2011年已經(jīng)過去，在這一年的最后幾天，一場被媒體稱為“中國互聯(lián)網(wǎng)史上規(guī)模最大的泄密事件”突如其來。

自2011年12月21日開始，中國最大開發(fā)者技術(shù)社區(qū)CSDN的600萬用戶數(shù)據(jù)被泄露，其中包含極為敏感的用戶名、明文密碼；次日，垂直游戲網(wǎng)站多玩網(wǎng)被傳泄露800萬用戶數(shù)據(jù)；25日，號(hào)稱“最有影響力華人論壇”天涯社區(qū)4000萬用戶數(shù)據(jù)包被瘋傳；51CTO、CNZZ、eNet、UUU9、YY語音、百合網(wǎng)、開心網(wǎng)、人人網(wǎng)、美空網(wǎng)、珍愛網(wǎng)等相繼被卷入用戶數(shù)據(jù)泄露風(fēng)波；支付寶、當(dāng)當(dāng)網(wǎng)以及京東商城等電子商務(wù)網(wǎng)站亦未幸免；29日，網(wǎng)絡(luò)傳言交通銀行7000萬及民生銀行3500萬用戶卡號(hào)、姓名及密碼泄露，恐慌感被推至高點(diǎn)，“泄密門”達(dá)到高潮。

一時(shí)間，各種消息真假難辨，人人自危。

2011年12月28日，國家工業(yè)和信息化部（下稱工信部）發(fā)表聲明稱，已經(jīng)啟動(dòng)應(yīng)急預(yù)案。其下屬國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）30日發(fā)布數(shù)據(jù)顯示，截至2011年12月29日，已通過公開渠道獲得疑似泄露數(shù)據(jù)庫26個(gè)，涉及賬號(hào)、密碼2.78億條。其中具有與網(wǎng)站、論壇相關(guān)聯(lián)信息的數(shù)據(jù)庫有12個(gè)，涉及數(shù)據(jù)1.36億條；無法判斷網(wǎng)站、論壇關(guān)聯(lián)性的數(shù)據(jù)庫有14個(gè)，涉及數(shù)據(jù)1.42億條。

2012年開年后，中國正式進(jìn)入“5億網(wǎng)民”時(shí)代，網(wǎng)絡(luò)又傳出新浪7000多萬用戶信息可被攻破，網(wǎng)絡(luò)信息安全顯現(xiàn)出前所未有的脆弱。

2012年1月10日晚間，國家互聯(lián)網(wǎng)信息辦（下稱國信辦）就連環(huán)泄密事件所做的情況調(diào)查通報(bào)，卻顯得風(fēng)平浪靜。通報(bào)披露，近期查處的五起信息泄露事件中，最終確認(rèn)被黑客入侵并遭泄露者僅CSDN和天涯社區(qū)兩家網(wǎng)站，被入侵均為2009年前的陳年往事；其余數(shù)據(jù)泄露或?yàn)楣緝?nèi)部職員監(jiān)守自盜，或是“一些人編造或炒作網(wǎng)站用戶信息被大規(guī)模泄露的消息”。

國信辦稱，“其中既有出于個(gè)人進(jìn)行炫耀或騙取錢財(cái)?shù)哪康?，也有一些網(wǎng)絡(luò)安全公司銷售人員想以此提高知名度、推銷自己的產(chǎn)品，還有個(gè)別人借機(jī)企圖干擾和貶損北京等城市正在開展的微博客用戶用真實(shí)身份信息注冊(cè)工作?！?/p>

1月11日，“泄密門”中第一個(gè)登場的CSDN在北京召開媒體發(fā)布會(huì)稱，將與阿里云計(jì)算有限公司合作，聯(lián)手為開發(fā)者打造一個(gè)安全可信的服務(wù)平臺(tái)。閃光燈頻照，頻受泄密詰問的CSDN以“受害者”形象出現(xiàn)。其余相關(guān)信息被泄露的網(wǎng)站亦作出類似反應(yīng)。

同日，一位接近工信部通信保障局的人士向《財(cái)經(jīng)》記者表示，該部門對(duì)泄密事件的調(diào)查工作已經(jīng)“告一段落”。

泄密風(fēng)暴來得迅猛，淡化也快，在這背后，國內(nèi)網(wǎng)絡(luò)信息安全現(xiàn)狀仍然脆弱，這意味著反思不夠卻刻不容緩：黑客產(chǎn)業(yè)鏈如何存在、當(dāng)如何應(yīng)對(duì)，用戶信息泄露如何追責(zé)，互聯(lián)網(wǎng)法制建設(shè)仍待健全。

哪些信息丟了：“泄密”實(shí)與虛

依據(jù)國信辦2012年1月10日的通告，此次泄密事件中，最終被判定確實(shí)發(fā)生了網(wǎng)站、論壇用戶數(shù)據(jù)泄露事件的，僅有CSDN、天涯社區(qū)以及廣東“YY”語音聊天網(wǎng)站三起。其中除后者屬公司員工利用職務(wù)之便監(jiān)守自盜外，前二者皆因2009年以前被黑客入侵致信息泄露。

事件最早披露是在2011年12月4日，黑客“臭小子”（網(wǎng)名）在烏云網(wǎng)上發(fā)帖稱CSDN等網(wǎng)站數(shù)據(jù)密碼被泄露，并公布泄露的數(shù)據(jù)包截圖。

2010年5月上線的烏云網(wǎng)，定位為“自由平等的”漏洞報(bào)告平臺(tái)，為計(jì)算機(jī)廠商和安全研究者提供技術(shù)上的各種參考以及漏洞bug的修復(fù)。截至2011年11月，已有接近4000個(gè)安全問題得到反饋和處理。

隨后半個(gè)多月內(nèi)，事情并未引發(fā)公眾關(guān)注。直到2011年12月21日，金山毒霸產(chǎn)品經(jīng)理韓正奇在微博爆料稱，CSDN網(wǎng)站的安全系統(tǒng)遭到黑客攻擊，包括600萬條用戶名和密碼泄露。一份名為 “CSDN-中文IT社區(qū)-600萬.rar”的文件在網(wǎng)上瘋傳。

四天后，12月25日，一份大小為386M的泄露文件“天涯數(shù)據(jù).kz”讓“泄密門”升級(jí)，該文件保存了天涯社區(qū)的用戶名、密碼、郵箱三個(gè)數(shù)據(jù)。經(jīng)網(wǎng)友驗(yàn)證，大部分?jǐn)?shù)據(jù)可登錄成功。

事后，CSDN與天涯的回應(yīng)時(shí)機(jī)、措辭如出一轍，均稱被盜并遭泄露的明文密碼數(shù)據(jù)系2009年前的備份數(shù)據(jù)，升級(jí)后已采取加密保護(hù)措施，但并未對(duì)泄露規(guī)模予以確認(rèn)。兩者亦已在第一時(shí)間向當(dāng)?shù)毓簿謭?bào)案。不過，有用戶質(zhì)疑，2009年后注冊(cè)的賬號(hào)也被泄露。

“此次信息泄露并無任何商業(yè)目的?！碧煅氖袌霾抗P(guān)經(jīng)理初蒙向《財(cái)經(jīng)》記者表示不解。據(jù)了解，數(shù)據(jù)為何泄露，為何在年底集中爆發(fā)，是公安機(jī)關(guān)偵查的重點(diǎn)。CSDN董事長蔣濤則告訴《財(cái)經(jīng)》記者，北京市公安局已抓獲涉嫌入侵CSDN的黑客。據(jù)了解，這兩名黑客或?yàn)榛ヂ?lián)網(wǎng)公司的技術(shù)人員。

依據(jù)國信辦通報(bào)，其他多起網(wǎng)絡(luò)傳播的社交網(wǎng)站及電子商務(wù)網(wǎng)站泄密事件，公眾不必多慮：新浪微博、開心網(wǎng)、7K7K網(wǎng)站、當(dāng)當(dāng)網(wǎng)、凡客誠品等網(wǎng)站均未被入侵，網(wǎng)上公布的上述網(wǎng)站部分賬號(hào)密碼系有人利用網(wǎng)絡(luò)遠(yuǎn)程大規(guī)模猜測密碼所破解，實(shí)施密碼破解的人員身份目前已被鎖定，公安機(jī)關(guān)正在實(shí)施抓捕。

但與上述說法矛盾的是，在2011年12月28日時(shí)，當(dāng)當(dāng)網(wǎng)官方已就“當(dāng)當(dāng)網(wǎng)1200萬用戶信息遭泄露”發(fā)出公告稱，該數(shù)據(jù)系2011年6月之前的老數(shù)據(jù)，是由于之前遭到網(wǎng)絡(luò)黑客攻擊被盜?。?012年1月4日，游俠安全網(wǎng)創(chuàng)始人張百川在其網(wǎng)站上發(fā)布了新浪微博的漏洞：新浪iask站點(diǎn)存在SQL注入漏洞，利用該漏洞可以讀取iask數(shù)據(jù)庫內(nèi)容，并利用該漏洞成功登錄魔術(shù)師劉謙的微博進(jìn)行驗(yàn)證。該帖子稱，這涉及到包括明文密碼在內(nèi)的7000多萬新浪用戶信息。新浪iask官方微博對(duì)此回應(yīng)，在發(fā)現(xiàn)該漏洞后已立即進(jìn)行緊急修復(fù)，受影響的賬號(hào)在30萬左右。

國信辦通報(bào)還稱，犯罪嫌疑人要某（網(wǎng)名“我心飛翔”）入侵京東商城網(wǎng)站后，在烏云網(wǎng)發(fā)帖稱掌握京東商城漏洞，后以公布該安全漏洞要挾京東商城支付270萬元。但要某并未竊取、泄露該網(wǎng)站相關(guān)數(shù)據(jù)，因涉嫌敲詐勒索，現(xiàn)被刑事拘留。

而對(duì)于“泄密門”高潮，交通銀行、民生銀行被傳泄露數(shù)以千萬計(jì)的用戶信息，及卡號(hào)、密碼、姓名的截圖傳播，國信辦表示，這純屬24歲青年王鵬輝（網(wǎng)名“挨踢客”）憑空捏造，是為提高所在網(wǎng)站知名度的自我炒作，公安機(jī)關(guān)已對(duì)其予以訓(xùn)誡。

通報(bào)發(fā)布當(dāng)晚，王鵬輝向《財(cái)經(jīng)》記者表達(dá)了委屈，他堅(jiān)持自己并非捏造者，只是從一個(gè)IT交流QQ群里看到信息，出于善意提醒發(fā)布到個(gè)人網(wǎng)站，并非信息源頭。

此外，包括支付寶賬戶信息在內(nèi)的更多在網(wǎng)絡(luò)流傳的數(shù)據(jù)包問題，國信辦并未提及。

被“忽略”的還包括廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)網(wǎng)上申請(qǐng)數(shù)據(jù)泄露問題：2011年6月24日至12月29日期間，在廣東申請(qǐng)出入境的用戶信息包括真實(shí)姓名、出生年月、電話、護(hù)照號(hào)碼、港澳通行證號(hào)碼等在內(nèi)的個(gè)人信息遭到泄露。該事件已為廣東省公安廳證實(shí)。網(wǎng)友估計(jì)泄露總信息量超過444萬條。

令人擔(dān)憂的是，即便如通報(bào)所言，僅有CSDN與天涯社區(qū)發(fā)生大規(guī)模數(shù)據(jù)泄露，這些賬號(hào)信息也會(huì)對(duì)用戶關(guān)聯(lián)賬戶產(chǎn)生巨大危害，并為惡意黑客用做建設(shè)密碼破解數(shù)據(jù)庫。

有網(wǎng)民由此認(rèn)為：“CSDN明文儲(chǔ)存密碼，不是技術(shù)問題，而是道德問題?！?/p>

“整個(gè)事件最不可思議的地方在于，像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站，居然采用明文存儲(chǔ)密碼?！睂I(yè)IT博客“月光博客”撰文表示，“稍微懂一點(diǎn)編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫里保存用戶密碼的加密信息，最簡單的MD5（密碼+隨機(jī)字符串），一般類似UCenter這樣的論壇還會(huì)將這個(gè)信息再M(fèi)D5一次，這樣黑客即使下載了數(shù)據(jù)庫，破解用戶密碼也不是一件容易的事情?！?/p>

對(duì)此質(zhì)疑，CSDN與天涯社區(qū)的官方回應(yīng)表示，早就放棄明文密碼這種不負(fù)責(zé)任的存儲(chǔ)方式，所泄露部分只是網(wǎng)站早期賬號(hào)密碼數(shù)據(jù)庫，因歷史原因并未及時(shí)清理。

蔣濤承認(rèn)，過去安全意識(shí)薄弱：“從來沒想過在安全上要做一些什么樣的工作?！彼貞洠缭?005年，CSDN與國外一家公司談投資合作，對(duì)方的第一個(gè)問題就讓他大吃一驚，“你的數(shù)據(jù)是怎么保存的，誰能獲得它？”

“因?yàn)樽哉J(rèn)為CSDN是以論壇用戶為主的社區(qū)，數(shù)據(jù)并不屬于敏感數(shù)據(jù)，技術(shù)網(wǎng)站可能也沒有太多商業(yè)利益給黑客挖掘。”蔣濤解釋。

用戶信息泄露后，CSDN請(qǐng)杭州安恒信息技術(shù)有限公司對(duì)其進(jìn)行安全審計(jì)，結(jié)果表明主要有四方面問題：第三方系統(tǒng)漏洞；已停用的老系統(tǒng)；應(yīng)用程序漏洞；系統(tǒng)后臺(tái)認(rèn)證。蔣濤對(duì)此表示，“我們有100臺(tái)服務(wù)器，但是只有三名運(yùn)維人員?！?/p>

竊密者為什么：“黑產(chǎn)業(yè)”演進(jìn)

在網(wǎng)絡(luò)安全圈內(nèi)，CSDN和天涯網(wǎng)站被“拖庫”的消息早有流傳。“一年前就聽說過了。”張百川告訴《財(cái)經(jīng)》記者。

“拖庫”在業(yè)內(nèi)被戲稱為“脫褲”，即黑客入侵有價(jià)值的網(wǎng)絡(luò)社區(qū)，把會(huì)員資料數(shù)據(jù)庫全部盜走，之后再利用這些數(shù)據(jù)庫信息，或開展定點(diǎn)攻擊，或利用用戶在不同網(wǎng)站通用一套賬號(hào)和密碼的特點(diǎn)來“撞庫”，擴(kuò)大戰(zhàn)果。

“拖庫”成功后，可以直接將數(shù)據(jù)整庫出售，如賣給被“脫褲”網(wǎng)站的競爭對(duì)手，也可以按照數(shù)據(jù)所蘊(yùn)含的價(jià)值進(jìn)行“洗庫”，即將各種含有虛擬貨幣、游戲裝備和QQ號(hào)等賬戶洗出來，直接或間接變現(xiàn)，幾番“洗庫”之后，數(shù)據(jù)庫還能賣給產(chǎn)業(yè)鏈的下游——利用賬號(hào)信息來發(fā)送廣告、垃圾短信和垃圾郵件的推銷公司。

其時(shí)，網(wǎng)絡(luò)信息地下黑色產(chǎn)業(yè)鏈的兩大牟利手段“掛馬”和“釣魚”正發(fā)生著截然相反的變化。

所謂“掛馬”，是指不法分子在網(wǎng)頁中嵌入惡意代碼，當(dāng)用戶訪問這些網(wǎng)頁時(shí)，會(huì)自動(dòng)下載、激活木馬程序，變成受控的“肉雞”，通過彈出廣告、推廣流氓軟件等方式為遠(yuǎn)程控制者賺錢；而“釣魚”則是不法分子模仿銀行、購物網(wǎng)站、炒股網(wǎng)站、彩票網(wǎng)站等建立網(wǎng)站，將釣魚網(wǎng)站和線下詐騙廣泛結(jié)合，使得詐騙者的犯罪成本急劇下降，跨地區(qū)、甚至跨國性犯罪呈上升趨勢。

根據(jù)瑞星互聯(lián)網(wǎng)安全報(bào)告，2011年上半年截獲的“掛馬”網(wǎng)站總數(shù)目為236萬個(gè)，比上年同期下降了91.2%，這也是連續(xù)第二年以90%以上的幅度下降。原因在于，“掛馬”受到各大網(wǎng)絡(luò)安全公司嚴(yán)重打擊，免費(fèi)殺毒軟件在個(gè)人終端的普及程度也大幅上升，這種網(wǎng)絡(luò)攻擊手段越來越無利可圖。

與之相反，網(wǎng)絡(luò)“釣魚”的危害程度達(dá)到新高，2011年上半年瑞星截獲釣魚網(wǎng)站218萬個(gè)，逾1億零53萬人次網(wǎng)民遭釣魚網(wǎng)站侵襲。按照此類詐騙的平均金額計(jì)算，造成直接經(jīng)濟(jì)損失至少在百億元以上。

與此同時(shí)，“拖庫”作為一種網(wǎng)絡(luò)犯罪形式日漸流行。在國際上，“拖庫”已造成多起重大網(wǎng)絡(luò)安全事件。例如2011年4月開始，索尼旗下的多個(gè)網(wǎng)站陸續(xù)被黑客攻陷，約1億用戶個(gè)人信息被黑客盜走，該事件導(dǎo)致索尼的直接經(jīng)濟(jì)損失超過千萬美元，對(duì)其聲譽(yù)和業(yè)務(wù)的影響更是巨大。

一位不愿具名的某“網(wǎng)絡(luò)安全俱樂部”組織者透露，在國外一些需要熟人推薦才能加入的地下站點(diǎn)，論壇里會(huì)列出求購的網(wǎng)站及相應(yīng)懸賞報(bào)價(jià)。“在黑客眼中，庫不在大，而在于精?！痹摻M織者對(duì)《財(cái)經(jīng)》記者稱，曾有個(gè)非常小眾的國外站點(diǎn)——一個(gè)高爾夫球俱樂部社區(qū)，“整個(gè)庫的數(shù)據(jù)量也就幾百M(fèi)，卻賣到了100多萬元人民幣”。

實(shí)際上，“很多人不敢去深度開發(fā)，將數(shù)據(jù)庫轉(zhuǎn)手賣掉是最好的獲利方式。”游俠安全網(wǎng)創(chuàng)始人張百川說。

根據(jù)自2011年9月1日起生效的最高法院、最高檢察院《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》，獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的賬號(hào)、口令、密碼、數(shù)字證書等信息十組以上；獲取其他如賬號(hào)、口令等身份認(rèn)證信息500組以上；非法控制計(jì)算機(jī)信息系統(tǒng)20臺(tái)以上；違法所得5000元以上或者造成經(jīng)濟(jì)損失1萬元以上，即可判處三年以下有期徒刑等刑罰。如達(dá)到上述標(biāo)準(zhǔn)的5倍以上，可處三年以上七年以下有期徒刑。

在紐約證券交易所一家美國上市公司就職的一位企業(yè)架構(gòu)師分析，黑客憑借自身網(wǎng)絡(luò)技術(shù)，找一份體面的工作并不難，大部分人不會(huì)去實(shí)施犯罪行為，而是游走在邊緣地帶。從理論上說，黑客的入侵行為都會(huì)在網(wǎng)站日志里留下痕跡，一旦犯事，這些蛛絲馬跡就會(huì)成為破案線索。

然而，數(shù)據(jù)庫所蘊(yùn)藏的價(jià)值極具誘惑，部分黑客依然會(huì)實(shí)施深度發(fā)掘，只不過會(huì)主動(dòng)控制風(fēng)險(xiǎn)。該企業(yè)架構(gòu)師透露，最常見的手法是嚴(yán)格執(zhí)行對(duì)被盜賬戶的小額操作——即使單個(gè)賬戶中的虛擬貨幣很多，也只轉(zhuǎn)出一部分，讓賬戶主人很難察覺；即使被發(fā)現(xiàn)，由于每個(gè)孤立的竊取行為被控制在立案標(biāo)準(zhǔn)以外，賬戶主人也難以申訴。而且，要立案必然涉及跨地域問題，大大增加了追查成本。

這樣，盡管對(duì)每個(gè)賬戶攫取的價(jià)值不高，但匯集起來就是一個(gè)很大的規(guī)模。

你安全嗎：信息安全家底

安天實(shí)驗(yàn)室首席架構(gòu)師肖新光（網(wǎng)名江?？停└嬖V《財(cái)經(jīng)》記者，攻擊者在此前較長的時(shí)間里，獲取了大量資源，應(yīng)是這次泄密事件的前提。而后期的心理跟隨效應(yīng)、一些廠商各有初衷的推動(dòng)、一些假庫和假消息各懷目的的傳播，起到了推波助瀾的效果，這些影響也會(huì)慢慢消散。

然而，“攻擊者群體手中還有更多的庫是完全有可能的”。肖新光說。

北京神州綠盟信息安全科技股份有限公司（下稱綠盟科技）一位網(wǎng)絡(luò)安全專家甚至稱，“幾乎所有國內(nèi)互聯(lián)網(wǎng)大站都出現(xiàn)過大批量的信息泄露問題”，只是礙于聲譽(yù)不愿公開。

多位網(wǎng)絡(luò)安全專家向《財(cái)經(jīng)》記者表示，目前國內(nèi)網(wǎng)站安全整體現(xiàn)狀不容樂觀。

這背后的原因，首先是安全意識(shí)淡薄。1月6日，在中國計(jì)算機(jī)學(xué)會(huì)青年計(jì)算機(jī)科技論壇上，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副總工程師杜躍進(jìn)指出，國內(nèi)很多網(wǎng)站都是“編程好了就完了，口令寫在程序里面，直接在電信運(yùn)營企業(yè)那里跑”，很少有人重視代碼安全。

此外，國內(nèi)網(wǎng)站在信息安全方面的資金投入嚴(yán)重不足，中國的安全市場占全球的比例僅為個(gè)位數(shù)，安全投入在信息系統(tǒng)建設(shè)投入中的比例，與先進(jìn)國家有太大差距。根據(jù)國際數(shù)據(jù)公司（IDC）數(shù)據(jù)，2010年全球信息安全市場的總額達(dá)到1188億美元，同期中國信息安全市場的規(guī)模僅為12.48億美元。IDC對(duì)12個(gè)國家2850家公司開展的一項(xiàng)調(diào)查結(jié)果顯示，目前國外信息安全投入占整體IT信息投入的比例為14.5%，但在中國這一數(shù)字僅為6.5%。

本已捉襟見肘的信息安全投入，還面臨著貧富不均的尷尬。在肖新光看來，“如果沒有對(duì)安全價(jià)值的共識(shí)，安全廠商一般很難和網(wǎng)站形成很緊密的合作?！被ヂ?lián)網(wǎng)巨頭建立了較大的安全運(yùn)維團(tuán)隊(duì)，甚至?xí)桶踩珡S商爭搶人才；但在多數(shù)中小型網(wǎng)站，安全投入普遍很低，甚至沒有獨(dú)立的安全人員。此外，網(wǎng)站應(yīng)用比較復(fù)雜，編程人員安全編碼能力較差，也是很普遍的現(xiàn)象。

360網(wǎng)站安全檢測平臺(tái)的數(shù)據(jù)顯示，目前國內(nèi)約83%的網(wǎng)站存在各種安全漏洞，其中34%為高危漏洞。這些漏洞導(dǎo)致最嚴(yán)重的后果就是用戶數(shù)據(jù)庫泄露。

不過，如果采取了適當(dāng)?shù)募用芊绞?，即使被“拖庫”也不等于密碼泄露，當(dāng)“拖庫”與不正確的加密方式同時(shí)發(fā)生時(shí)，才會(huì)導(dǎo)致密碼泄露。

此次泄密風(fēng)波中，最讓公眾震驚的是交通銀行等金融機(jī)構(gòu)數(shù)據(jù)泄露的網(wǎng)絡(luò)傳言。北京宇信易誠科技有限公司網(wǎng)銀產(chǎn)品部副總經(jīng)理梁強(qiáng)認(rèn)為：“對(duì)網(wǎng)銀用戶，傳言造成的主要是心理上的影響?！?/p>

與其他互聯(lián)網(wǎng)服務(wù)將用戶體驗(yàn)放在第一位不同，網(wǎng)銀和第三方支付平臺(tái)如支付寶等，在網(wǎng)站架構(gòu)時(shí)就把安全性放在首位，寧可犧牲一些用戶體驗(yàn)。

網(wǎng)銀系統(tǒng)的安全保障大致來自三個(gè)方面。在客戶端，通過增加專用密碼輸入鍵盤、U盾等措施，降低安全風(fēng)險(xiǎn)。

而在通信網(wǎng)絡(luò)上，目前所有網(wǎng)銀都是使用HTTPS通道。與網(wǎng)絡(luò)常用的HTTP通道的直觀區(qū)別在于，網(wǎng)絡(luò)地址欄的開頭顯示為“https://”，而非“http://”。它相當(dāng)于在HTTP通道構(gòu)建了一個(gè)秘密安全通道，保證了用戶與銀行終端間信息傳輸?shù)陌踩?，提高侵入難度。

為什么大多數(shù)網(wǎng)絡(luò)社區(qū)不用這種更安全的傳輸方式呢？一個(gè)最關(guān)鍵的問題是成本的增加，如購買設(shè)備、后期維護(hù)及證書等，證書還要數(shù)年更換一次。同時(shí)，這也不利于有關(guān)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)信息的監(jiān)管。

功夫下得最多的還是在銀行的服務(wù)器端，包括網(wǎng)絡(luò)架構(gòu)安全、系統(tǒng)設(shè)計(jì)安全、Web應(yīng)用安全、數(shù)據(jù)安全等方面，都有遠(yuǎn)勝普通網(wǎng)站的嚴(yán)格規(guī)范。僅以防火墻為例，一般網(wǎng)銀系統(tǒng)至少設(shè)置三道防火墻，且在采購時(shí)，一定會(huì)選擇不是同一家同一型號(hào)的產(chǎn)品。

據(jù)梁強(qiáng)所知，在業(yè)內(nèi)，網(wǎng)銀安全事件曾有發(fā)生，但整體比例很小。“多數(shù)原因是內(nèi)部的管理疏忽和內(nèi)部程序邏輯等，外部攻擊的案例極少；直接攻破服務(wù)器的案例，則幾乎沒有?！?/p>

2010年1月28日，中國人民銀行發(fā)布《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》，對(duì)網(wǎng)銀業(yè)務(wù)的發(fā)展提出了更多具體的保障要求，如明確規(guī)定禁止僅使用文件證書或文件證書加靜態(tài)密碼的方式進(jìn)行轉(zhuǎn)賬類操作；強(qiáng)調(diào)客戶端的安全性；對(duì)硬件數(shù)字證書的應(yīng)用提出規(guī)范要求；交易機(jī)制的規(guī)范化基于客戶計(jì)算機(jī)終端不安全的假定；關(guān)注Web應(yīng)用安全等。

梁強(qiáng)認(rèn)為，對(duì)普通用戶來說，過分擔(dān)心網(wǎng)銀和支付寶的安全問題意義不大，更應(yīng)該注意的是，將在網(wǎng)銀使用的用戶名和密碼與在普通論壇、網(wǎng)站使用的加以嚴(yán)格區(qū)分。

實(shí)際上，多位受訪專家均表示，此次泄露出的數(shù)據(jù)，受傷最重的是網(wǎng)民的隱私。一個(gè)直接的后果就是，你可能會(huì)接到更多的垃圾郵件、垃圾廣告和推銷電話。

泄密的成本：無奈的用戶

黑客入侵的刑事案件進(jìn)展備受關(guān)注。據(jù)國信辦披露，截至目前，公安機(jī)關(guān)此次已查處入侵、竊取、倒賣數(shù)據(jù)案件九起，編造并炒作信息泄露案件三起，刑事拘留四人，予以治安處罰八人。

在現(xiàn)有法律框架內(nèi)，《刑法修正案（七）》規(guī)定，“違反國家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金”，并增加了出售公民個(gè)人信息、非法提供公民個(gè)人信息以及非法獲取公民個(gè)人信息等三項(xiàng)罪名。

“信息泄露要制源頭，要打‘老虎’，而不是打‘蒼蠅’?！敝袊鐣?huì)科學(xué)院法學(xué)研究所研究員周漢華表示。

為何“蒼蠅”難打？廣東佛山網(wǎng)監(jiān)支隊(duì)一位警察向《財(cái)經(jīng)》記者解釋，黑客操作會(huì)被記錄在被入侵方服務(wù)器日志上，網(wǎng)警通過電信部門查看路由日志查找入侵者IP地址。但很多時(shí)候，黑客往往幾經(jīng)兜轉(zhuǎn)，連到國外服務(wù)器上去了，給其查找工作帶來困難。

CSDN等網(wǎng)絡(luò)服務(wù)提供者，既是黑客入侵受害者，對(duì)用戶而言，也是密碼泄露責(zé)任者之一，用戶能否追責(zé)？在國外，2011年4月索尼PlayStation游戲網(wǎng)絡(luò)遭黑客入侵事件中，索尼PS3和音樂、動(dòng)畫云服務(wù)網(wǎng)絡(luò)Qriocity用戶登錄的個(gè)人信息被竊取，包括姓名、住址、生日、登錄名和密碼等，受影響用戶多達(dá)7700萬人，涉及57個(gè)國家和地區(qū)。之后一個(gè)月內(nèi)，美國各級(jí)聯(lián)邦法院就收到至少40起集團(tuán)訴訟，指控索尼未能充分保護(hù)玩家個(gè)人數(shù)據(jù)和信用卡信息。

這類案件通常遵循統(tǒng)一的模式：用戶隱私信息被泄露引發(fā)大規(guī)模訴訟，企業(yè)為了維護(hù)信譽(yù)支付巨額賠償金。最終索尼正式道歉并對(duì)用戶做出補(bǔ)償。2004年，日本雅虎約有460萬用戶的個(gè)人信息外露，日本雅虎向每位用戶“賠償”6美元購物券。

中國網(wǎng)絡(luò)法律網(wǎng)首席法律顧問趙占領(lǐng)認(rèn)為，國內(nèi)用戶也可以依據(jù)侵權(quán)責(zé)任法和民法，起訴泄密網(wǎng)站；但最大的操作難點(diǎn)在于，用戶如何證明自己曾注冊(cè)該網(wǎng)站，且擁有被泄露的賬戶信息；經(jīng)濟(jì)損失界定亦是難點(diǎn)。

接近工信部通信保障局的人士向《財(cái)經(jīng)》記者表示，目前并沒有計(jì)劃也缺乏明文依據(jù)對(duì)此次泄密的網(wǎng)站做出懲罰。

上述接近工信部通信保障局的人士稱，下一階段的工作重點(diǎn)是，依據(jù)工信部2009年12月發(fā)布的《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》（下稱11號(hào)令）通知各企業(yè)加強(qiáng)網(wǎng)絡(luò)信息安全保障。

11號(hào)令是目前監(jiān)管部門針對(duì)網(wǎng)絡(luò)安全問題的主要處理依據(jù)，根據(jù)各通信網(wǎng)絡(luò)單元遭到破壞后可能對(duì)國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公眾利益的危害程度，由低到高劃分為五級(jí)，實(shí)行分級(jí)管理。

杜躍進(jìn)向《財(cái)經(jīng)》記者解釋，自11號(hào)令實(shí)施以來，依照定級(jí)結(jié)果，工信部對(duì)通信行業(yè)網(wǎng)絡(luò)單元展開了大量的安全評(píng)測和檢查工作。2011年8月又啟動(dòng)了包括網(wǎng)站、論壇等在內(nèi)的增值電信業(yè)務(wù)的安全防護(hù)試點(diǎn)工作。

“本次用戶數(shù)據(jù)泄露事件后，工信部加快了這方面的工作，目前已經(jīng)完成了對(duì)一些試點(diǎn)網(wǎng)站業(yè)務(wù)的定級(jí)工作，下一步就需要進(jìn)一步完善標(biāo)準(zhǔn)和實(shí)施安全評(píng)估、符合性評(píng)測以及安全檢查等工作了。”蔣濤向記者表示，CSDN正在申請(qǐng)第二級(jí)等級(jí)保護(hù)。

網(wǎng)絡(luò)“裸奔”隱憂：法制待健全

“網(wǎng)站的安全是不可信任的，無論是國內(nèi)的還是國外的，你只能盡量控制信息的源頭，一旦流出去了就基本脫離了你的控制?！本G盟科技上述網(wǎng)絡(luò)安全專家說。

用戶名、密碼及其他用戶信息，是網(wǎng)站最大的價(jià)值所在。前述企業(yè)架構(gòu)師說，做網(wǎng)站安全體系架構(gòu)時(shí)，有一個(gè)重要原則，“永遠(yuǎn)不要保存無法保證安全的數(shù)據(jù)”。

在這方面，韓國推行了四年有余的網(wǎng)絡(luò)實(shí)名制面臨尷尬。

2007年7月，韓國正式開始實(shí)施網(wǎng)絡(luò)實(shí)名制，成為世界上當(dāng)時(shí)唯一實(shí)行這一監(jiān)管政策的國家。該政策最初要求，每天訪問人數(shù)超過30萬的35家主要網(wǎng)站實(shí)行真實(shí)姓名和身份證號(hào)注冊(cè)，網(wǎng)民只有通過網(wǎng)站的身份驗(yàn)證后才能進(jìn)行留言。從2009年4月起，這項(xiàng)制度進(jìn)一步擴(kuò)大，每天訪問人數(shù)超過10萬的153家主要網(wǎng)站亦被劃入。

但是，隨著時(shí)間的推移，網(wǎng)民個(gè)人信息遭泄露的情況時(shí)有發(fā)生。2011年7月，韓國SK通訊公司承認(rèn)，旗下門戶網(wǎng)站Nate和社交網(wǎng)站Cyworld被黑客攻擊，不計(jì)算兩家網(wǎng)站的用戶重合部分，被盜取信息的用戶數(shù)達(dá)3500萬，而韓國總?cè)丝跀?shù)為4900萬。由于實(shí)行實(shí)名制，被盜取的用戶信息非常詳盡，包括電話號(hào)碼、身份證號(hào)、生日、電子郵箱地址，甚至血型。

在向韓國總統(tǒng)李明博提交的2012年業(yè)務(wù)計(jì)劃中，韓國互聯(lián)網(wǎng)監(jiān)管機(jī)構(gòu)廣播通信委員會(huì)提出了有關(guān)重新檢討網(wǎng)絡(luò)實(shí)名制的方案。韓國部分媒體認(rèn)為，雖然該方案是“重新檢討”，但事實(shí)上更側(cè)重于取消這一制度。

“泄密門”發(fā)生后一周內(nèi)，2011年12月29日，工信部發(fā)布調(diào)研一年之久的《互聯(lián)網(wǎng)信息服務(wù)市場秩序管理若干規(guī)定》，以部門規(guī)章的形式強(qiáng)調(diào)“互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)妥善保管用戶個(gè)人信息”。

《財(cái)經(jīng)》記者獲得的一份由工信部信息安全協(xié)調(diào)司指導(dǎo)、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處組織起草的《信息安全技術(shù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（送審稿）中，對(duì)上述“妥善保管義務(wù)”作出解讀，即“保護(hù)個(gè)人信息不為處理目的之外的任何個(gè)人或機(jī)構(gòu)所知，采取門禁、數(shù)據(jù)加密、數(shù)據(jù)完整性檢驗(yàn)等方式防止對(duì)個(gè)人信息處理場所和個(gè)人信息存儲(chǔ)介質(zhì)的未授權(quán)訪問、損害和干擾”。

該指南何時(shí)最終出臺(tái)尚未可知，而且，“這只是一個(gè)推薦實(shí)施的國家標(biāo)準(zhǔn)，違反了也沒有后果”。周漢華并不樂觀。

工信部電信研究院法律專家蔡雄山指出，在國內(nèi)立法上，對(duì)個(gè)人數(shù)據(jù)控制者未盡妥善保管義務(wù)的法律后果規(guī)定得并不完善，懲罰力度也不夠。

關(guān)于個(gè)人信息保護(hù)條款散見于《刑法修正案（七）》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等法律法規(guī)中；在監(jiān)管機(jī)關(guān)層面，國內(nèi)也缺乏明確的專職的個(gè)人信息保護(hù)機(jī)構(gòu)，而以歐盟為例，27個(gè)成員國每個(gè)國家都有一個(gè)專門的信息保護(hù)機(jī)構(gòu)。

據(jù)了解，《個(gè)人信息保護(hù)法》的立法工作在2003年曾一度啟動(dòng)，如今仍處于擱置中。

在網(wǎng)絡(luò)信息安全監(jiān)管層面，中國已有相關(guān)法律規(guī)范有百余部，除去《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等專門立法外，還散見于《憲法》、《刑法》、《國家安全法》、《保守國家秘密法》、《治安管理處罰法》等中。承擔(dān)信息安全監(jiān)管工作的工信部、公安部、國家保密局以及國家密碼管理局等都曾發(fā)布部門規(guī)章或相關(guān)規(guī)范性文件；而國家食品藥品監(jiān)督管理局、衛(wèi)生部、銀監(jiān)會(huì)、證監(jiān)會(huì)以及鐵道部等也曾就各自主管領(lǐng)域發(fā)布規(guī)章文件。

現(xiàn)狀是，法律規(guī)定分散交叉、立法層級(jí)不高，缺乏一部專門的綜合性信息安全法律來規(guī)范網(wǎng)絡(luò)行為，明確用戶、企業(yè)等相關(guān)方面責(zé)任義務(wù)的法律。

2010年，工信部曾力推《信息安全條例》的出臺(tái)，條例報(bào)送稿中對(duì)信息網(wǎng)絡(luò)環(huán)境下法律主體的權(quán)利、義務(wù)，各種危害網(wǎng)絡(luò)與信息系統(tǒng)安全行為等內(nèi)容作出規(guī)定，迄今也并無新的消息。