安全問(wèn)題不斷升級(jí) 網(wǎng)絡(luò)世界如何應(yīng)對(duì)

來(lái)源:網(wǎng)賺120的空間 2012-01-10

2011年年底，“改密碼了嗎”成了一句網(wǎng)絡(luò)流行的問(wèn)候語(yǔ)。事情的緣起是，2011年12月21日，國(guó)內(nèi)最大的程序員社區(qū)網(wǎng)站CSDN被爆出有超過(guò)600  萬(wàn)用戶的注冊(cè)資料遭泄露。隨后還有消息說(shuō)，有多家網(wǎng)站的用戶信息也被泄露，于是很多網(wǎng)站提醒注冊(cè)用戶，盡快修改注冊(cè)密碼，尤其是在不同網(wǎng)站注冊(cè)的賬戶，不要使用相同的密碼，以防被黑客破解。

　　這場(chǎng)密碼危機(jī)引發(fā)了IT界的大討論：那些放在互聯(lián)網(wǎng)虛擬世界的個(gè)人信息究竟該如何保護(hù)？在很多專家看來(lái)，此次密碼泄露事件正在拷問(wèn)我國(guó)的互聯(lián)網(wǎng)安全。

　　1月6日召開(kāi)的中國(guó)計(jì)算機(jī)學(xué)會(huì)青年計(jì)算機(jī)科技論壇上，CSDN總裁蔣濤坦言，作為一個(gè)論壇性質(zhì)的社區(qū)網(wǎng)站，過(guò)去確實(shí)忽視了網(wǎng)絡(luò)安全問(wèn)題。

　　國(guó)家網(wǎng)絡(luò)信息安全技術(shù)研究所所長(zhǎng)杜躍進(jìn)則指出，網(wǎng)站對(duì)互聯(lián)網(wǎng)安全的重視程度并沒(méi)有跟網(wǎng)絡(luò)日新月異的發(fā)展同步。可以說(shuō)，互聯(lián)網(wǎng)安全一直沒(méi)有受到應(yīng)有的重視。其短板問(wèn)題還體現(xiàn)在法律法規(guī)方面。北京郵電大學(xué)教授李欲曉介紹說(shuō)，根據(jù)現(xiàn)有的法律，網(wǎng)民很難就自己的信息被泄露進(jìn)行維權(quán)。

　　CSDN承認(rèn)對(duì)安全問(wèn)題重視不夠

　　論壇上，蔣濤首次披露了該網(wǎng)站的安全審計(jì)報(bào)告。而在過(guò)去的10多天里，蔣濤被反復(fù)追問(wèn)的問(wèn)題是，用戶的信息是怎么被泄露出去的，哪個(gè)環(huán)節(jié)出了問(wèn)題？

　　蔣濤介紹說(shuō)，去年12月21日，泄露事件被披露的當(dāng)天，CSDN就請(qǐng)了一家網(wǎng)絡(luò)安全技術(shù)公司對(duì)網(wǎng)站安全進(jìn)行審計(jì)。根據(jù)安全公司提供的審計(jì)報(bào)告，此次  CSDN資料泄露事件暴露出該網(wǎng)站的四個(gè)安全問(wèn)題：第一是開(kāi)源系統(tǒng)等第三方系統(tǒng)存在漏洞，導(dǎo)致CSDN系統(tǒng)存在安全風(fēng)險(xiǎn)；其次是應(yīng)用程序存在跨站腳本漏洞；第三，網(wǎng)站存在大量系統(tǒng)后臺(tái)認(rèn)證漏洞，如安全等級(jí)較弱的口令等；第四，一些已經(jīng)停用但還在線上的老系統(tǒng)由于安全級(jí)別低，泄露了大量信息。

　　CSDN是一個(gè)以論壇用戶為主的社區(qū)，負(fù)責(zé)人蔣濤一直認(rèn)為，這樣一個(gè)程序員討論技術(shù)問(wèn)題的網(wǎng)站，對(duì)黑客來(lái)說(shuō)沒(méi)有太多的商業(yè)利益可以挖掘，所以并沒(méi)有高度重視網(wǎng)站的安全問(wèn)題，直到此次用戶資料被泄露。

　　蔣濤說(shuō)，他們有將近100臺(tái)服務(wù)器，但只有3個(gè)運(yùn)維人員。運(yùn)維工作包括老的系統(tǒng)漏洞升級(jí)、數(shù)據(jù)備份、認(rèn)證管理等，3個(gè)人根本做不過(guò)來(lái)，最終導(dǎo)致隱患爆發(fā)。

　　在談到未來(lái)解決密碼泄露措施時(shí)，蔣濤介紹說(shuō)，為了減小數(shù)據(jù)泄露的風(fēng)險(xiǎn)，提高網(wǎng)站系統(tǒng)的安全性，CSDN目前正在向安全部門申請(qǐng)信息系統(tǒng)等級(jí)保護(hù)，以接受信息安全監(jiān)管部門的監(jiān)督管理。

　　此外，CSDN還會(huì)強(qiáng)化網(wǎng)站核心服務(wù)的安全，把網(wǎng)站的非核心服務(wù)與核心業(yè)務(wù)進(jìn)行隔離，以減小系統(tǒng)安全風(fēng)險(xiǎn)。同時(shí)，CSDN將采取相關(guān)措施，加大黑客獲得數(shù)據(jù)的成本，降低網(wǎng)站數(shù)據(jù)對(duì)黑客的價(jià)值。據(jù)了解，CSDN也將在網(wǎng)站后臺(tái)引入安全審核機(jī)制，從內(nèi)部杜絕數(shù)據(jù)泄露的可能性。

　　互聯(lián)網(wǎng)安全警鐘早已敲響

　　有網(wǎng)民說(shuō)，CSDN密碼泄露事件敲響了中國(guó)互聯(lián)網(wǎng)安全的警鐘，但在杜躍進(jìn)看來(lái)，過(guò)去10年間，警鐘早已敲響多次，但互聯(lián)網(wǎng)安全一直沒(méi)有受到應(yīng)有的重視。

　　杜躍進(jìn)說(shuō)，在互聯(lián)網(wǎng)發(fā)展的初期，網(wǎng)站安全可能就是個(gè)面子問(wèn)題：被黑客攻擊了，網(wǎng)站面子上不好看。但隨著互聯(lián)網(wǎng)日新月異的發(fā)展，網(wǎng)絡(luò)成為人們?nèi)粘Ｉ�活的一部分，那些與百姓生活密切相關(guān)的網(wǎng)站一旦受到攻擊，有可能影響到社會(huì)的運(yùn)轉(zhuǎn)。遺憾的是，網(wǎng)絡(luò)在社會(huì)生活中的地位越來(lái)越重要，但網(wǎng)絡(luò)的安全問(wèn)題卻沒(méi)有得到足夠重視。

　　根據(jù)杜躍進(jìn)的分析，過(guò)去10年來(lái)，黑客對(duì)網(wǎng)絡(luò)安全的攻擊水平步步提升。最早可能就是把網(wǎng)站黑了，或者篡改一下網(wǎng)站的內(nèi)容；后來(lái)，就出現(xiàn)了趨利性的攻擊，比如釣魚設(shè)套，掛木馬盜取用戶的賬戶；再后來(lái)，就出現(xiàn)了竊取網(wǎng)站后臺(tái)數(shù)據(jù)牟利的行為。但網(wǎng)站的安全防守并沒(méi)有與黑客的攻擊水平同步升級(jí)。

　　在杜躍進(jìn)看來(lái)，在網(wǎng)絡(luò)安全較量中，攻擊者屢屢得手有三方面的原因。首先是網(wǎng)站的安全意識(shí)淡薄。網(wǎng)站經(jīng)營(yíng)商或者是服務(wù)提供商既不重視安全問(wèn)題，也不知道該怎么做。杜躍進(jìn)舉例說(shuō)，不久前他曾被邀請(qǐng)去參加一個(gè)網(wǎng)絡(luò)媒體大會(huì)，輪到他講安全問(wèn)題時(shí)，很多單位的負(fù)責(zé)人都走了。于是他就問(wèn)：“如果發(fā)生重大網(wǎng)絡(luò)安全事件該怎么辦？”因?yàn)槟茏鰶Q定的領(lǐng)導(dǎo)不在！

　　其次是技術(shù)上的短板。再者是制度缺陷，很多網(wǎng)站認(rèn)為安全不是什么大問(wèn)題，以至于制度安排上沒(méi)有體現(xiàn)對(duì)安全的重視。

　　法律短板致用戶維權(quán)難

　　這次CSDN密碼泄露事件，個(gè)人用戶是直接受害者。李欲曉認(rèn)為，此次事件中，用戶隱私權(quán)和名譽(yù)權(quán)都受到了不同程度的侵害，但要維權(quán)卻困難重重。

　　李欲曉分析此次CSDN密碼泄露事件中的法律責(zé)任時(shí)認(rèn)為，在此次事件中，網(wǎng)絡(luò)服務(wù)提供者和黑客攻擊者顯然有責(zé)任，但由于與網(wǎng)絡(luò)安全相關(guān)的立法滯后，目前追究網(wǎng)站和黑客的法律責(zé)任較為困難，現(xiàn)有的法律法規(guī)對(duì)國(guó)家安全、個(gè)人權(quán)益的保護(hù)都有缺失。

　　據(jù)李欲曉介紹，目前我國(guó)很多法律條款，比如《刑法修正案（七）》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等都有涉及個(gè)人信息法律保護(hù)的內(nèi)容，但是其中并未提到用戶因網(wǎng)站遭受黑客攻擊密碼泄露，或者用戶因此受到損失，網(wǎng)站應(yīng)該承擔(dān)怎么樣的責(zé)任。

　　一個(gè)嚴(yán)峻的現(xiàn)實(shí)是，目前的法律對(duì)黑客的破壞行為可能難有約束力。

　　早在2009年《刑法修正案（七）》新增的“侵犯公民信息安全罪”，就已經(jīng)對(duì)黑客、商業(yè)網(wǎng)站或者其內(nèi)部人員惡意泄露用戶信息牟利的行為作出追究責(zé)任的規(guī)定。因此，黑客此類行為構(gòu)成犯罪，但問(wèn)題的關(guān)鍵是“黑客在哪兒，他們是誰(shuí)？”黑客都追不到，該如何定罪。

　　對(duì)用戶來(lái)說(shuō)，可以向公安機(jī)關(guān)報(bào)案，但依據(jù)現(xiàn)有的法律只能尋求民事賠償，而且個(gè)人如何通過(guò)技術(shù)手段查到黑客身份，或者界定經(jīng)濟(jì)損失都存在很大難度，個(gè)人用戶維權(quán)非常難。李欲曉說(shuō)：“因?yàn)殡娮幼C據(jù)技術(shù)性太強(qiáng)，而且很容易被篡改，所以取證很難。”

　　在論壇現(xiàn)場(chǎng)有人提問(wèn)李欲曉，如果因?yàn)槊艽a泄露導(dǎo)致銀行賬戶的資金被竊取，能不能起訴銀行或者網(wǎng)站。李欲曉直言，依據(jù)現(xiàn)有的法律法規(guī)可以進(jìn)行這方面的訴訟。但起訴之后不一定會(huì)得到有利的判決，因?yàn)樵谇謾?quán)責(zé)任法和民法方面，還沒(méi)有明確的規(guī)定。

　　用戶不是計(jì)算機(jī)專家

　　杜躍進(jìn)介紹說(shuō)，解決互聯(lián)網(wǎng)安全問(wèn)題，政府的推動(dòng)作用非常重要。政府應(yīng)該在政策、標(biāo)準(zhǔn)制定、監(jiān)督、檢查等方面起作用。比如說(shuō)，代碼安全不被重視，政府可以提要求，一定級(jí)別的代碼要經(jīng)過(guò)第三方監(jiān)測(cè)。

　　李欲曉說(shuō)，目前我國(guó)網(wǎng)絡(luò)法律還不健全，國(guó)家應(yīng)加強(qiáng)網(wǎng)絡(luò)法律建設(shè)，尤其是出臺(tái)網(wǎng)絡(luò)安全的相關(guān)法規(guī)，保證網(wǎng)民能夠在一個(gè)安全可信環(huán)境下去享受互聯(lián)網(wǎng)提供的便利。

　　杜躍進(jìn)說(shuō)，除了政府的推動(dòng)，網(wǎng)站服務(wù)商本身也要有長(zhǎng)遠(yuǎn)戰(zhàn)略與社會(huì)責(zé)任，尤其是面對(duì)新的黑客威脅，單靠用戶安全意識(shí)不斷提高并不能解決問(wèn)題。永遠(yuǎn)不要期待用戶安全意識(shí)能提到足夠高的水平。用戶就是用戶，不是計(jì)算機(jī)專家，不能要求他們整天想著計(jì)算機(jī)有什么毛病。

　　作為被黑客攻擊的受害者，蔣濤建議，應(yīng)在業(yè)界建立共享安全技術(shù)聯(lián)盟，大家共享安全公共知識(shí)庫(kù)，共同提升開(kāi)發(fā)人員的安全技術(shù)水平。

　　李欲曉則認(rèn)為，網(wǎng)絡(luò)安全需要一個(gè)整體的網(wǎng)絡(luò)安全環(huán)境，“我們已經(jīng)進(jìn)入網(wǎng)絡(luò)社會(huì)，現(xiàn)在有5億人在使用互聯(lián)網(wǎng)，每個(gè)用戶的生活和財(cái)產(chǎn)信息、個(gè)人隱私全在網(wǎng)上。但是我們?cè)诟鱾�(gè)方面似乎準(zhǔn)備得還不充分，無(wú)論是網(wǎng)絡(luò)服務(wù)企業(yè)還是網(wǎng)絡(luò)安全企業(yè)，包括網(wǎng)民自己，都應(yīng)該想想今后面對(duì)這樣的網(wǎng)絡(luò)社會(huì)該做什么準(zhǔn)備”。

本文由AiWeTalk在線客服（reidrightsolutions.com）網(wǎng)絡(luò)推廣整理

我的評(píng)論

登錄賬號(hào)：

密碼：

快速注冊(cè) | 找回密碼