在线播放亚洲精品,亚洲一二在线

2011年底大爆發(fā)的中國互聯(lián)網(wǎng)泄露危機，暴露了網(wǎng)站安全保護的薄弱，將業(yè)界對中國互聯(lián)網(wǎng)的安全信任感推向了崩盤的邊緣。

數(shù)億的用戶信息遭泄露，凸顯了中國互聯(lián)網(wǎng)公司的安全機制如同一道紙糊的墻。

1月11日，“泄密門”發(fā)生的20天后，作為第一個被公開報道的受害者，中國軟件開發(fā)聯(lián)盟（以下簡稱CSDN）在北京宣布，將攜手阿里云邁出建立網(wǎng)絡安全體系的第一步——為開發(fā)者打造安全可信的平臺，從隔離核心數(shù)據(jù)開始。同時，CSDN公開承認包括自己在內(nèi)的國內(nèi)諸多網(wǎng)站的安全意識薄弱問題是導致用戶信息密集泄露的關鍵。

CSDN所做的一切被業(yè)內(nèi)看作是其挽回不利影響的重要行動。

2011年12月21日，業(yè)界傳出國內(nèi)最大程序員網(wǎng)站CSDN被黑客“成功擊敗”的消息，其超過640萬個注冊用戶的信息在網(wǎng)上公開。隨后的一周內(nèi)，天涯社區(qū)、人人網(wǎng)、開心網(wǎng)和多玩網(wǎng)等十余家國內(nèi)知名網(wǎng)站近5000萬用戶的信息在網(wǎng)上被黑客公布。

由于遭泄露的網(wǎng)站覆蓋社交、電子商務甚至個別政府部門的官網(wǎng)，一夜之間，“泄密門”成為互聯(lián)網(wǎng)上一個引發(fā)廣泛恐慌的“大事件”。

截至2011年12月29日，根據(jù)國家互聯(lián)網(wǎng)應急中心（CNCERT）統(tǒng)計，CNCERT通過公開渠道獲得疑似泄露的數(shù)據(jù)庫有26個，涉及帳號、密碼2.78億條。其中，含有與網(wǎng)站、論壇相關聯(lián)信息的數(shù)據(jù)庫有12個，涉及數(shù)據(jù)1.36億條；無法判斷網(wǎng)站、論壇關聯(lián)性的數(shù)據(jù)庫有14個，涉及數(shù)據(jù)1.42億條。

有分析指出，中國互聯(lián)網(wǎng)十余年的發(fā)展中，快速擴張的互聯(lián)網(wǎng)企業(yè)不知不覺地為自己埋下了安全隱患的種子。對安全投放的不重視，透露出這些企業(yè)沒有把用戶數(shù)據(jù)放在一個正常的位置，而這無疑是對用戶信息安全的公然漠視。這樣的現(xiàn)狀為黑客提供了良好的獲利環(huán)境，助長了一次次的黑客行動。而網(wǎng)企欠下的賬，在未來必定要陸續(xù)埋單。

擴張種下毒瘤

泄密事件發(fā)生后，CSDN創(chuàng)始人、公司總裁蔣濤公開坦承此前并沒有想到數(shù)據(jù)泄露會如此嚴重。在CSDN擁有不到100臺服務器，注冊信息只包括郵箱和密碼的情況下，蔣濤一度認為，這些注冊信息并不具備太大的隱私性，也不會引起黑客的興趣。

但是，蔣濤和其他“中招”的所有網(wǎng)站都忽略了一個重要問題——黑客會將盜來的信息用于用戶數(shù)據(jù)更為敏感的網(wǎng)站（如支付寶）進行密碼刷庫比對，如果密碼是同一個，則意味著黑客們能夠輕而易舉地攻入這些網(wǎng)站，從而獲取用戶的敏感資料。

對于這種可能出現(xiàn)的后遺癥，深圳大成天下公司網(wǎng)絡安全技術專家吳魯加認為，互聯(lián)網(wǎng)用戶的隱私短板，已經(jīng)不再取決于單一企業(yè)，而是取決于所有這些握有大量用戶信息的企業(yè)中的最短板。也就是說，網(wǎng)絡信息的安全牽系每一個企業(yè)與個人。

而據(jù)蔣濤介紹，目前80%以上的互聯(lián)網(wǎng)公司都存在安全漏洞，70%以上的加密算法密碼庫都可以通過高頻碰撞破解，60%以上有安全策略的公司同樣存在著漏洞。

根據(jù)杭州安恒信息技術公司給CSDN提供的審計報告顯示，由于CSDN網(wǎng)站開源系統(tǒng)等第三方系統(tǒng)存在漏洞、應用程序存在跨站腳本漏洞等四大問題，使其網(wǎng)站存在安全風險，泄露了大量信息。

“不止CSDN一家網(wǎng)站這樣”資深安全顧問張百川表示，許多網(wǎng)站設計之初就只考慮業(yè)務而不考慮安全性。在試運行期間只要功能滿足就驗收通過。在網(wǎng)站的規(guī)劃、設計、實施、運維和廢棄等五個階段都沒有一個安全保護的考慮。這樣“湊合”用的系統(tǒng)，其安全性之低顯而易見。

根據(jù)CNNIC《第28次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，2011年上半年，有過賬號或密碼被盜經(jīng)歷的網(wǎng)民達到1.21億，占24.9%。而卡巴斯基亞太區(qū)產(chǎn)品部經(jīng)理高祎瑋對《IT時代周刊》表示，盡管近年來針對互聯(lián)網(wǎng)的安全保護技術有了很大的提升，但是很多企業(yè)沒有及時調(diào)整或升級后臺系統(tǒng)。

有業(yè)內(nèi)安全專家向本刊記者透露，國內(nèi)大部分電子商務網(wǎng)站還停留在防護墻等傳統(tǒng)的防御技術層面，對賬戶、密碼等機密數(shù)據(jù)也沒有明確的訪問規(guī)定監(jiān)控，甚至還采用明文存儲或不安全的加密存儲手段。

而某券商TMT研究部門公布的調(diào)研結果更能說明問題。該券商的研究數(shù)據(jù)顯示了目前中國互聯(lián)網(wǎng)公司的信息安全支出在整體IT支出中的比例還不到1%，安全性要求比較高的金融行業(yè)也僅在10%，而歐美互聯(lián)網(wǎng)公司的安全支出普遍占到8%-10%。

在安全支出嚴重低于歐美同行的情形下，中國整個互聯(lián)網(wǎng)的安全現(xiàn)狀當然極不樂觀。而業(yè)內(nèi)人士普遍認為“泄密門”最根本的原因正是一些互聯(lián)網(wǎng)企業(yè)沒有建立完善的安全防護機制。同時，他們也認為由于網(wǎng)絡環(huán)境競爭的激烈，互聯(lián)網(wǎng)的發(fā)展一直以擴張效率為主導，導致了安全風險或隱患的存在成為一種必然。

國內(nèi)資深網(wǎng)絡安全專家肖新光就持有類似觀點。他指出，一家網(wǎng)游企業(yè)投入100萬元來加快游戲的開發(fā)速度或增加新的功能，收益就會提前看到，而如果把這筆錢花在安全防護上，短期內(nèi)不僅看不到收益，還會影響開發(fā)的效率，甚至可能被對手甩在身后。

業(yè)內(nèi)安全專家透露，大部分網(wǎng)企缺少安全維護團隊及投入，更令人擔憂的是，與網(wǎng)民隱私財產(chǎn)息息相關的國內(nèi)電子商務網(wǎng)站少有安全部門，設立了的也不過1-2人。這樣的現(xiàn)狀，其風險不言而喻。

黑客的微妙之傷

中國網(wǎng)絡安全現(xiàn)狀堪憂，除了互聯(lián)網(wǎng)公司對安全體系建設的不重視，另一主要原因還在于黑客從中覓到了灰色商機。于是，一個似乎可被忽視的問題，變得不容忽視。

近年來，由于金錢利益的驅(qū)動及非法地下交易市場不斷擴大，黑客攻擊目標從普通用戶轉(zhuǎn)向具有更多用戶資料的企業(yè)數(shù)據(jù)庫。數(shù)據(jù)庫的安全防護也一直被列為企業(yè)IT部門的重要工作之一，但由于防范措施形同虛設，導致黑客經(jīng)常“光臨”。

僅在2011年7月，黑客對韓國SK通信發(fā)起精密攻擊，就致3500萬用戶信息外泄，而這個國家的人口總數(shù)僅為5000萬。另有安全廠商RSA被入侵，直接導致多家工業(yè)巨頭遭遇連鎖攻擊，荷蘭電子認證公司DigiNotar被入侵后宣告破產(chǎn)。

讓人稍感慶幸的是，中國互聯(lián)網(wǎng)僅是遭受了信譽損失，至今不見有公司聲稱經(jīng)濟上有所損失。“這一次，黑客是善意的，‘泄密門’爆出來的都是以前的庫。”一位不愿具名的安全行業(yè)工程師透露，實際上，他們手里有最新的庫，但出于對行業(yè)環(huán)境的考慮，沒有把這些庫爆出來。

而事實上，對于這樣善意的“警告”，在事發(fā)前就有提醒，卻并未被有關方面重視。

在這次事件中，一個名為“烏云漏洞平臺”的網(wǎng)站從不為人熟知的專業(yè)平臺一下躍入大眾視野。該平臺大批的黑客在發(fā)現(xiàn)企業(yè)漏洞時，已經(jīng)將漏洞與補丁傳到網(wǎng)上，但后來出事的多家企業(yè)中居然“無人問津”。

“民間的安全測試平臺一直不受企業(yè)待見，他們扮演的黑客角色與企業(yè)之間多年來形成了微妙關系。”有業(yè)內(nèi)人士指出，沒有企業(yè)愿意總被人在國內(nèi)常見的網(wǎng)絡安全問題上“挑錯”，也正因為如此，更有一些公司極端地認為，如果沒有黑客，企業(yè)的漏洞在某種程度上來說就不存在，“只要不暴露，就可以視而不見”。

這樣的愿景無疑是美好的，但部分黑客也有自己的游戲規(guī)則。“眾多的‘黑客’潛伏在IT互聯(lián)網(wǎng)公司。”一位不愿透露姓名的黑客表示，這些人可能白天是某企業(yè)的安全工程師，晚上就是黑客。另有傳言，竊取CSDN用戶數(shù)據(jù)也為某網(wǎng)企技術人員所為。而盜賣公司內(nèi)部信息是公開的地下商業(yè)交易，監(jiān)守自盜在中國互聯(lián)網(wǎng)公司內(nèi)部屢見不鮮。甚至有知情人士透露，一些大的互聯(lián)網(wǎng)企業(yè)甚至直接“招安”黑客，將其納入麾下。有的小網(wǎng)站每月給黑客上交1萬元到2萬元的“保護費”。

“如果企業(yè)愿意對黑客指出的漏洞給予相應的重視，并采取補救措施，危機可能還是會爆發(fā)，但肯定不會這么嚴重。”安全行業(yè)工程師表示，對于這次事件，落后的防護技術僅是誘因，本質(zhì)還是對安全防范投入的態(tài)度問題，同樣也是一個程序員的基本素養(yǎng)。

為此，高祎瑋對《IT時代周刊》強調(diào)，名為Anonymous的黑客組織曾在去年7、8月攻擊了美國多個警察部門，甚至美國國防部的信息安全咨詢公司，所以無論多高級的安全設備，多專業(yè)的安全知識，如不能在工作中嚴格應用及遵守，企業(yè)網(wǎng)絡安全都將是空中樓閣。

而就在本刊的截止發(fā)稿日，經(jīng)過北京網(wǎng)警的調(diào)查，北京市公安局外宣處的工作人員表示，今年1月10日已有兩名涉案黑客被抓，詳情還在調(diào)查中。次日，有接近工信部通信保障局的人士透露，該部門對泄密事件的調(diào)查工作已經(jīng)“告一段落”。

也正如中國計算機學會理事潘柱廷所說，熱熱鬧鬧的社會事件結束后，應當是認真地在法律、技術等方面尋找長效機制的時候了。

　　推薦閱讀

　　電商外包行業(yè)分化嚴重門檻低市場混亂

“由于傳統(tǒng)企業(yè)對互聯(lián)網(wǎng)并不了解，而第三方外包企業(yè)擁有既定的平臺系統(tǒng)、物流配置和相應的人員團隊等完整的電商運作體系，極大地減少這類企業(yè)的線上構建成本，也能夠快速進入運營狀態(tài)�！标悥|表示。 2月29日上午消息>>>詳細閱讀

本文標題：用戶隱私保護形同虛設網(wǎng)絡安全危機鳴響警報

地址：http://m.sh-jijian.com/a/guandian/yejie/20111230/165180.html

1/2 1 2 下一頁

用戶隱私保護形同虛設 網(wǎng)絡安全危機鳴響警報

用戶隱私保護形同虛設網(wǎng)絡安全危機鳴響警報