安全問題不斷升級 網(wǎng)絡(luò)世界如何應(yīng)對

來源:網(wǎng)賺120的空間 2012-01-10

2011年年底，“改密碼了嗎”成了一句網(wǎng)絡(luò)流行的問候語。事情的緣起是，2011年12月21日，國內(nèi)最大的程序員社區(qū)網(wǎng)站CSDN被爆出有超過600  萬用戶的注冊資料遭泄露。隨后還有消息說，有多家網(wǎng)站的用戶信息也被泄露，于是很多網(wǎng)站提醒注冊用戶，盡快修改注冊密碼，尤其是在不同網(wǎng)站注冊的賬戶，不要使用相同的密碼，以防被黑客破解。

　　這場密碼危機引發(fā)了IT界的大討論：那些放在互聯(lián)網(wǎng)虛擬世界的個人信息究竟該如何保護？在很多專家看來，此次密碼泄露事件正在拷問我國的互聯(lián)網(wǎng)安全。

　　1月6日召開的中國計算機學(xué)會青年計算機科技論壇上，CSDN總裁蔣濤坦言，作為一個論壇性質(zhì)的社區(qū)網(wǎng)站，過去確實忽視了網(wǎng)絡(luò)安全問題。

　　國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長杜躍進則指出，網(wǎng)站對互聯(lián)網(wǎng)安全的重視程度并沒有跟網(wǎng)絡(luò)日新月異的發(fā)展同步�？梢哉f，互聯(lián)網(wǎng)安全一直沒有受到應(yīng)有的重視。其短板問題還體現(xiàn)在法律法規(guī)方面。北京郵電大學(xué)教授李欲曉介紹說，根據(jù)現(xiàn)有的法律，網(wǎng)民很難就自己的信息被泄露進行維權(quán)。

　　CSDN承認對安全問題重視不夠

　　論壇上，蔣濤首次披露了該網(wǎng)站的安全審計報告。而在過去的10多天里，蔣濤被反復(fù)追問的問題是，用戶的信息是怎么被泄露出去的，哪個環(huán)節(jié)出了問題？

　　蔣濤介紹說，去年12月21日，泄露事件被披露的當(dāng)天，CSDN就請了一家網(wǎng)絡(luò)安全技術(shù)公司對網(wǎng)站安全進行審計。根據(jù)安全公司提供的審計報告，此次  CSDN資料泄露事件暴露出該網(wǎng)站的四個安全問題：第一是開源系統(tǒng)等第三方系統(tǒng)存在漏洞，導(dǎo)致CSDN系統(tǒng)存在安全風(fēng)險；其次是應(yīng)用程序存在跨站腳本漏洞；第三，網(wǎng)站存在大量系統(tǒng)后臺認證漏洞，如安全等級較弱的口令等；第四，一些已經(jīng)停用但還在線上的老系統(tǒng)由于安全級別低，泄露了大量信息。

　　CSDN是一個以論壇用戶為主的社區(qū)，負責(zé)人蔣濤一直認為，這樣一個程序員討論技術(shù)問題的網(wǎng)站，對黑客來說沒有太多的商業(yè)利益可以挖掘，所以并沒有高度重視網(wǎng)站的安全問題，直到此次用戶資料被泄露。

　　蔣濤說，他們有將近100臺服務(wù)器，但只有3個運維人員。運維工作包括老的系統(tǒng)漏洞升級、數(shù)據(jù)備份、認證管理等，3個人根本做不過來，最終導(dǎo)致隱患爆發(fā)。

　　在談到未來解決密碼泄露措施時，蔣濤介紹說，為了減小數(shù)據(jù)泄露的風(fēng)險，提高網(wǎng)站系統(tǒng)的安全性，CSDN目前正在向安全部門申請信息系統(tǒng)等級保護，以接受信息安全監(jiān)管部門的監(jiān)督管理。

　　此外，CSDN還會強化網(wǎng)站核心服務(wù)的安全，把網(wǎng)站的非核心服務(wù)與核心業(yè)務(wù)進行隔離，以減小系統(tǒng)安全風(fēng)險。同時，CSDN將采取相關(guān)措施，加大黑客獲得數(shù)據(jù)的成本，降低網(wǎng)站數(shù)據(jù)對黑客的價值。據(jù)了解，CSDN也將在網(wǎng)站后臺引入安全審核機制，從內(nèi)部杜絕數(shù)據(jù)泄露的可能性。

　　互聯(lián)網(wǎng)安全警鐘早已敲響

　　有網(wǎng)民說，CSDN密碼泄露事件敲響了中國互聯(lián)網(wǎng)安全的警鐘，但在杜躍進看來，過去10年間，警鐘早已敲響多次，但互聯(lián)網(wǎng)安全一直沒有受到應(yīng)有的重視。

　　杜躍進說，在互聯(lián)網(wǎng)發(fā)展的初期，網(wǎng)站安全可能就是個面子問題：被黑客攻擊了，網(wǎng)站面子上不好看。但隨著互聯(lián)網(wǎng)日新月異的發(fā)展，網(wǎng)絡(luò)成為人們?nèi)粘Ｉ�活的一部分，那些與百姓生活密切相關(guān)的網(wǎng)站一旦受到攻擊，有可能影響到社會的運轉(zhuǎn)。遺憾的是，網(wǎng)絡(luò)在社會生活中的地位越來越重要，但網(wǎng)絡(luò)的安全問題卻沒有得到足夠重視。

　　根據(jù)杜躍進的分析，過去10年來，黑客對網(wǎng)絡(luò)安全的攻擊水平步步提升。最早可能就是把網(wǎng)站黑了，或者篡改一下網(wǎng)站的內(nèi)容；后來，就出現(xiàn)了趨利性的攻擊，比如釣魚設(shè)套，掛木馬盜取用戶的賬戶；再后來，就出現(xiàn)了竊取網(wǎng)站后臺數(shù)據(jù)牟利的行為。但網(wǎng)站的安全防守并沒有與黑客的攻擊水平同步升級。

　　在杜躍進看來，在網(wǎng)絡(luò)安全較量中，攻擊者屢屢得手有三方面的原因。首先是網(wǎng)站的安全意識淡薄。網(wǎng)站經(jīng)營商或者是服務(wù)提供商既不重視安全問題，也不知道該怎么做。杜躍進舉例說，不久前他曾被邀請去參加一個網(wǎng)絡(luò)媒體大會，輪到他講安全問題時，很多單位的負責(zé)人都走了。于是他就問：“如果發(fā)生重大網(wǎng)絡(luò)安全事件該怎么辦？”因為能做決定的領(lǐng)導(dǎo)不在！

　　其次是技術(shù)上的短板。再者是制度缺陷，很多網(wǎng)站認為安全不是什么大問題，以至于制度安排上沒有體現(xiàn)對安全的重視。

　　法律短板致用戶維權(quán)難

　　這次CSDN密碼泄露事件，個人用戶是直接受害者。李欲曉認為，此次事件中，用戶隱私權(quán)和名譽權(quán)都受到了不同程度的侵害，但要維權(quán)卻困難重重。

　　李欲曉分析此次CSDN密碼泄露事件中的法律責(zé)任時認為，在此次事件中，網(wǎng)絡(luò)服務(wù)提供者和黑客攻擊者顯然有責(zé)任，但由于與網(wǎng)絡(luò)安全相關(guān)的立法滯后，目前追究網(wǎng)站和黑客的法律責(zé)任較為困難，現(xiàn)有的法律法規(guī)對國家安全、個人權(quán)益的保護都有缺失。

　　據(jù)李欲曉介紹，目前我國很多法律條款，比如《刑法修正案（七）》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等都有涉及個人信息法律保護的內(nèi)容，但是其中并未提到用戶因網(wǎng)站遭受黑客攻擊密碼泄露，或者用戶因此受到損失，網(wǎng)站應(yīng)該承擔(dān)怎么樣的責(zé)任。

　　一個嚴峻的現(xiàn)實是，目前的法律對黑客的破壞行為可能難有約束力。

　　早在2009年《刑法修正案（七）》新增的“侵犯公民信息安全罪”，就已經(jīng)對黑客、商業(yè)網(wǎng)站或者其內(nèi)部人員惡意泄露用戶信息牟利的行為作出追究責(zé)任的規(guī)定。因此，黑客此類行為構(gòu)成犯罪，但問題的關(guān)鍵是“黑客在哪兒，他們是誰？”黑客都追不到，該如何定罪。

　　對用戶來說，可以向公安機關(guān)報案，但依據(jù)現(xiàn)有的法律只能尋求民事賠償，而且個人如何通過技術(shù)手段查到黑客身份，或者界定經(jīng)濟損失都存在很大難度，個人用戶維權(quán)非常難。李欲曉說：“因為電子證據(jù)技術(shù)性太強，而且很容易被篡改，所以取證很難�！�

　　在論壇現(xiàn)場有人提問李欲曉，如果因為密碼泄露導(dǎo)致銀行賬戶的資金被竊取，能不能起訴銀行或者網(wǎng)站。李欲曉直言，依據(jù)現(xiàn)有的法律法規(guī)可以進行這方面的訴訟。但起訴之后不一定會得到有利的判決，因為在侵權(quán)責(zé)任法和民法方面，還沒有明確的規(guī)定。

　　用戶不是計算機專家

　　杜躍進介紹說，解決互聯(lián)網(wǎng)安全問題，政府的推動作用非常重要。政府應(yīng)該在政策、標(biāo)準(zhǔn)制定、監(jiān)督、檢查等方面起作用。比如說，代碼安全不被重視，政府可以提要求，一定級別的代碼要經(jīng)過第三方監(jiān)測。

　　李欲曉說，目前我國網(wǎng)絡(luò)法律還不健全，國家應(yīng)加強網(wǎng)絡(luò)法律建設(shè)，尤其是出臺網(wǎng)絡(luò)安全的相關(guān)法規(guī)，保證網(wǎng)民能夠在一個安全可信環(huán)境下去享受互聯(lián)網(wǎng)提供的便利。

　　杜躍進說，除了政府的推動，網(wǎng)站服務(wù)商本身也要有長遠戰(zhàn)略與社會責(zé)任，尤其是面對新的黑客威脅，單靠用戶安全意識不斷提高并不能解決問題。永遠不要期待用戶安全意識能提到足夠高的水平。用戶就是用戶，不是計算機專家，不能要求他們整天想著計算機有什么毛病。

　　作為被黑客攻擊的受害者，蔣濤建議，應(yīng)在業(yè)界建立共享安全技術(shù)聯(lián)盟，大家共享安全公共知識庫，共同提升開發(fā)人員的安全技術(shù)水平。

　　李欲曉則認為，網(wǎng)絡(luò)安全需要一個整體的網(wǎng)絡(luò)安全環(huán)境，“我們已經(jīng)進入網(wǎng)絡(luò)社會，現(xiàn)在有5億人在使用互聯(lián)網(wǎng)，每個用戶的生活和財產(chǎn)信息、個人隱私全在網(wǎng)上。但是我們在各個方面似乎準(zhǔn)備得還不充分，無論是網(wǎng)絡(luò)服務(wù)企業(yè)還是網(wǎng)絡(luò)安全企業(yè)，包括網(wǎng)民自己，都應(yīng)該想想今后面對這樣的網(wǎng)絡(luò)社會該做什么準(zhǔn)備”。

本文由AiWeTalk在線客服（m.hobatec.cn）網(wǎng)絡(luò)推廣整理

我的評論

登錄賬號：

密碼：

快速注冊 | 找回密碼