| 文 · 本刊實習(xí)記者 張夢星

2011年12月21日，中文IT技術(shù)社區(qū)CSDN網(wǎng)站數(shù)據(jù)庫遭黑客入侵，600萬用戶的登錄名及密碼慘遭泄露，用戶隱私信息淪為了黑客炫耀的戰(zhàn)利品。更有甚者將泄露用戶信息做成壓縮包，上傳至網(wǎng)絡(luò)供人下載，構(gòu)成以獲取利益為目標(biāo)的違法行為。至此，泄密事件一發(fā)不可收拾，逐步衍化為一起波及多方的社會事件。

中國軟件開發(fā)聯(lián)盟CSDN（Chinese Software Develop Net）是中國最大的IT知識服務(wù)集團，從事IT信息傳播、技術(shù)交流、教育培訓(xùn)和專業(yè)技術(shù)人才服務(wù)。CSDN擁有超過1800萬注冊會員、10000名CTO、50萬注冊企業(yè)及合作伙伴，全球中文網(wǎng)站排名第27位。可以想象，這樣一個企業(yè)的用戶數(shù)據(jù)被泄露，后果不堪設(shè)想。

CSDN“泄密門”事件之所以有如此廣泛的影響，還因為作為一個開發(fā)者、程序員匯集的技術(shù)社區(qū)網(wǎng)站，普遍被認(rèn)為安全級別很高，被黑客襲擊似乎是件很諷刺的事情。

禍不單行的是，之后幾天里，人人網(wǎng)、天涯社區(qū)、百合網(wǎng)等眾多知名網(wǎng)站也相繼中招，紛紛卷入“泄密門”。這種大范圍的用戶信息泄漏在公眾中造成了很大的不安和恐慌，一時之間，關(guān)于網(wǎng)站和數(shù)據(jù)庫安全、用戶密碼設(shè)置和安全意識提升的討論如火如荼，各種防盜寶典、安全貼士鋪天蓋地。

2012年1月10日，北京市公安局稱，CSDN兩名涉案黑客已經(jīng)被抓獲，并指出此次泄密與實名制無關(guān)，對此前廣為流傳的“黑客向?qū)嵜频奶魬?zhàn)”傳聞做了澄清。1月12日，CSDN董事長蔣濤在事件爆發(fā)20天后首次直面媒體，正面解釋泄密事件。鑒于此前CSDN同大多網(wǎng)絡(luò)公司一樣，沒有配備專門的安全系統(tǒng)或安全工程師，CSDN宣布將與阿里云公司的專業(yè)安全團隊合作，共同打造安全可信的服務(wù)平臺。

然而，從CSDN泄密事件爆發(fā)到宣布與阿里云公司合作，對互聯(lián)網(wǎng)安全的討論和反思，僅持續(xù)了一個月便淡出公眾視線。從泄密發(fā)生后輿論爆發(fā)，到調(diào)查結(jié)果出臺后事態(tài)迅速冷卻，再至春節(jié)氣氛下徹底遺忘，CSDN“泄密門”像很多之前曾轟動一時的事件一樣，在時間面前敗下陣來。但如何從中吸取教訓(xùn)、構(gòu)筑互聯(lián)網(wǎng)信息安全，是一件我們必須時常考慮的事情。

信息泄露，誰之過？

泄密事件發(fā)生后，CSDN網(wǎng)站的回應(yīng)速度遠(yuǎn)遠(yuǎn)趕不上事態(tài)的擴張和輿論的蔓延。在1月12日的見面會上，董事長蔣濤向媒體介紹了事件爆發(fā)后CSDN采取的3方面措施：重置所有遭泄露用戶的密碼、提醒使用前100個最常用密碼的用戶自行修改密碼、請第三方信息技術(shù)公司進行安全審計。而蔣濤表示：“審計發(fā)現(xiàn)，CSDN確實存在應(yīng)用程序漏洞、系統(tǒng)后臺認(rèn)證漏洞等一系列安全問題?！?/p>

但問題不僅僅存在于這場悲劇的主角CSDN，許多大型網(wǎng)站都存在安全意識薄弱的問題。據(jù)統(tǒng)計，有80%的常用網(wǎng)站和60%的安全類網(wǎng)站也存在漏洞，70%的密碼庫可以被破解。蔣濤稱：“這些數(shù)據(jù)早都存在，長久以來國內(nèi)整個信息系統(tǒng)都存在問題，只是在CSDN事件爆發(fā)后，才被攤在桌面上。這是我們互聯(lián)網(wǎng)的現(xiàn)狀?！?/p>

此次CSDN的泄密事件讓很多網(wǎng)站開始反思自己的安全問題。

按照蔣濤的說法，國內(nèi)互聯(lián)網(wǎng)公司普遍存在的問題是重視業(yè)務(wù)、缺乏安全意識、對于數(shù)據(jù)安全和系統(tǒng)安全認(rèn)識不夠，由此導(dǎo)致了用于安全維護的投入不高。多數(shù)企業(yè)還在采取老舊的信息安全防護方法，與目前先進的IT技術(shù)完全脫節(jié)，無法抵御形式多樣的攻擊。

有資料表明，在歐美國家，互聯(lián)網(wǎng)公司的信息安全投入占整體支出的8%—10%，而中國企業(yè)這個投入的比例還不到1%。互聯(lián)網(wǎng)數(shù)據(jù)中心IDC（Internet Data Center）對來自多個國家近3000家公司的調(diào)查也顯示，國外信息安全投入遠(yuǎn)大于中國。

另一個同樣嚴(yán)重的問題是，目前在我國互聯(lián)網(wǎng)行業(yè)，信息安全和信息技術(shù)是分離的。蔣濤也表示：“一般只有像百度、騰訊這樣的網(wǎng)絡(luò)公司才會有安全工程師，其他網(wǎng)站很少有這樣的人才配備?！碑?dāng)然，要求每一個IT企業(yè)都有專門的安全系統(tǒng)或安全工程師也不現(xiàn)實。因此，網(wǎng)站同信息安全公司結(jié)合的模式或許會成為許多公司未來的選擇。

網(wǎng)站信息安全的建設(shè)不是一朝一夕的事，能意識到問題只是第一步，和信息安全公司的磨合也需要時間。與此同時，網(wǎng)站自身還需要采取一些具體的措施，力保用戶信息安全。

為防止信息泄露，網(wǎng)站首先要做的是全面掌握自己有哪些涉密信息，清楚信息安全維護的短板何在。比如，許多網(wǎng)絡(luò)安全專家認(rèn)為，明文保存密碼是使包括CSDN在內(nèi)的多個商業(yè)網(wǎng)站用戶信息輕易被攻破的重要原因。然后要做的是根據(jù)現(xiàn)存的安全問題，結(jié)合各部門的具體情況進行相應(yīng)管理。

同時，網(wǎng)站應(yīng)建立規(guī)范的制度，如簽署保密協(xié)議、對涉密信息的獲取權(quán)限、流程等進行嚴(yán)格規(guī)定。此外，還需要建立嚴(yán)格的審計機制，對內(nèi)部人員，尤其是有高權(quán)限的IT管理人員的行為進行定期審計，若有問題，及早發(fā)現(xiàn)。

除了技術(shù)性的防護手段和操作規(guī)范以外，網(wǎng)站自身的管理也必不可少。網(wǎng)站企業(yè)應(yīng)普及并提高保護用戶隱私的意識。一些企業(yè)長期忽視用戶利益，責(zé)任意識淡薄，更不排除在看到內(nèi)部資料，如客戶信息的價值后，有些員工會突破職業(yè)底線。如此一來，這類事件的后果會比由外部攻擊引起的信息泄露事故更為嚴(yán)重。為杜絕這些隱患，網(wǎng)站企業(yè)需加強內(nèi)部管理，如利用企業(yè)文化規(guī)范員工行為，提升員工凝聚力等。

對于某些信息安全問題，裝在客戶端的殺毒軟件無能為力，用戶更是束手無策。但實際上，有些安全問題不僅限于服務(wù)端，也存在于用戶端。

很多用戶不重視賬戶安全，以為賬號不值得被利用，殊不知黑客會用程序批量掃描獲取密碼。終端自身和訪問目標(biāo)是否安全也常常被人們忽略。其實，不論網(wǎng)站還是用戶，安全意識淡薄都是發(fā)生信息泄露的根本原因。

密碼是用戶在保護自身信息安全中的重要部分。但通過一組數(shù)據(jù)數(shù)據(jù)便可看出，密碼設(shè)置并沒有引起大部分用戶的重視：在我國，100個最常用的密碼被22.6%的用戶使用、60%以上的用戶使用純數(shù)字口令。拿CSDN事件為例，即便在信息遭泄露、網(wǎng)站反復(fù)提醒下，也僅有30%密碼遭泄露的用戶對密碼進行了修改。

根據(jù)安全專家的建議，網(wǎng)友應(yīng)該把日常使用的網(wǎng)絡(luò)服務(wù)分類?！班]箱就像保險箱，里面有打開其他服務(wù)的全部鑰匙”，所以重要服務(wù)如郵箱等，設(shè)置密碼時需要尤為注意，避免一但被黑客惡意進入，暴露更多真實信息。同時，應(yīng)盡量在不同網(wǎng)站設(shè)置不同的登錄密碼，以防其中之一被攻破，其它的全軍覆沒。至少銀行、金融支付等重要密碼應(yīng)和其它網(wǎng)站進行區(qū)別。最后，養(yǎng)成定期更換密碼的習(xí)慣，且設(shè)置的密碼安全等級要有一定強度。

除了在密碼上花些心思，確保終端電腦和訪問網(wǎng)站的安全也十分重要。具體如及時給系統(tǒng)升級、修補漏洞、定期殺毒、不在公共場所進行涉及個人信息的操作、不隨意訪問不可信網(wǎng)站等。

相比于一般企業(yè)，網(wǎng)站內(nèi)保存大量客戶資料和智力資產(chǎn)。電子商務(wù)平臺里有許多真實的用戶信息，如姓名、地址、手機號碼，一旦泄漏，后果將不堪設(shè)想。而政府服務(wù)網(wǎng)站泄露信息危害更大。有專家指出，此次CSDN事件值得我們反思的地方很多。除了網(wǎng)站應(yīng)加強安全建設(shè)、用戶應(yīng)注意隱私保護外，法律方面，主管部門應(yīng)盡快出臺法規(guī)，從權(quán)利保護、責(zé)任認(rèn)定、責(zé)任追究和法律保障上，對個人信息予以保護，明確個人、網(wǎng)站和監(jiān)管機構(gòu)各方所應(yīng)承擔(dān)的責(zé)任、義務(wù)。

同時，有律師表示，不管是黑客入侵還是內(nèi)部泄露，網(wǎng)站既構(gòu)成侵權(quán)，又構(gòu)成違約。如果用戶因為信息泄露造成損失，有權(quán)向網(wǎng)站索賠。

而目前，我國對個人信息安全保護的相關(guān)法律條例仍有待完善。更有通過法律的明確規(guī)定，才能讓企業(yè)真正實行其義務(wù)，有力保障個人信息。在制定公民信息法律方面， 美、德、法、英四國就為我們做出了很好的表率。

美國是隱私權(quán)相關(guān)概念和理論的發(fā)祥地，其保護隱私權(quán)的法案早在1974年就已生效。之后，又有《財務(wù)隱私權(quán)法》、《聯(lián)邦電子通信隱私權(quán)法》、《家庭教育權(quán)利及隱私法》、《計算機對比和隱私權(quán)保護法》等不斷補充進來。隨著信息技術(shù)的發(fā)展，聯(lián)邦政府及各州還不斷出臺新法、升級老法，使隱私權(quán)保護能緊跟時代步伐。

在德國，隱私權(quán)作為一項獨立的人格權(quán)受到民法典保護。1970年，德國黑森州頒布了德國首部地方性《數(shù)據(jù)保護法》，從而在全球開辟了一個新的立法領(lǐng)域。《聯(lián)邦數(shù)據(jù)保護法》和《州數(shù)據(jù)保護法》在1977年和1981年也先后出臺。1983年，德國立法機構(gòu)全面修訂了《數(shù)據(jù)保護法》。為適應(yīng)時代變化，德國又于2001年和2006年根據(jù)歐盟的新規(guī)定兩度修訂《聯(lián)邦數(shù)據(jù)保護法》。

法國國家信息技術(shù)與自由委員會成立于1978年，目的是保證信息技術(shù)不妨礙人權(quán)、個人隱私和自由。2004年，法國國民議會通過法律，賦予委員會對違規(guī)機構(gòu)進行經(jīng)濟處罰的權(quán)利。

英國議會于1984年通過了《數(shù)據(jù)保護法》，并于1998年對該法進行修訂。此后，英國陸續(xù)通過了《調(diào)查權(quán)法》、《通信管理條例》和《通信數(shù)據(jù)保護指導(dǎo)原則》等一系列旨在保護公民個人信息的法律。

做好信息安全，需要網(wǎng)站企業(yè)、用戶個人、監(jiān)管部門三方共同促進。一種處在這三種角色之間的新力量，能否肩負(fù)起維護信息安全的重任？

在媒體見面會上，蔣濤曾承認(rèn)，CSDN當(dāng)時對烏云平臺發(fā)出的預(yù)警沒有足夠的重視，導(dǎo)致事件不斷擴大。烏云網(wǎng)是國內(nèi)一家披露互聯(lián)網(wǎng)廠商安全漏洞的網(wǎng)站，其信息來源于注冊用戶的提交，旨在為廠商和安全研究者之間搭建一個平臺：企業(yè)可通過該平臺獲知自己網(wǎng)站的潛在危險，后者可以在此學(xué)習(xí)、交流和研究。

去年歲末，作為許多網(wǎng)絡(luò)泄密事件的發(fā)布源頭，烏云網(wǎng)先后曝出了CSDN、天涯社區(qū)、當(dāng)當(dāng)網(wǎng)、京東商城等網(wǎng)站存在安全漏洞。12月29日又披露了1,500萬至2500萬支付寶用戶資料泄露事件和廣東出入境政務(wù)網(wǎng)站后臺存在的嚴(yán)重漏洞。據(jù)稱，444萬網(wǎng)上申請用戶的真實信息，如姓名、護照號碼、港澳通行證號碼等已經(jīng)遭到泄密。

鑒于以上幾起泄密事件為自身帶來的巨大壓力，12月31日，烏云網(wǎng)宣布暫時關(guān)閉網(wǎng)站，理由是“對系統(tǒng)做短暫升級”。同時，網(wǎng)站還發(fā)布公告稱：“最近頻繁披露的安全事件及帶來的影響表明，一方面我們企業(yè)的整體安全建設(shè)還不夠完善，但是同樣反饋出烏云平臺無論是溝通渠道還是響應(yīng)機制都存在一些問題。在漏洞公開機制上，烏云考慮是否逐漸向公眾披露，以減少實際可能帶來的影響?！钡治鋈耸恐赋?，網(wǎng)站選擇暫時關(guān)閉，更可能是來自政府以及企業(yè)的壓力?！吧鐣绊懱?，已經(jīng)遠(yuǎn)遠(yuǎn)超出漏洞公布的技術(shù)層面了。”有專家這樣說。

結(jié)語

自互聯(lián)網(wǎng)行業(yè)出現(xiàn)以來，網(wǎng)絡(luò)安全問題就屢禁不止。即便在信息化發(fā)達的美、歐、日等國，黑客攻擊、病毒侵襲、信息泄露等事件同樣時有發(fā)生。但近些年來，更多攻擊行為開始以牟利為目的，尤其針對個人信息。黑客已經(jīng)形成一個龐大的產(chǎn)業(yè)鏈，使信息安全形勢變得更加復(fù)雜。

因此，僅從安全技術(shù)角度，是不能夠根治這種病癥的。同樣，依靠用戶修改密碼也不能帶來實質(zhì)性的效果。真正的解決辦法在于：一方面，互聯(lián)網(wǎng)企業(yè)應(yīng)正視信息安全給企業(yè)帶來的價值，加大對其投資力度；同時充分認(rèn)識到一旦信息泄露，不僅會造成經(jīng)濟上的損失，還會損害企業(yè)形象，影響企業(yè)社會公信力等。另一方面，政府也應(yīng)該從戰(zhàn)略高度審視互聯(lián)網(wǎng)安全問題，加強相關(guān)法規(guī)的建設(shè)?？傊?，中國互聯(lián)網(wǎng)需要通過轉(zhuǎn)變認(rèn)識和調(diào)整發(fā)展方式來擺脫網(wǎng)絡(luò)安全問題。