“泄密門”撕開互聯(lián)網(wǎng)安全“遮羞布”

“泄密門”撕開互聯(lián)網(wǎng)安全“遮羞布”

國家互聯(lián)網(wǎng)管理部門強力介入可能會增強網(wǎng)民的些許信心，但是，面對頻頻發(fā)生的“泄密門”，人們不禁要問，在安全防護上如此脆弱的互聯(lián)網(wǎng)還能“粘”住網(wǎng)民嗎？沒有了信息安全這個“安全帶”，中國互聯(lián)網(wǎng)產(chǎn)業(yè)還能繼續(xù)狂飆猛進嗎？互聯(lián)網(wǎng)信息安全脆弱不堪CSDN數(shù)據(jù)泄露事件好像是一個導火索，讓一直遠離大眾視野的信息安全成為熱點。來自國家互聯(lián)網(wǎng)信息辦的消息顯示，網(wǎng)上熱傳的一系列泄密事件中，經(jīng)查只有CSDN、天涯網(wǎng)站曾在2009年以前被入侵，數(shù)據(jù)遭泄露也發(fā)生在兩年前，近期這兩家網(wǎng)站并未遭受攻擊。京東商城網(wǎng)站也遭入侵，但數(shù)據(jù)未泄露。而廣東“YY”語音聊天網(wǎng)站泄露的數(shù)據(jù)，則為該公司員工利用職務之便從公司內(nèi)部備份數(shù)據(jù)庫竊取的，網(wǎng)站并未被入侵。至于工商銀行等金融機構(gòu)數(shù)據(jù)泄露事件則被證實是謠言，工行等銀行系統(tǒng)并未被入侵，網(wǎng)上公布的所謂“數(shù)據(jù)”與銀行相關(guān)數(shù)據(jù)不符。備受網(wǎng)民關(guān)注的新浪微博、開心網(wǎng)、7K7K網(wǎng)站、當當網(wǎng)、凡客誠品等網(wǎng)站均未被入侵。網(wǎng)上公布的上述網(wǎng)站部分賬號密碼系有人利用網(wǎng)絡遠程大規(guī)模猜測密碼所破解，實施密碼破解的人員身份目前已被鎖定，公安機關(guān)正在實施抓捕。截至目前，公安機關(guān)此次已查處入侵、竊取、倒賣數(shù)據(jù)案件9起，編造并炒作信息泄露案件3起，刑事拘留4人，予以治安處罰8人。瑞星昨日最新發(fā)布的《2011年度安全報告》也顯露出信息安全形勢的嚴峻。報告指，當前威脅國內(nèi)互聯(lián)網(wǎng)安全的因素主要是病毒和木馬等惡意程序、釣魚詐騙、黑客“拖庫”攻擊，這其中，黑客以取得的用戶數(shù)據(jù)庫為基礎(chǔ)，利用“社會工程學”原理對用戶進行全面的詐騙、密碼猜解、身份偽造、病毒和掛馬等攻擊，這種新型攻擊已經(jīng)全面滲透到黑色產(chǎn)業(yè)的各個環(huán)節(jié)，顯示出巨大的現(xiàn)實危害。有調(diào)查數(shù)據(jù)顯示，單個受害用戶的受損金額較往年增長較多，黑客通過MSN和QQ進行“老同學，幫我買幾張充值卡”詐騙，利用團購進行“假iPhone詐騙”，利用搜索引擎廣告來出售假冒偽劣商品等多種新型釣魚詐騙方式，使得網(wǎng)民一旦中招，就會損失數(shù)千、甚至上萬的金錢。事實上，“泄密門”不僅發(fā)生在中國互聯(lián)網(wǎng)上，針對大型網(wǎng)絡服務商的“拖庫”攻擊已經(jīng)席卷全球，即使強大如美、日、韓等國的互聯(lián)網(wǎng)，進入2011年以來都面臨著同類問題，單單在上半年，就有日本索尼公司、美國wordpress等網(wǎng)站遭攻擊，損失慘重。高速擴張下的隱憂面對層出不窮的黑客攻擊，互聯(lián)網(wǎng)為何如此脆弱？許多業(yè)界專家都在對此進行反思。量子在線CEO寧志翔長期在美國硅谷工作，其設在硅谷的實驗室尤其重視信息安全，聘請的安全類工程師年薪超過20多萬美元。在他看來，近十年以來，國內(nèi)互聯(lián)網(wǎng)企業(yè)只重視規(guī)模擴張，追求高速增長，對信息安全的投入很少甚至是沒有。“在某種程度上，我可以說中國互聯(lián)網(wǎng)存在一批豆腐渣工程，很多網(wǎng)站都是互相抄襲，只想著賺快錢，連基本的安全防護也沒有。而且，有些網(wǎng)站使用盜版軟件，無法及時更新，這些網(wǎng)站相當于是紙糊的房子，安全性根本無法保障?！钡拇_，在互聯(lián)網(wǎng)業(yè)內(nèi)，安全維護未受到重視。有調(diào)研數(shù)據(jù)顯示，目前中國互聯(lián)網(wǎng)公司的信息安全支出在整體IT支出中的比例不到1%，而對安全性要求比較高的金融行業(yè)為10%，歐美互聯(lián)網(wǎng)公司的安全支出占比普遍為8%-10%。瑞星安全專家稱，“泄露門”最根本的原因是一些互聯(lián)網(wǎng)企業(yè)沒有建立完善的安全防護機制，不但對來自外網(wǎng)的威脅無法攔截，而且對內(nèi)網(wǎng)安全防護也沒有做到位。大部分電子商務網(wǎng)站僅部署傳統(tǒng)的安全措施，如用系統(tǒng)和網(wǎng)絡防火墻來防護傳統(tǒng)的攻擊，但對于新型針對應用層的入侵攻擊，并沒有采取相應的安全措施。實際上，網(wǎng)站安全投入的數(shù)額并不太高。寧志翔透露，以一家中型網(wǎng)站為例，部署應有的安全防護措施每年只需投入十幾萬元到幾十萬元，這對于電子商務等已經(jīng)融資正在“燒錢”發(fā)展的互聯(lián)網(wǎng)企業(yè)而言，其實是很容易實現(xiàn)的。但令人失望的是，更多的企業(yè)關(guān)注的是擴張的速度而無視信息安全。監(jiān)管與立法雙管齊下對于信息安全的解決之道，很多業(yè)界專家都認為應該使用法律手段，唯其如此，才能真正解決日益嚴重的信息安全問題。寧志翔說：“信息安全應該上升到國家利益的高度，應該在最高立法層面予以規(guī)范，地方利益和行業(yè)利益都要服從它，而現(xiàn)在立法缺失，談如何保證信息安全只能是一句空話?！彼ㄗh，國家相關(guān)部門應該加緊制定一些信息安全管理條例，因為法律出臺的速度較慢，條例則相對較快，而且，條例中的規(guī)定如有不合理的地方，修改起來也相對容易。在操作層面上，業(yè)內(nèi)人士建議互聯(lián)網(wǎng)企業(yè)應該加強建立監(jiān)管機制。正如“堡壘都是從內(nèi)部攻破”，互聯(lián)網(wǎng)企業(yè)更應該