被稱為迄今為止“中國互聯(lián)網(wǎng)史上最大信息泄露事件”的余波至今尚未消弭�。究竟是什么原因?qū)е铝顺^一億網(wǎng)民的“裸奔”?網(wǎng)絡信息安全的短板在哪�?中國計算機學會青年計算機科技論壇舉辦的特別論壇日前舉行���,與會業(yè)內(nèi)人士各抒己見,努力探尋中國網(wǎng)絡信息的安全路徑��。
“網(wǎng)站安全的整體問題依然嚴重”
“經(jīng)公安部門調(diào)查��,初步排除內(nèi)部員工泄露的因素�,更大可能在于黑客一年前就將數(shù)據(jù)偷走。當然���,這還不是最終結(jié)論?�!盋SDN創(chuàng)始人����、董事長蔣濤說。
2011年12月21日��,知名程序員網(wǎng)站CSDN的600萬用戶數(shù)據(jù)被泄露�����;12月25日��,天涯社區(qū)的4000萬用戶信息被泄露,占天涯用戶總數(shù)的60%······短短幾天時間���,多家大型網(wǎng)站的用戶數(shù)據(jù)庫被泄露���,幾千萬用戶賬號和密碼被公開。
蔣濤坦言�,事件發(fā)生后,公司在漏洞掃描和滲透測試的過程中�,發(fā)現(xiàn)存在大量第三方系統(tǒng)漏洞與應用程序跨站腳本漏洞。特別是大量系統(tǒng)后臺認證漏洞��,系統(tǒng)管理員密碼簡單�����,瞬間就能把密碼暴露出去��?!斑€有一些停用但仍在線上的老系統(tǒng),我們未及時運維��?���!?/P>
“網(wǎng)站安全已不是‘臉面’問題�,需引起足夠重視�。”國家網(wǎng)絡信息安全技術研究所所長杜躍進表示�,“伴隨超文本傳輸協(xié)議一統(tǒng)天下,網(wǎng)站在信息化社會中扮演的角色不斷深化�,網(wǎng)站在成為各種信息服務‘門戶’的同時,也幾乎成了黑客實施攻擊的‘門戶’或‘中樞’��?���!?/P>
“竊取網(wǎng)站后臺數(shù)據(jù)的問題危害嚴重,不過本質(zhì)上這也屬于網(wǎng)站安全的內(nèi)容�,如同大量網(wǎng)頁被植入木馬攻擊訪問者一樣�。”杜躍進說���。
杜躍進援引一組數(shù)據(jù)顯示:2007年�、2008年�,中國大陸被篡改網(wǎng)站總數(shù)分別為61228個、53917個���,政府網(wǎng)站數(shù)量分別為3407個��、3595個�。2011年前11個月,中國大陸有3.5萬個網(wǎng)站被篡改�,其中政府網(wǎng)站2644個?��!半m然從網(wǎng)頁遭篡改的角度看��,我國網(wǎng)站安全防護能力有所改善��,但網(wǎng)站安全的整體問題依然嚴重��?����!?/P>
互聯(lián)網(wǎng)企業(yè)缺乏社會責任感
屢禁不止的網(wǎng)絡信息泄露事件��,數(shù)以千計的網(wǎng)站被惡意篡改�,足以引起人們對網(wǎng)絡信息安全的反思���。
“CSDN是以論壇用戶為主的社區(qū)���,不占有敏感數(shù)據(jù)�,沒有太多商業(yè)利益讓黑客挖掘���,加之對網(wǎng)絡安全問題了解較少���,以致工作中弱化了網(wǎng)絡安全管理?�!笔Y濤說�,“我們有近100臺服務器,但僅有3名運維人員����,運維工作顯然捉襟見肘?!?/P>
瑞星安全專家王占濤認為,多家互聯(lián)網(wǎng)公司數(shù)據(jù)庫被竊取�����,根本原因在于企業(yè)的社會責任感不強�����。如果互聯(lián)網(wǎng)公司將用戶信息����,以明文密碼而非加密的方式保存在服務器上,一旦出現(xiàn)系統(tǒng)漏洞�、應用程序漏洞或數(shù)據(jù)庫漏洞,黑客將乘虛而入����,拿到管理員權(quán)限,竊取用戶信息��。
有關業(yè)內(nèi)人士表示��,近日公開的僅是部分在黑客交易市場中流傳很久的舊數(shù)據(jù)庫����,而黑客實際掌握用戶數(shù)據(jù)庫的數(shù)量已超過1億條,中國黑客的黑色產(chǎn)業(yè)鏈規(guī)?����;蚋哌_上百億元��。
為什么網(wǎng)絡信息安全依然十分脆弱��?杜躍進指出,第一�����,網(wǎng)站經(jīng)營商或服務提供商的安全意識淡薄��,沒有真正重視網(wǎng)站安全��,或者沒有真正理解網(wǎng)站安全問題�����。第二��,雖然我們時常將技術“自主”���、“可控”掛在嘴邊�����,特別是我們自己開發(fā)的網(wǎng)絡應用程序��,看上去“自主”���,事實上安全漏洞百出,根本沒做到“可控”�。第三,大多數(shù)人對網(wǎng)站的地位和作用認識不足�,無疑造成對網(wǎng)站安全在整體網(wǎng)絡信息安全中的定位太低,強制要求不足��,從而出現(xiàn)制度缺失�����。
蔣濤進一步表示�����,CSDN目前正申請信息系統(tǒng)等級保護�����,主動配合信息安全監(jiān)管部門的監(jiān)督管理���。同時���,將網(wǎng)站核心服務與非核心業(yè)務隔離,以強化網(wǎng)站核心服務安全��,減小系統(tǒng)安全風險?!癈SDN會采取相關措施,提高黑客獲取數(shù)據(jù)成本���,降低數(shù)據(jù)對黑客的吸引力���,建立安全審核機制,盡量避免內(nèi)部泄露數(shù)據(jù)的可能�。”
“政府不該是旁觀者”
據(jù)統(tǒng)計���,2011年底�����,中國網(wǎng)民數(shù)量已超過5億�,2012年電子商務規(guī)模有望突破6萬億元�����。蓬勃發(fā)展的互聯(lián)網(wǎng)產(chǎn)業(yè)����,是現(xiàn)實生活的一部分�,并不“虛擬”���。依法保護網(wǎng)絡用戶的權(quán)益,切實保障網(wǎng)絡信息安全���,已變得重要而迫切��。
“在網(wǎng)絡信息安全方面�,政府不該是旁觀者�����,應該在法律�����、政策��、標準制定及監(jiān)督��、檢查��、執(zhí)法等方面發(fā)揮更大作用�?!倍跑S進強調(diào)���,政府制定行業(yè)標準至關重要��,規(guī)范行業(yè)安全等級水平��,促使企業(yè)提高并按照安全水平等級經(jīng)營�。例如�,可明確要求重要網(wǎng)站使用的應用程序必須通過代碼安全審計,只有這樣�,才能真正促使程序員學習如何編寫安全程序。
北京郵電大學互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉教授說�,“我國網(wǎng)絡法律尚不健全,國家需加強網(wǎng)絡法律建設��,尤其是加速出臺網(wǎng)絡安全法��,保證我國5億以上的網(wǎng)民能夠在一個安全可信的環(huán)境下享受互聯(lián)網(wǎng)提供的便利���?��!?/P>
杜躍進認為,政府應做到執(zhí)法必嚴。由于網(wǎng)絡黑客獲利豐厚��,投入和風險又低�,政府必須通過加大對各類網(wǎng)絡違法犯罪活動的打擊力度,提高網(wǎng)絡攻擊者的成本��,才能起到警示�、震懾作用��,壓制日益猖獗的網(wǎng)絡犯罪活動����。此外,企業(yè)和服務商本身要樹立長遠戰(zhàn)略與社會責任�����,增強責任意識�,加大網(wǎng)絡信息安全投入力度。
蔣濤建議�,在國內(nèi)建立能夠共享的安全公共知識庫,確保發(fā)現(xiàn)第三方系統(tǒng)漏洞后��,第一時間告知相關成員并及時堵塞漏洞�。
“雖然提升用戶意識是重要而且必須持續(xù)開展的工作,但不能要求所有用戶的安全意識都提高到足夠高的水平,因為用戶就是用戶�,不是計算機安全專家。因此����,安全界應該樹立用戶意識,降低安全風險����,保護用戶利益?����!倍跑S進說����,“網(wǎng)絡信息泄露,雖然直接受損的是網(wǎng)絡用戶��,但從長遠看���,不良企業(yè)最終會被唾棄�����?!保ū緢笥浾?nbsp;王昊魁 光明網(wǎng)記者 宋樂永 )
