立即下载
如何让个人信息不再裸奔
2012-01-12 14:56:34 字号:

  被称为迄今为止“中国互联网史上最大信息泄露事件”的余波至今尚未消弭。究竟是什么原因导致了超过一亿网民的“裸奔”?网络信息安全的短板在哪?中国计算机学会青年计算机科技论坛举办的特别论坛日前举行,与会业内人士各抒己见,努力探寻中国网络信息的安全路径。

  “网站安全的整体问题依然严重”

  “经公安部门调查,初步排除内部员工泄露的因素,更大可能在于黑客一年前就将数据偷走。当然,这还不是最终结论。”CSDN创始人、董事长蒋涛说。

  2011年12月21日,知名程序员网站CSDN的600万用户数据被泄露;12月25日,天涯社区的4000万用户信息被泄露,占天涯用户总数的60%······短短几天时间,多家大型网站的用户数据库被泄露,几千万用户账号和密码被公开。

  蒋涛坦言,事件发生后,公司在漏洞扫描和渗透测试的过程中,发现存在大量第三方系统漏洞与应用程序跨站脚本漏洞。特别是大量系统后台认证漏洞,系统管理员密码简单,瞬间就能把密码暴露出去。“还有一些停用但仍在线上的老系统,我们未及时运维。”

  “网站安全已不是‘脸面’问题,需引起足够重视。”国家网络信息安全技术研究所所长杜跃进表示,“伴随超文本传输协议一统天下,网站在信息化社会中扮演的角色不断深化,网站在成为各种信息服务‘门户’的同时,也几乎成了黑客实施攻击的‘门户’或‘中枢’。”

  “窃取网站后台数据的问题危害严重,不过本质上这也属于网站安全的内容,如同大量网页被植入木马攻击访问者一样。”杜跃进说。

  杜跃进援引一组数据显示:2007年、2008年,中国大陆被篡改网站总数分别为61228个、53917个,政府网站数量分别为3407个、3595个。2011年前11个月,中国大陆有3.5万个网站被篡改,其中政府网站2644个。“虽然从网页遭篡改的角度看,我国网站安全防护能力有所改善,但网站安全的整体问题依然严重。”

  互联网企业缺乏社会责任感

  屡禁不止的网络信息泄露事件,数以千计的网站被恶意篡改,足以引起人们对网络信息安全的反思。

  “CSDN是以论坛用户为主的社区,不占有敏感数据,没有太多商业利益让黑客挖掘,加之对网络安全问题了解较少,以致工作中弱化了网络安全管理。”蒋涛说,“我们有近100台服务器,但仅有3名运维人员,运维工作显然捉襟见肘。”

  瑞星安全专家王占涛认为,多家互联网公司数据库被窃取,根本原因在于企业的社会责任感不强。如果互联网公司将用户信息,以明文密码而非加密的方式保存在服务器上,一旦出现系统漏洞、应用程序漏洞或数据库漏洞,黑客将乘虚而入,拿到管理员权限,窃取用户信息。

  有关业内人士表示,近日公开的仅是部分在黑客交易市场中流传很久的旧数据库,而黑客实际掌握用户数据库的数量已超过1亿条,中国黑客的黑色产业链规模或高达上百亿元。

  

{Ky:PAGE}

 

  为什么网络信息安全依然十分脆弱?杜跃进指出,第一,网站经营商或服务提供商的安全意识淡薄,没有真正重视网站安全,或者没有真正理解网站安全问题。第二,虽然我们时常将技术“自主”、“可控”挂在嘴边,特别是我们自己开发的网络应用程序,看上去“自主”,事实上安全漏洞百出,根本没做到“可控”。第三,大多数人对网站的地位和作用认识不足,无疑造成对网站安全在整体网络信息安全中的定位太低,强制要求不足,从而出现制度缺失。

  蒋涛进一步表示,CSDN目前正申请信息系统等级保护,主动配合信息安全监管部门的监督管理。同时,将网站核心服务与非核心业务隔离,以强化网站核心服务安全,减小系统安全风险。“CSDN会采取相关措施,提高黑客获取数据成本,降低数据对黑客的吸引力,建立安全审核机制,尽量避免内部泄露数据的可能。”

  “政府不该是旁观者”

  据统计,2011年底,中国网民数量已超过5亿,2012年电子商务规模有望突破6万亿元。蓬勃发展的互联网产业,是现实生活的一部分,并不“虚拟”。依法保护网络用户的权益,切实保障网络信息安全,已变得重要而迫切。

  “在网络信息安全方面,政府不该是旁观者,应该在法律、政策、标准制定及监督、检查、执法等方面发挥更大作用。”杜跃进强调,政府制定行业标准至关重要,规范行业安全等级水平,促使企业提高并按照安全水平等级经营。例如,可明确要求重要网站使用的应用程序必须通过代码安全审计,只有这样,才能真正促使程序员学习如何编写安全程序。

  北京邮电大学互联网治理与法律研究中心主任李欲晓教授说,“我国网络法律尚不健全,国家需加强网络法律建设,尤其是加速出台网络安全法,保证我国5亿以上的网民能够在一个安全可信的环境下享受互联网提供的便利。”

  杜跃进认为,政府应做到执法必严。由于网络黑客获利丰厚,投入和风险又低,政府必须通过加大对各类网络违法犯罪活动的打击力度,提高网络攻击者的成本,才能起到警示、震慑作用,压制日益猖獗的网络犯罪活动。此外,企业和服务商本身要树立长远战略与社会责任,增强责任意识,加大网络信息安全投入力度。

  蒋涛建议,在国内建立能够共享的安全公共知识库,确保发现第三方系统漏洞后,第一时间告知相关成员并及时堵塞漏洞。

  “虽然提升用户意识是重要而且必须持续开展的工作,但不能要求所有用户的安全意识都提高到足够高的水平,因为用户就是用户,不是计算机安全专家。因此,安全界应该树立用户意识,降低安全风险,保护用户利益。”杜跃进说,“网络信息泄露,虽然直接受损的是网络用户,但从长远看,不良企业最终会被唾弃。”(本报记者 王昊魁 光明网记者 宋乐永 )

来源:光明日报

作者:王昊魁

编辑:闵美颖

点击查看全文

回首页
返 回
回顶部