“泄密門(mén)”撕開(kāi)互聯(lián)網(wǎng)安全“遮羞布”

“泄密門(mén)”撕開(kāi)互聯(lián)網(wǎng)安全“遮羞布”

國(guó)家互聯(lián)網(wǎng)管理部門(mén)強(qiáng)力介入可能會(huì)增強(qiáng)網(wǎng)民的些許信心，但是，面對(duì)頻頻發(fā)生的“泄密門(mén)”，人們不禁要問(wèn)，在安全防護(hù)上如此脆弱的互聯(lián)網(wǎng)還能“粘”住網(wǎng)民嗎？沒(méi)有了信息安全這個(gè)“安全帶”，中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)還能繼續(xù)狂飆猛進(jìn)嗎？互聯(lián)網(wǎng)信息安全脆弱不堪CSDN數(shù)據(jù)泄露事件好像是一個(gè)導(dǎo)火索，讓一直遠(yuǎn)離大眾視野的信息安全成為熱點(diǎn)。來(lái)自國(guó)家互聯(lián)網(wǎng)信息辦的消息顯示，網(wǎng)上熱傳的一系列泄密事件中，經(jīng)查只有CSDN、天涯網(wǎng)站曾在2009年以前被入侵，數(shù)據(jù)遭泄露也發(fā)生在兩年前，近期這兩家網(wǎng)站并未遭受攻擊。京東商城網(wǎng)站也遭入侵，但數(shù)據(jù)未泄露。而廣東“YY”語(yǔ)音聊天網(wǎng)站泄露的數(shù)據(jù)，則為該公司員工利用職務(wù)之便從公司內(nèi)部備份數(shù)據(jù)庫(kù)竊取的，網(wǎng)站并未被入侵。至于工商銀行等金融機(jī)構(gòu)數(shù)據(jù)泄露事件則被證實(shí)是謠言，工行等銀行系統(tǒng)并未被入侵，網(wǎng)上公布的所謂“數(shù)據(jù)”與銀行相關(guān)數(shù)據(jù)不符。備受網(wǎng)民關(guān)注的新浪微博、開(kāi)心網(wǎng)、7K7K網(wǎng)站、當(dāng)當(dāng)網(wǎng)、凡客誠(chéng)品等網(wǎng)站均未被入侵。網(wǎng)上公布的上述網(wǎng)站部分賬號(hào)密碼系有人利用網(wǎng)絡(luò)遠(yuǎn)程大規(guī)模猜測(cè)密碼所破解，實(shí)施密碼破解的人員身份目前已被鎖定，公安機(jī)關(guān)正在實(shí)施抓捕。截至目前，公安機(jī)關(guān)此次已查處入侵、竊取、倒賣(mài)數(shù)據(jù)案件9起，編造并炒作信息泄露案件3起，刑事拘留4人，予以治安處罰8人。瑞星昨日最新發(fā)布的《2011年度安全報(bào)告》也顯露出信息安全形勢(shì)的嚴(yán)峻。報(bào)告指，當(dāng)前威脅國(guó)內(nèi)互聯(lián)網(wǎng)安全的因素主要是病毒和木馬等惡意程序、釣魚(yú)詐騙、黑客“拖庫(kù)”攻擊，這其中，黑客以取得的用戶數(shù)據(jù)庫(kù)為基礎(chǔ)，利用“社會(huì)工程學(xué)”原理對(duì)用戶進(jìn)行全面的詐騙、密碼猜解、身份偽造、病毒和掛馬等攻擊，這種新型攻擊已經(jīng)全面滲透到黑色產(chǎn)業(yè)的各個(gè)環(huán)節(jié)，顯示出巨大的現(xiàn)實(shí)危害。有調(diào)查數(shù)據(jù)顯示，單個(gè)受害用戶的受損金額較往年增長(zhǎng)較多，黑客通過(guò)MSN和QQ進(jìn)行“老同學(xué)，幫我買(mǎi)幾張充值卡”詐騙，利用團(tuán)購(gòu)進(jìn)行“假iPhone詐騙”，利用搜索引擎廣告來(lái)出售假冒偽劣商品等多種新型釣魚(yú)詐騙方式，使得網(wǎng)民一旦中招，就會(huì)損失數(shù)千、甚至上萬(wàn)的金錢(qián)。事實(shí)上，“泄密門(mén)”不僅發(fā)生在中國(guó)互聯(lián)網(wǎng)上，針對(duì)大型網(wǎng)絡(luò)服務(wù)商的“拖庫(kù)”攻擊已經(jīng)席卷全球，即使強(qiáng)大如美、日、韓等國(guó)的互聯(lián)網(wǎng)，進(jìn)入2011年以來(lái)都面臨著同類(lèi)問(wèn)題，單單在上半年，就有日本索尼公司、美國(guó)wordpress等網(wǎng)站遭攻擊，損失慘重。高速擴(kuò)張下的隱憂面對(duì)層出不窮的黑客攻擊，互聯(lián)網(wǎng)為何如此脆弱？許多業(yè)界專(zhuān)家都在對(duì)此進(jìn)行反思。量子在線CEO寧志翔長(zhǎng)期在美國(guó)硅谷工作，其設(shè)在硅谷的實(shí)驗(yàn)室尤其重視信息安全，聘請(qǐng)的安全類(lèi)工程師年薪超過(guò)20多萬(wàn)美元。在他看來(lái)，近十年以來(lái)，國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)只重視規(guī)模擴(kuò)張，追求高速增長(zhǎng)，對(duì)信息安全的投入很少甚至是沒(méi)有?！霸谀撤N程度上，我可以說(shuō)中國(guó)互聯(lián)網(wǎng)存在一批豆腐渣工程，很多網(wǎng)站都是互相抄襲，只想著賺快錢(qián)，連基本的安全防護(hù)也沒(méi)有。而且，有些網(wǎng)站使用盜版軟件，無(wú)法及時(shí)更新，這些網(wǎng)站相當(dāng)于是紙糊的房子，安全性根本無(wú)法保障?！钡拇_，在互聯(lián)網(wǎng)業(yè)內(nèi)，安全維護(hù)未受到重視。有調(diào)研數(shù)據(jù)顯示，目前中國(guó)互聯(lián)網(wǎng)公司的信息安全支出在整體IT支出中的比例不到1%，而對(duì)安全性要求比較高的金融行業(yè)為10%，歐美互聯(lián)網(wǎng)公司的安全支出占比普遍為8%-10%。瑞星安全專(zhuān)家稱(chēng)，“泄露門(mén)”最根本的原因是一些互聯(lián)網(wǎng)企業(yè)沒(méi)有建立完善的安全防護(hù)機(jī)制，不但對(duì)來(lái)自外網(wǎng)的威脅無(wú)法攔截，而且對(duì)內(nèi)網(wǎng)安全防護(hù)也沒(méi)有做到位。大部分電子商務(wù)網(wǎng)站僅部署傳統(tǒng)的安全措施，如用系統(tǒng)和網(wǎng)絡(luò)防火墻來(lái)防護(hù)傳統(tǒng)的攻擊，但對(duì)于新型針對(duì)應(yīng)用層的入侵攻擊，并沒(méi)有采取相應(yīng)的安全措施。實(shí)際上，網(wǎng)站安全投入的數(shù)額并不太高。寧志翔透露，以一家中型網(wǎng)站為例，部署應(yīng)有的安全防護(hù)措施每年只需投入十幾萬(wàn)元到幾十萬(wàn)元，這對(duì)于電子商務(wù)等已經(jīng)融資正在“燒錢(qián)”發(fā)展的互聯(lián)網(wǎng)企業(yè)而言，其實(shí)是很容易實(shí)現(xiàn)的。但令人失望的是，更多的企業(yè)關(guān)注的是擴(kuò)張的速度而無(wú)視信息安全。監(jiān)管與立法雙管齊下對(duì)于信息安全的解決之道，很多業(yè)界專(zhuān)家都認(rèn)為應(yīng)該使用法律手段，唯其如此，才能真正解決日益嚴(yán)重的信息安全問(wèn)題。寧志翔說(shuō)：“信息安全應(yīng)該上升到國(guó)家利益的高度，應(yīng)該在最高立法層面予以規(guī)范，地方利益和行業(yè)利益都要服從它，而現(xiàn)在立法缺失，談如何保證信息安全只能是一句空話?！彼ㄗh，國(guó)家相關(guān)部門(mén)應(yīng)該加緊制定一些信息安全管理?xiàng)l例，因?yàn)榉沙雠_(tái)的速度較慢，條例則相對(duì)較快，而且，條例中的規(guī)定如有不合理的地方，修改起來(lái)也相對(duì)容易。在操作層面上，業(yè)內(nèi)人士建議互聯(lián)網(wǎng)企業(yè)應(yīng)該加強(qiáng)建立監(jiān)管機(jī)制。正如“堡壘都是從內(nèi)部攻破”，互聯(lián)網(wǎng)企業(yè)更應(yīng)該