论文部分内容阅读
从CSDN泄密事件爆发到宣布与阿里云公司合作,对互联网安全的讨论和反思,仅持续了一个月便淡出公众视线。从泄密发生后舆论爆发,到调查结果出台后事态迅速冷却,再至春节气氛下彻底遗忘,CSDN“泄密门”像很多之前曾轰动一时的事件一样,在时间面前败下阵来。但如何从中吸取教训、构筑互联网信息安全,是一件我们必须时常考虑的事情。
2011年12月21日,中文IT技术社区CSDN网站数据库遭黑客入侵,600万用户的登录名及密码惨遭泄露,用户隐私信息沦为了黑客炫耀的战利品。更有甚者将泄露用户信息做成压缩包,上传至网络供人下载,构成以获取利益为目标的违法行为。至此,泄密事件一发不可收拾,逐步衍化为一起波及多方的社会事件。
中国软件开发联盟CSDN(Chinese Software Develop Net)是中国最大的IT知识服务集团,从事IT信息传播、技术交流、教育培训和专业技术人才服务。CSDN拥有超过1800万注册会员、10000名CTO、50万注册企业及合作伙伴,全球中文网站排名第27位。可以想象,这样一个企业的用户数据被泄露,后果不堪设想。
CSDN“泄密门”事件之所以有如此广泛的影响,还因为作为一个开发者、程序员汇集的技术社区网站,普遍被认为安全级别很高,被黑客袭击似乎是件很讽刺的事情。
祸不单行的是,之后几天里,人人网、天涯社区、百合网等众多知名网站也相继中招,纷纷卷入“泄密门”。这种大范围的用户信息泄漏在公众中造成了很大的不安和恐慌,一时之间,关于网站和数据库安全、用户密码设置和安全意识提升的讨论如火如荼,各种防盗宝典、安全贴士铺天盖地。
2012年1月10日,北京市公安局称,CSDN两名涉案黑客已经被抓获,并指出此次泄密与实名制无关,对此前广为流传的“黑客向实名制的挑战”传闻做了澄清。1月12日,CSDN董事长蒋涛在事件爆发20天后首次直面媒体,正面解释泄密事件。鉴于此前CSDN同大多网络公司一样,没有配备专门的安全系统或安全工程师,CSDN宣布将与阿里云公司的专业安全团队合作,共同打造安全可信的服务平台。
然而,从CSDN泄密事件爆发到宣布与阿里云公司合作,对互联网安全的讨论和反思,仅持续了一个月便淡出公众视线。从泄密发生后舆论爆发,到调查结果出台后事态迅速冷却,再至春节气氛下彻底遗忘,CSDN“泄密门”像很多之前曾轰动一时的事件一样,在时间面前败下阵来。但如何从中吸取教训、构筑互联网信息安全,是一件我们必须时常考虑的事情。
信息泄露,谁之过?
泄密事件发生后,CSDN网站的回应速度远远赶不上事态的扩张和舆论的蔓延。在1月12日的见面会上,董事长蒋涛向媒体介绍了事件爆发后CSDN采取的3方面措施:重置所有遭泄露用户的密码、提醒使用前100个最常用密码的用户自行修改密码、请第三方信息技术公司进行安全审计。而蒋涛表示:“审计发现,CSDN确实存在应用程序漏洞、系统后台认证漏洞等一系列安全问题。”
但问题不仅仅存在于这场悲剧的主角CSDN,许多大型网站都存在安全意识薄弱的问题。据统计,有80%的常用网站和60%的安全类网站也存在漏洞,70%的密码库可以被破解。蒋涛称:“这些数据早都存在,长久以来国内整个信息系统都存在问题,只是在CSDN事件爆发后,才被摊在桌面上。这是我们互联网的现状。”
此次CSDN的泄密事件让很多网站开始反思自己的安全问题。
按照蒋涛的说法,国内互联网公司普遍存在的问题是重视业务、缺乏安全意识、对于数据安全和系统安全认识不够,由此导致了用于安全维护的投入不高。多数企业还在采取老旧的信息安全防护方法,与目前先进的IT技术完全脱节,无法抵御形式多样的攻击。
有资料表明,在欧美国家,互联网公司的信息安全投入占整体支出的8%—10%,而中国企业这个投入的比例还不到1%。互联网数据中心IDC(Internet Data Center)对来自多个国家近3000家公司的调查也显示,国外信息安全投入远大于中国。
另一个同样严重的问题是,目前在我国互联网行业,信息安全和信息技术是分离的。蒋涛也表示:“一般只有像百度、腾讯这样的网络公司才会有安全工程师,其他网站很少有这样的人才配备。”当然,要求每一个IT企业都有专门的安全系统或安全工程师也不现实。因此,网站同信息安全公司结合的模式或许会成为许多公司未来的选择。
网站信息安全的建设不是一朝一夕的事,能意识到问题只是第一步,和信息安全公司的磨合也需要时间。与此同时,网站自身还需要采取一些具体的措施,力保用户信息安全。
为防止信息泄露,网站首先要做的是全面掌握自己有哪些涉密信息,清楚信息安全维护的短板何在。比如,许多网络安全专家认为,明文保存密码是使包括CSDN在内的多个商业网站用户信息轻易被攻破的重要原因。然后要做的是根据现存的安全问题,结合各部门的具体情况进行相应管理。
同时,网站应建立规范的制度,如签署保密协议、对涉密信息的获取权限、流程等进行严格规定。此外,还需要建立严格的审计机制,对内部人员,尤其是有高权限的IT管理人员的行为进行定期审计,若有问题,及早发现。
除了技术性的防护手段和操作规范以外,网站自身的管理也必不可少。网站企业应普及并提高保护用户隐私的意识。一些企业长期忽视用户利益,责任意识淡薄,更不排除在看到内部资料,如客户信息的价值后,有些员工会突破职业底线。如此一来,这类事件的后果会比由外部攻击引起的信息泄露事故更为严重。为杜绝这些隐患,网站企业需加强内部管理,如利用企业文化规范员工行为,提升员工凝聚力等。
对于某些信息安全问题,装在客户端的杀毒软件无能为力,用户更是束手无策。但实际上,有些安全问题不仅限于服务端,也存在于用户端。
很多用户不重视账户安全,以为账号不值得被利用,殊不知黑客会用程序批量扫描获取密码。终端自身和访问目标是否安全也常常被人们忽略。其实,不论网站还是用户,安全意识淡薄都是发生信息泄露的根本原因。
密码是用户在保护自身信息安全中的重要部分。但通过一组数据数据便可看出,密码设置并没有引起大部分用户的重视:在我国,100个最常用的密码被22.6%的用户使用、60%以上的用户使用纯数字口令。拿CSDN事件为例,即便在信息遭泄露、网站反复提醒下,也仅有30%密码遭泄露的用户对密码进行了修改。
根据安全专家的建议,网友应该把日常使用的网络服务分类。“邮箱就像保险箱,里面有打开其他服务的全部钥匙”,所以重要服务如邮箱等,设置密码时需要尤为注意,避免一但被黑客恶意进入,暴露更多真实信息。同时,应尽量在不同网站设置不同的登录密码,以防其中之一被攻破,其它的全军覆没。至少银行、金融支付等重要密码应和其它网站进行区别。最后,养成定期更换密码的习惯,且设置的密码安全等级要有一定强度。
除了在密码上花些心思,确保终端电脑和访问网站的安全也十分重要。具体如及时给系统升级、修补漏洞、定期杀毒、不在公共场所进行涉及个人信息的操作、不随意访问不可信网站等。
相比于一般企业,网站内保存大量客户资料和智力资产。电子商务平台里有许多真实的用户信息,如姓名、地址、手机号码,一旦泄漏,后果将不堪设想。而政府服务网站泄露信息危害更大。有专家指出,此次CSDN事件值得我们反思的地方很多。除了网站应加强安全建设、用户应注意隐私保护外,法律方面,主管部门应尽快出台法规,从权利保护、责任认定、责任追究和法律保障上,对个人信息予以保护,明确个人、网站和监管机构各方所应承担的责任、义务。
2011年12月21日,中文IT技术社区CSDN网站数据库遭黑客入侵,600万用户的登录名及密码惨遭泄露,用户隐私信息沦为了黑客炫耀的战利品。更有甚者将泄露用户信息做成压缩包,上传至网络供人下载,构成以获取利益为目标的违法行为。至此,泄密事件一发不可收拾,逐步衍化为一起波及多方的社会事件。
中国软件开发联盟CSDN(Chinese Software Develop Net)是中国最大的IT知识服务集团,从事IT信息传播、技术交流、教育培训和专业技术人才服务。CSDN拥有超过1800万注册会员、10000名CTO、50万注册企业及合作伙伴,全球中文网站排名第27位。可以想象,这样一个企业的用户数据被泄露,后果不堪设想。
CSDN“泄密门”事件之所以有如此广泛的影响,还因为作为一个开发者、程序员汇集的技术社区网站,普遍被认为安全级别很高,被黑客袭击似乎是件很讽刺的事情。
祸不单行的是,之后几天里,人人网、天涯社区、百合网等众多知名网站也相继中招,纷纷卷入“泄密门”。这种大范围的用户信息泄漏在公众中造成了很大的不安和恐慌,一时之间,关于网站和数据库安全、用户密码设置和安全意识提升的讨论如火如荼,各种防盗宝典、安全贴士铺天盖地。
2012年1月10日,北京市公安局称,CSDN两名涉案黑客已经被抓获,并指出此次泄密与实名制无关,对此前广为流传的“黑客向实名制的挑战”传闻做了澄清。1月12日,CSDN董事长蒋涛在事件爆发20天后首次直面媒体,正面解释泄密事件。鉴于此前CSDN同大多网络公司一样,没有配备专门的安全系统或安全工程师,CSDN宣布将与阿里云公司的专业安全团队合作,共同打造安全可信的服务平台。
然而,从CSDN泄密事件爆发到宣布与阿里云公司合作,对互联网安全的讨论和反思,仅持续了一个月便淡出公众视线。从泄密发生后舆论爆发,到调查结果出台后事态迅速冷却,再至春节气氛下彻底遗忘,CSDN“泄密门”像很多之前曾轰动一时的事件一样,在时间面前败下阵来。但如何从中吸取教训、构筑互联网信息安全,是一件我们必须时常考虑的事情。
信息泄露,谁之过?
泄密事件发生后,CSDN网站的回应速度远远赶不上事态的扩张和舆论的蔓延。在1月12日的见面会上,董事长蒋涛向媒体介绍了事件爆发后CSDN采取的3方面措施:重置所有遭泄露用户的密码、提醒使用前100个最常用密码的用户自行修改密码、请第三方信息技术公司进行安全审计。而蒋涛表示:“审计发现,CSDN确实存在应用程序漏洞、系统后台认证漏洞等一系列安全问题。”
但问题不仅仅存在于这场悲剧的主角CSDN,许多大型网站都存在安全意识薄弱的问题。据统计,有80%的常用网站和60%的安全类网站也存在漏洞,70%的密码库可以被破解。蒋涛称:“这些数据早都存在,长久以来国内整个信息系统都存在问题,只是在CSDN事件爆发后,才被摊在桌面上。这是我们互联网的现状。”
此次CSDN的泄密事件让很多网站开始反思自己的安全问题。
按照蒋涛的说法,国内互联网公司普遍存在的问题是重视业务、缺乏安全意识、对于数据安全和系统安全认识不够,由此导致了用于安全维护的投入不高。多数企业还在采取老旧的信息安全防护方法,与目前先进的IT技术完全脱节,无法抵御形式多样的攻击。
有资料表明,在欧美国家,互联网公司的信息安全投入占整体支出的8%—10%,而中国企业这个投入的比例还不到1%。互联网数据中心IDC(Internet Data Center)对来自多个国家近3000家公司的调查也显示,国外信息安全投入远大于中国。
另一个同样严重的问题是,目前在我国互联网行业,信息安全和信息技术是分离的。蒋涛也表示:“一般只有像百度、腾讯这样的网络公司才会有安全工程师,其他网站很少有这样的人才配备。”当然,要求每一个IT企业都有专门的安全系统或安全工程师也不现实。因此,网站同信息安全公司结合的模式或许会成为许多公司未来的选择。
网站信息安全的建设不是一朝一夕的事,能意识到问题只是第一步,和信息安全公司的磨合也需要时间。与此同时,网站自身还需要采取一些具体的措施,力保用户信息安全。
为防止信息泄露,网站首先要做的是全面掌握自己有哪些涉密信息,清楚信息安全维护的短板何在。比如,许多网络安全专家认为,明文保存密码是使包括CSDN在内的多个商业网站用户信息轻易被攻破的重要原因。然后要做的是根据现存的安全问题,结合各部门的具体情况进行相应管理。
同时,网站应建立规范的制度,如签署保密协议、对涉密信息的获取权限、流程等进行严格规定。此外,还需要建立严格的审计机制,对内部人员,尤其是有高权限的IT管理人员的行为进行定期审计,若有问题,及早发现。
除了技术性的防护手段和操作规范以外,网站自身的管理也必不可少。网站企业应普及并提高保护用户隐私的意识。一些企业长期忽视用户利益,责任意识淡薄,更不排除在看到内部资料,如客户信息的价值后,有些员工会突破职业底线。如此一来,这类事件的后果会比由外部攻击引起的信息泄露事故更为严重。为杜绝这些隐患,网站企业需加强内部管理,如利用企业文化规范员工行为,提升员工凝聚力等。
对于某些信息安全问题,装在客户端的杀毒软件无能为力,用户更是束手无策。但实际上,有些安全问题不仅限于服务端,也存在于用户端。
很多用户不重视账户安全,以为账号不值得被利用,殊不知黑客会用程序批量扫描获取密码。终端自身和访问目标是否安全也常常被人们忽略。其实,不论网站还是用户,安全意识淡薄都是发生信息泄露的根本原因。
密码是用户在保护自身信息安全中的重要部分。但通过一组数据数据便可看出,密码设置并没有引起大部分用户的重视:在我国,100个最常用的密码被22.6%的用户使用、60%以上的用户使用纯数字口令。拿CSDN事件为例,即便在信息遭泄露、网站反复提醒下,也仅有30%密码遭泄露的用户对密码进行了修改。
根据安全专家的建议,网友应该把日常使用的网络服务分类。“邮箱就像保险箱,里面有打开其他服务的全部钥匙”,所以重要服务如邮箱等,设置密码时需要尤为注意,避免一但被黑客恶意进入,暴露更多真实信息。同时,应尽量在不同网站设置不同的登录密码,以防其中之一被攻破,其它的全军覆没。至少银行、金融支付等重要密码应和其它网站进行区别。最后,养成定期更换密码的习惯,且设置的密码安全等级要有一定强度。
除了在密码上花些心思,确保终端电脑和访问网站的安全也十分重要。具体如及时给系统升级、修补漏洞、定期杀毒、不在公共场所进行涉及个人信息的操作、不随意访问不可信网站等。
相比于一般企业,网站内保存大量客户资料和智力资产。电子商务平台里有许多真实的用户信息,如姓名、地址、手机号码,一旦泄漏,后果将不堪设想。而政府服务网站泄露信息危害更大。有专家指出,此次CSDN事件值得我们反思的地方很多。除了网站应加强安全建设、用户应注意隐私保护外,法律方面,主管部门应尽快出台法规,从权利保护、责任认定、责任追究和法律保障上,对个人信息予以保护,明确个人、网站和监管机构各方所应承担的责任、义务。