年，美国娱乐内容巨头Netflix和迪士尼都受到一个名为“黑暗霸主” （Dark Overlord）的黑客集团威胁。今年初，Netflix热播剧《女子监狱》（Orange Is the New Black）被窃，黑客扬言要将之提前泄露；这一黑客集团还威胁要提前把影片《加勒比海盗5》前20分钟放到网上——除非迪士尼支付8万美元赎金。于是，才有了文章开头的“大片泄露门”事件。

聚光灯下的好莱坞屡遭黑客袭击而备受关注，而聚光灯以外的企业，也不可避免的在信息时代受到信息安全的威胁。

未来商业竞争就是信息科技的竞争，只有提前做好预防措施，才能从根本上抵御随时可能发生的信息安全威胁。企业需要将数据资产和商业秘密的保护重视起来，才能在企业发展的道路上立于不败之地。不久前发生在国内的《人民的名义》送审样片泄露、“老干妈”机密配方被盗、Wannacry勒索病毒等事件，已经给我们敲了足够响的警钟。

▌目前市面上关于企业信息安全的产品和解决方案可谓是琳琅满目，这通常让企业感到无所适从。针对这种情况，我以多年从事企业信息安全管理的经验，和大家分享三点干货：

❶“安全机制”比“零散的安全功能”更靠谱。

经常看到一些用户过份地强调某个细分场景下的安全功能，认为只要有了某个功能就可以高枕无忧。但我不得不遗憾地指出，没有绝对的安全，只有相对的安全，因为威胁往往是全方位的。例如，在大部分的文件管理软件中，防止word文件内容的拷贝功能，仅能防住小白用户在界面层的操作，却防不了专业人员对于文件格式底层的数据转移。退一万步来说，就算能在技术上防住，有心人也大可以截图或拍照，利用OCR（Optical Character Recognition）文字识别技术来实现非法拷贝。

因此，我们需要的是建立一套安全机制，在各个点上都加入控制手段，这样才能有效地保护企业的数据资产和商业秘密。以下我举三个例子：

➤➤文件权限的细粒度管理，它可以确保每位企业成员仅能看到自己权限范围内的文件；

➤➤文件的动态水印，如果出现文件被恶意截图的情况，动态水印可以快速帮助企业追溯到泄密源；

➤➤文件的使用审计，企业会将所有文件的使用记录都留存下来，以便在事故发生时可以逐条审计。

❷从“被动防护”到“主动防护”。

杀毒软件、防火墙、安全补丁等我们常见的安全产品，事实上是一种被动防护。被动防护就像是打预防针时需要用到的疫苗，可以很好的抵御已知病毒威胁。但被动防护也有局限性，以传统杀毒软件为例，正如医疗机构在研发疫苗前必须先研究病毒一样，厂商需要先对电脑病毒进行分析，才能制定有针对性的杀毒方案。这一过程从几个小时到数年不等，而绝大多数的新型威胁正是利用了这个时间差，给用户造成重大损失。

而主动防护则可以跳脱出后知后觉的尴尬，它可以是一种对网络或系统行为的智能分析预测、一个威胁发生时的可追踪方案、或一个损失发生后的兜底方案。主动防护的重点，是将威胁扼杀在发生之前，或者即使威胁已发生，也能掌握控制权。

对于企业的数据资产和商业秘密来说，一个安全靠谱的文件保管和备份方案是必须的，因为它可以做到即使个人电脑被黑客攻破，仍可以保证核心文件数据的安全。另外，如果威胁更进一步，存储文件数据的硬件都遭到了毁坏，那么至少我们还有一套完整的数据可供使用。

❸认清私有云的价值，提升IT认知。

曾经见过一些公有云企业的销售，在并没有将产品特性解说清楚的情况下，恶意贬低私有云，并不断劝导客户将敏感数据上传至公有云，很多企业也糊涂照办。但事情的真相却是，购买私有云就像买房子，私有云是你的物业财产，受物权法保护；而公有云的“租赁”特性则决定了客户对云平台只有使用权而没有所有权，就像租房子，由于物业不是自己的，哪怕有租约在身，房东执行违约条款强行让你搬家时，你也无可奈何。

需要明确的一点是，我并非认为公有云不好或不安全，燕麦云也有公有云产品，但我认为公有云的价值应该体现在灵活、便捷、分享和短周期上，而对于在安全方面有要求的客户，我会坚定地建议使用私有云。数据资产和商业秘密，应该由企业自身去掌握，在这个过程中，企业管理层对信息化和IT的认知和重视程度就会成为关键。

最后我有个小贴士贡献给大家，那就是尽量去选择轻量易安装的私有云产品。轻量意味着不给企业带来额外IT负担，而且可以同时去满足企业对于文件安全和管控的需求，企业管理者们可以好好利用和学习。