我的信息誰(shuí)維護(hù)?——由CSDN“泄密門(mén)”看網(wǎng)站信息安全建設(shè)

| 文 · 本刊實(shí)習(xí)記者 張夢(mèng)星

2011年12月21日，中文IT技術(shù)社區(qū)CSDN網(wǎng)站數(shù)據(jù)庫(kù)遭黑客入侵，600萬(wàn)用戶(hù)的登錄名及密碼慘遭泄露，用戶(hù)隱私信息淪為了黑客炫耀的戰(zhàn)利品。更有甚者將泄露用戶(hù)信息做成壓縮包，上傳至網(wǎng)絡(luò)供人下載，構(gòu)成以獲取利益為目標(biāo)的違法行為。至此，泄密事件一發(fā)不可收拾，逐步衍化為一起波及多方的社會(huì)事件。

中國(guó)軟件開(kāi)發(fā)聯(lián)盟CSDN（Chinese Software Develop Net）是中國(guó)最大的IT知識(shí)服務(wù)集團(tuán)，從事IT信息傳播、技術(shù)交流、教育培訓(xùn)和專(zhuān)業(yè)技術(shù)人才服務(wù)。CSDN擁有超過(guò)1800萬(wàn)注冊(cè)會(huì)員、10000名CTO、50萬(wàn)注冊(cè)企業(yè)及合作伙伴，全球中文網(wǎng)站排名第27位?？梢韵胂螅@樣一個(gè)企業(yè)的用戶(hù)數(shù)據(jù)被泄露，后果不堪設(shè)想。

CSDN“泄密門(mén)”事件之所以有如此廣泛的影響，還因?yàn)樽鳛橐粋€(gè)開(kāi)發(fā)者、程序員匯集的技術(shù)社區(qū)網(wǎng)站，普遍被認(rèn)為安全級(jí)別很高，被黑客襲擊似乎是件很諷刺的事情。

禍不單行的是，之后幾天里，人人網(wǎng)、天涯社區(qū)、百合網(wǎng)等眾多知名網(wǎng)站也相繼中招，紛紛卷入“泄密門(mén)”。這種大范圍的用戶(hù)信息泄漏在公眾中造成了很大的不安和恐慌，一時(shí)之間，關(guān)于網(wǎng)站和數(shù)據(jù)庫(kù)安全、用戶(hù)密碼設(shè)置和安全意識(shí)提升的討論如火如荼，各種防盜寶典、安全貼士鋪天蓋地。

2012年1月10日，北京市公安局稱(chēng)，CSDN兩名涉案黑客已經(jīng)被抓獲，并指出此次泄密與實(shí)名制無(wú)關(guān)，對(duì)此前廣為流傳的“黑客向?qū)嵜频奶魬?zhàn)”傳聞做了澄清。1月12日，CSDN董事長(zhǎng)蔣濤在事件爆發(fā)20天后首次直面媒體，正面解釋泄密事件。鑒于此前CSDN同大多網(wǎng)絡(luò)公司一樣，沒(méi)有配備專(zhuān)門(mén)的安全系統(tǒng)或安全工程師，CSDN宣布將與阿里云公司的專(zhuān)業(yè)安全團(tuán)隊(duì)合作，共同打造安全可信的服務(wù)平臺(tái)。

然而，從CSDN泄密事件爆發(fā)到宣布與阿里云公司合作，對(duì)互聯(lián)網(wǎng)安全的討論和反思，僅持續(xù)了一個(gè)月便淡出公眾視線(xiàn)。從泄密發(fā)生后輿論爆發(fā)，到調(diào)查結(jié)果出臺(tái)后事態(tài)迅速冷卻，再至春節(jié)氣氛下徹底遺忘，CSDN“泄密門(mén)”像很多之前曾轟動(dòng)一時(shí)的事件一樣，在時(shí)間面前敗下陣來(lái)。但如何從中吸取教訓(xùn)、構(gòu)筑互聯(lián)網(wǎng)信息安全，是一件我們必須時(shí)?？紤]的事情。

信息泄露，誰(shuí)之過(guò)？

泄密事件發(fā)生后，CSDN網(wǎng)站的回應(yīng)速度遠(yuǎn)遠(yuǎn)趕不上事態(tài)的擴(kuò)張和輿論的蔓延。在1月12日的見(jiàn)面會(huì)上，董事長(zhǎng)蔣濤向媒體介紹了事件爆發(fā)后CSDN采取的3方面措施：重置所有遭泄露用戶(hù)的密碼、提醒使用前100個(gè)最常用密碼的用戶(hù)自行修改密碼、請(qǐng)第三方信息技術(shù)公司進(jìn)行安全審計(jì)。而蔣濤表示：“審計(jì)發(fā)現(xiàn)，CSDN確實(shí)存在應(yīng)用程序漏洞、系統(tǒng)后臺(tái)認(rèn)證漏洞等一系列安全問(wèn)題。”

但問(wèn)題不僅僅存在于這場(chǎng)悲劇的主角CSDN，許多大型網(wǎng)站都存在安全意識(shí)薄弱的問(wèn)題。據(jù)統(tǒng)計(jì)，有80%的常用網(wǎng)站和60%的安全類(lèi)網(wǎng)站也存在漏洞，70%的密碼庫(kù)可以被破解。蔣濤稱(chēng)：“這些數(shù)據(jù)早都存在，長(zhǎng)久以來(lái)國(guó)內(nèi)整個(gè)信息系統(tǒng)都存在問(wèn)題，只是在CSDN事件爆發(fā)后，才被攤在桌面上。這是我們互聯(lián)網(wǎng)的現(xiàn)狀?！?/p>

此次CSDN的泄密事件讓很多網(wǎng)站開(kāi)始反思自己的安全問(wèn)題。

按照蔣濤的說(shuō)法，國(guó)內(nèi)互聯(lián)網(wǎng)公司普遍存在的問(wèn)題是重視業(yè)務(wù)、缺乏安全意識(shí)、對(duì)于數(shù)據(jù)安全和系統(tǒng)安全認(rèn)識(shí)不夠，由此導(dǎo)致了用于安全維護(hù)的投入不高。多數(shù)企業(yè)還在采取老舊的信息安全防護(hù)方法，與目前先進(jìn)的IT技術(shù)完全脫節(jié)，無(wú)法抵御形式多樣的攻擊。

有資料表明，在歐美國(guó)家，互聯(lián)網(wǎng)公司的信息安全投入占整體支出的8%—10%，而中國(guó)企業(yè)這個(gè)投入的比例還不到1%?；ヂ?lián)網(wǎng)數(shù)據(jù)中心IDC（Internet Data Center）對(duì)來(lái)自多個(gè)國(guó)家近3000家公司的調(diào)查也顯示，國(guó)外信息安全投入遠(yuǎn)大于中國(guó)。

另一個(gè)同樣嚴(yán)重的問(wèn)題是，目前在我國(guó)互聯(lián)網(wǎng)行業(yè)，信息安全和信息技術(shù)是分離的。蔣濤也表示：“一般只有像百度、騰訊這樣的網(wǎng)絡(luò)公司才會(huì)有安全工程師，其他網(wǎng)站很少有這樣的人才配備?！碑?dāng)然，要求每一個(gè)IT企業(yè)都有專(zhuān)門(mén)的安全系統(tǒng)或安全工程師也不現(xiàn)實(shí)。因此，網(wǎng)站同信息安全公司結(jié)合的模式或許會(huì)成為許多公司未來(lái)的選擇。

網(wǎng)站信息安全的建設(shè)不是一朝一夕的事，能意識(shí)到問(wèn)題只是第一步，和信息安全公司的磨合也需要時(shí)間。與此同時(shí)，網(wǎng)站自身還需要采取一些具體的措施，力保用戶(hù)信息安全。

為防止信息泄露，網(wǎng)站首先要做的是全面掌握自己有哪些涉密信息，清楚信息安全維護(hù)的短板何在。比如，許多網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為，明文保存密碼是使包括CSDN在內(nèi)的多個(gè)商業(yè)網(wǎng)站用戶(hù)信息輕易被攻破的重要原因。然后要做的是根據(jù)現(xiàn)存的安全問(wèn)題，結(jié)合各部門(mén)的具體情況進(jìn)行相應(yīng)管理。

同時(shí)，網(wǎng)站應(yīng)建立規(guī)范的制度，如簽署保密協(xié)議、對(duì)涉密信息的獲取權(quán)限、流程等進(jìn)行嚴(yán)格規(guī)定。此外，還需要建立嚴(yán)格的審計(jì)機(jī)制，對(duì)內(nèi)部人員，尤其是有高權(quán)限的IT管理人員的行為進(jìn)行定期審計(jì)，若有問(wèn)題，及早發(fā)現(xiàn)。

除了技術(shù)性的防護(hù)手段和操作規(guī)范以外，網(wǎng)站自身的管理也必不可少。網(wǎng)站企業(yè)應(yīng)普及并提高保護(hù)用戶(hù)隱私的意識(shí)。一些企業(yè)長(zhǎng)期忽視用戶(hù)利益，責(zé)任意識(shí)淡薄，更不排除在看到內(nèi)部資料，如客戶(hù)信息的價(jià)值后，有些員工會(huì)突破職業(yè)底線(xiàn)。如此一來(lái)，這類(lèi)事件的后果會(huì)比由外部攻擊引起的信息泄露事故更為嚴(yán)重。為杜絕這些隱患，網(wǎng)站企業(yè)需加強(qiáng)內(nèi)部管理，如利用企業(yè)文化規(guī)范員工行為，提升員工凝聚力等。

對(duì)于某些信息安全問(wèn)題，裝在客戶(hù)端的殺毒軟件無(wú)能為力，用戶(hù)更是束手無(wú)策。但實(shí)際上，有些安全問(wèn)題不僅限于服務(wù)端，也存在于用戶(hù)端。

很多用戶(hù)不重視賬戶(hù)安全，以為賬號(hào)不值得被利用，殊不知黑客會(huì)用程序批量掃描獲取密碼。終端自身和訪(fǎng)問(wèn)目標(biāo)是否安全也常常被人們忽略。其實(shí)，不論網(wǎng)站還是用戶(hù)，安全意識(shí)淡薄都是發(fā)生信息泄露的根本原因。

密碼是用戶(hù)在保護(hù)自身信息安全中的重要部分。但通過(guò)一組數(shù)據(jù)數(shù)據(jù)便可看出，密碼設(shè)置并沒(méi)有引起大部分用戶(hù)的重視：在我國(guó)，100個(gè)最常用的密碼被22.6%的用戶(hù)使用、60%以上的用戶(hù)使用純數(shù)字口令。拿CSDN事件為例，即便在信息遭泄露、網(wǎng)站反復(fù)提醒下，也僅有30%密碼遭泄露的用戶(hù)對(duì)密碼進(jìn)行了修改。

根據(jù)安全專(zhuān)家的建議，網(wǎng)友應(yīng)該把日常使用的網(wǎng)絡(luò)服務(wù)分類(lèi)?！班]箱就像保險(xiǎn)箱，里面有打開(kāi)其他服務(wù)的全部鑰匙”，所以重要服務(wù)如郵箱等，設(shè)置密碼時(shí)需要尤為注意，避免一但被黑客惡意進(jìn)入，暴露更多真實(shí)信息。同時(shí)，應(yīng)盡量在不同網(wǎng)站設(shè)置不同的登錄密碼，以防其中之一被攻破，其它的全軍覆沒(méi)。至少銀行、金融支付等重要密碼應(yīng)和其它網(wǎng)站進(jìn)行區(qū)別。最后，養(yǎng)成定期更換密碼的習(xí)慣，且設(shè)置的密碼安全等級(jí)要有一定強(qiáng)度。

除了在密碼上花些心思，確保終端電腦和訪(fǎng)問(wèn)網(wǎng)站的安全也十分重要。具體如及時(shí)給系統(tǒng)升級(jí)、修補(bǔ)漏洞、定期殺毒、不在公共場(chǎng)所進(jìn)行涉及個(gè)人信息的操作、不隨意訪(fǎng)問(wèn)不可信網(wǎng)站等。

相比于一般企業(yè)，網(wǎng)站內(nèi)保存大量客戶(hù)資料和智力資產(chǎn)。電子商務(wù)平臺(tái)里有許多真實(shí)的用戶(hù)信息，如姓名、地址、手機(jī)號(hào)碼，一旦泄漏，后果將不堪設(shè)想。而政府服務(wù)網(wǎng)站泄露信息危害更大。有專(zhuān)家指出，此次CSDN事件值得我們反思的地方很多。除了網(wǎng)站應(yīng)加強(qiáng)安全建設(shè)、用戶(hù)應(yīng)注意隱私保護(hù)外，法律方面，主管部門(mén)應(yīng)盡快出臺(tái)法規(guī)，從權(quán)利保護(hù)、責(zé)任認(rèn)定、責(zé)任追究和法律保障上，對(duì)個(gè)人信息予以保護(hù)，明確個(gè)人、網(wǎng)站和監(jiān)管機(jī)構(gòu)各方所應(yīng)承擔(dān)的責(zé)任、義務(wù)。

同時(shí)，有律師表示，不管是黑客入侵還是內(nèi)部泄露，網(wǎng)站既構(gòu)成侵權(quán)，又構(gòu)成違約。如果用戶(hù)因?yàn)樾畔⑿孤对斐蓳p失，有權(quán)向網(wǎng)站索賠。

而目前，我國(guó)對(duì)個(gè)人信息安全保護(hù)的相關(guān)法律條例仍有待完善。更有通過(guò)法律的明確規(guī)定，才能讓企業(yè)真正實(shí)行其義務(wù)，有力保障個(gè)人信息。在制定公民信息法律方面， 美、德、法、英四國(guó)就為我們做出了很好的表率。

美國(guó)是隱私權(quán)相關(guān)概念和理論的發(fā)祥地，其保護(hù)隱私權(quán)的法案早在1974年就已生效。之后，又有《財(cái)務(wù)隱私權(quán)法》、《聯(lián)邦電子通信隱私權(quán)法》、《家庭教育權(quán)利及隱私法》、《計(jì)算機(jī)對(duì)比和隱私權(quán)保護(hù)法》等不斷補(bǔ)充進(jìn)來(lái)。隨著信息技術(shù)的發(fā)展，聯(lián)邦政府及各州還不斷出臺(tái)新法、升級(jí)老法，使隱私權(quán)保護(hù)能緊跟時(shí)代步伐。

在德國(guó)，隱私權(quán)作為一項(xiàng)獨(dú)立的人格權(quán)受到民法典保護(hù)。1970年，德國(guó)黑森州頒布了德國(guó)首部地方性《數(shù)據(jù)保護(hù)法》，從而在全球開(kāi)辟了一個(gè)新的立法領(lǐng)域?！堵?lián)邦數(shù)據(jù)保護(hù)法》和《州數(shù)據(jù)保護(hù)法》在1977年和1981年也先后出臺(tái)。1983年，德國(guó)立法機(jī)構(gòu)全面修訂了《數(shù)據(jù)保護(hù)法》。為適應(yīng)時(shí)代變化，德國(guó)又于2001年和2006年根據(jù)歐盟的新規(guī)定兩度修訂《聯(lián)邦數(shù)據(jù)保護(hù)法》。

法國(guó)國(guó)家信息技術(shù)與自由委員會(huì)成立于1978年，目的是保證信息技術(shù)不妨礙人權(quán)、個(gè)人隱私和自由。2004年，法國(guó)國(guó)民議會(huì)通過(guò)法律，賦予委員會(huì)對(duì)違規(guī)機(jī)構(gòu)進(jìn)行經(jīng)濟(jì)處罰的權(quán)利。

英國(guó)議會(huì)于1984年通過(guò)了《數(shù)據(jù)保護(hù)法》，并于1998年對(duì)該法進(jìn)行修訂。此后，英國(guó)陸續(xù)通過(guò)了《調(diào)查權(quán)法》、《通信管理?xiàng)l例》和《通信數(shù)據(jù)保護(hù)指導(dǎo)原則》等一系列旨在保護(hù)公民個(gè)人信息的法律。

做好信息安全，需要網(wǎng)站企業(yè)、用戶(hù)個(gè)人、監(jiān)管部門(mén)三方共同促進(jìn)。一種處在這三種角色之間的新力量，能否肩負(fù)起維護(hù)信息安全的重任？

在媒體見(jiàn)面會(huì)上，蔣濤曾承認(rèn)，CSDN當(dāng)時(shí)對(duì)烏云平臺(tái)發(fā)出的預(yù)警沒(méi)有足夠的重視，導(dǎo)致事件不斷擴(kuò)大。烏云網(wǎng)是國(guó)內(nèi)一家披露互聯(lián)網(wǎng)廠(chǎng)商安全漏洞的網(wǎng)站，其信息來(lái)源于注冊(cè)用戶(hù)的提交，旨在為廠(chǎng)商和安全研究者之間搭建一個(gè)平臺(tái)：企業(yè)可通過(guò)該平臺(tái)獲知自己網(wǎng)站的潛在危險(xiǎn)，后者可以在此學(xué)習(xí)、交流和研究。

去年歲末，作為許多網(wǎng)絡(luò)泄密事件的發(fā)布源頭，烏云網(wǎng)先后曝出了CSDN、天涯社區(qū)、當(dāng)當(dāng)網(wǎng)、京東商城等網(wǎng)站存在安全漏洞。12月29日又披露了1,500萬(wàn)至2500萬(wàn)支付寶用戶(hù)資料泄露事件和廣東出入境政務(wù)網(wǎng)站后臺(tái)存在的嚴(yán)重漏洞。據(jù)稱(chēng)，444萬(wàn)網(wǎng)上申請(qǐng)用戶(hù)的真實(shí)信息，如姓名、護(hù)照號(hào)碼、港澳通行證號(hào)碼等已經(jīng)遭到泄密。

鑒于以上幾起泄密事件為自身帶來(lái)的巨大壓力，12月31日，烏云網(wǎng)宣布暫時(shí)關(guān)閉網(wǎng)站，理由是“對(duì)系統(tǒng)做短暫升級(jí)”。同時(shí)，網(wǎng)站還發(fā)布公告稱(chēng)：“最近頻繁披露的安全事件及帶來(lái)的影響表明，一方面我們企業(yè)的整體安全建設(shè)還不夠完善，但是同樣反饋出烏云平臺(tái)無(wú)論是溝通渠道還是響應(yīng)機(jī)制都存在一些問(wèn)題。在漏洞公開(kāi)機(jī)制上，烏云考慮是否逐漸向公眾披露，以減少實(shí)際可能帶來(lái)的影響?！钡治鋈耸恐赋?，網(wǎng)站選擇暫時(shí)關(guān)閉，更可能是來(lái)自政府以及企業(yè)的壓力?！吧鐣?huì)影響太大，已經(jīng)遠(yuǎn)遠(yuǎn)超出漏洞公布的技術(shù)層面了?！庇袑?zhuān)家這樣說(shuō)。

結(jié)語(yǔ)

自互聯(lián)網(wǎng)行業(yè)出現(xiàn)以來(lái)，網(wǎng)絡(luò)安全問(wèn)題就屢禁不止。即便在信息化發(fā)達(dá)的美、歐、日等國(guó)，黑客攻擊、病毒侵襲、信息泄露等事件同樣時(shí)有發(fā)生。但近些年來(lái)，更多攻擊行為開(kāi)始以牟利為目的，尤其針對(duì)個(gè)人信息。黑客已經(jīng)形成一個(gè)龐大的產(chǎn)業(yè)鏈，使信息安全形勢(shì)變得更加復(fù)雜。

因此，僅從安全技術(shù)角度，是不能夠根治這種病癥的。同樣，依靠用戶(hù)修改密碼也不能帶來(lái)實(shí)質(zhì)性的效果。真正的解決辦法在于：一方面，互聯(lián)網(wǎng)企業(yè)應(yīng)正視信息安全給企業(yè)帶來(lái)的價(jià)值，加大對(duì)其投資力度；同時(shí)充分認(rèn)識(shí)到一旦信息泄露，不僅會(huì)造成經(jīng)濟(jì)上的損失，還會(huì)損害企業(yè)形象，影響企業(yè)社會(huì)公信力等。另一方面，政府也應(yīng)該從戰(zhàn)略高度審視互聯(lián)網(wǎng)安全問(wèn)題，加強(qiáng)相關(guān)法規(guī)的建設(shè)?？傊?，中國(guó)互聯(lián)網(wǎng)需要通過(guò)轉(zhuǎn)變認(rèn)識(shí)和調(diào)整發(fā)展方式來(lái)擺脫網(wǎng)絡(luò)安全問(wèn)題。