保密宣传

  • 您所在的位置:首页 >> 机关工作 >> 保密宣传
  • 谁在让互联网安全“裸奔”

    时间:2013-12-19 19: 05:17信息来源:人防办点击:0

     

    孙超逸  练洪洋

     

    “改密码改到手软”,在中关村上班的赵星不幸地成为了CSDN用户泄密门的受害者,而他在人人网、网易邮箱、新浪微博、天涯社区……几乎所有常用的网站用的都是同样的ID和密码,“密码设成一样就是想少点麻烦,现在却成了最大的麻烦。”

    赵星只是上千万受害者中的一个,从2011年12月21日CSDN用户数据泄露后,天涯社区、开心网、多玩网、百合网、新浪微博等十几家网站先后卷入其中,晒在网上的用户信息条数已过亿,成为中国互联网史上最大规模的用户信息泄露事件,而通过“泄密门”折射出的则是整个中国互联网企业自身安全的脆弱和对用户数据安全保护的轻视。

    “泄密门”催火查询网站

    随着天涯、腾讯QQ、新浪微博等互联网公司先后卷入“泄密门”,无数网民不得不战战兢兢地问:“我的账号安全么?”

    网友们的集体忧虑,让十余家“密码外泄”查询网站一夜大热、流量暴涨,第三方查询工具甚至成了网民“居家旅行必备佳品”。

    提供泄露密码查询服务的网站,既有金山网络这样的安全企业,也有普通的个人开发者。个人开发者宓俊推出的检测网站amihacked.mijun.net,访问量在几天时间里就由几万激增至几百万;金山网络推出的“密码泄露快速查询”网站总查询次数已超千万,而随着越来越多网站卷入“泄密门”,用户查询次数还在不断上升。

    在此次泄密事件中,很少有用户能逃过一劫,尤其是老网民。面对网民们汹涌的查询“热情”,不少外泄密码查询网站也以调侃的方式奉劝用户放弃侥幸心理,直接修改密码。

    明文密码并非“祸首”

    几百万、上千万的用户账号和密码,究竟是如何从网站“流出”的?

    已承认用户数据被盗的CSDN和天涯社区在对外说明中,除将矛头指向攻击网站的黑客外,都同时提及了“明文密码”。CSDN和天涯社区在声明中称,因网站早期使用过明文密码,所以导致用户信息被盗。

    “明文密码就是不加密的密码。”360网络安全专家石晓虹说,最不安全的数据保存方式就是直接存储明文,一旦数据库泄露,黑客就可直接掌握所有的账号和密码信息,肆无忌惮地盗取用户权益。这次“泄密门”之所以会涉及如此众多用户资料,密码直接存储明文只是诱因之一,更根本的原因是部分网站对于用户账号“重吸引轻保护”的态度。

    随着中国互联网近年来快速发展。争夺用户成为每家网站迅速“长大”的重点。在风投资金的催化作用下,巨大的用户量是网站吸引更多风投的资本。因此,网站纷纷简化注册过程,以扩充注册用户数为第一要务。但与吸引用户时的“挥金如土”不同,很多网站在用户数据安全保护上的投入却是“锱铢必较”。一位业内人士一针见血地指出,“泄密门”并不是因为用户密码的保存方式,而是因为网站在信息安全保护上“偷工减料”。

    “只有在国内排行前100的网站,才有专门的安全团队,剩下的网站几乎都是‘不设防’。”这位人士透露,互联网公司建立自己的安全运维团队资金投入量很大,比如大型B2C购物网站每年的安全投入可达千万元级别。普通网站要想免于黑客攻击每年也要付出几十万元的成本。但是,目前许多小公司的安全投入最多几十万元,有的只有几万元,甚至有的互联网公司连基本的公司防火墙都没有设置,黑客进出自由。

    一些互联网企业不重视用户数据,是觉得安全对一个企业来说是要“花钱但不产生收入”的事情,即使用户数据被盗,对企业来说也损失不大。因此。在安全防范方企业来说也损失不大。因此,在安全防范方面投入非常少,即使在出事之后也不重视,而是想办法遮掩。

    立法治理用户数据监管缺位

    据一家券商TMT研究部门的调研数据显示,中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%,而欧美的比例是8%~10%,甚至个别缺乏自律的网站还做起“无本生意”,主动倒卖用户信息,明码标价,形成一条黑色产业链。

    因此,在“强烈谴责”之余,更应着手制度建设,针对互联网个人信息保护漏洞,及早制订相关法律法规,依法治理方能长治久安。首先,通过立法明确界定个人信息和隐私的范围,制定个人信息保护的国家标准,确立司法救济的原则与方式;其次,明晰互联网平台商在用户信息保护中的法律责任,明确收集、处理、使用用户个人信息的原则、程序、范围、方法等,防止滥用、侵权行为发生。最后,要把非法采集、存储、处理以及使用等侵犯公民个人信息安全的行为方式纳入刑法调整的范围。在发达国家,对用户个人信息的保护一向很重视。比如,欧盟国家早在1995年就出台个人信息保护指令。在日本,如果外泄数据仅限于姓名、电话等基本信息,企业应赔每人5000日元至1万日元;如果遭泄露信息涉及个人隐私,赔偿额将大幅跳升。

    这次用户信息大泄露,是一个标志性事件,如何处置考验着管理者的智慧。明智的做法是,以此为契机,大抓规范建设。力促网络安全,防止问题愈演愈烈。

    (摘自《作家文摘》)

    CoryRight©2005-2012东莞市人民防空办公室 版权所有 粤ICP8976883号

    地址:东莞市中心区石竹路菊香苑7座二楼 联系电话:0769-22882377 传真:0769-22882379

    E-Mail:rfb@dg.gov.cn 邮编:523071