2011年年底,“改密碼了嗎”成了一句網(wǎng)絡(luò)流行的問候語。事情的緣起是,2011年12月21日,國內(nèi)最大的程序員社區(qū)網(wǎng)站CSDN被爆出有超過600萬用戶的注冊資料遭泄露。隨后還有消息說,有多家網(wǎng)站的用戶信息也被泄露,于是很多網(wǎng)站提醒注冊用戶,盡快修改注冊密碼,尤其是在不同網(wǎng)站注冊的賬戶,不要使用相同的密碼,以防被黑客破解。
這場密碼危機引發(fā)了IT界的大討論:那些放在互聯(lián)網(wǎng)虛擬世界的個人信息究竟該如何保護?在很多專家看來,此次密碼泄露事件正在拷問我國的互聯(lián)網(wǎng)安全。
1月6日召開的中國計算機學(xué)會青年計算機科技論壇上,CSDN總裁蔣濤坦言,作為一個論壇性質(zhì)的社區(qū)網(wǎng)站,過去確實忽視了網(wǎng)絡(luò)安全問題。
國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長杜躍進則指出,網(wǎng)站對互聯(lián)網(wǎng)安全的重視程度并沒有跟網(wǎng)絡(luò)日新月異的發(fā)展同步。可以說,互聯(lián)網(wǎng)安全一直沒有受到應(yīng)有的重視。其短板問題還體現(xiàn)在法律法規(guī)方面。北京郵電大學(xué)教授李欲曉介紹說,根據(jù)現(xiàn)有的法律,網(wǎng)民很難就自己的信息被泄露進行維權(quán)。
CSDN承認對安全問題重視不夠
論壇上,蔣濤首次披露了該網(wǎng)站的安全審計報告。而在過去的10多天里,蔣濤被反復(fù)追問的問題是,用戶的信息是怎么被泄露出去的,哪個環(huán)節(jié)出了問題?
蔣濤介紹說,去年12月21日,泄露事件被披露的當(dāng)天,CSDN就請了一家網(wǎng)絡(luò)安全技術(shù)公司對網(wǎng)站安全進行審計。根據(jù)安全公司提供的審計報告,此次CSDN資料泄露事件暴露出該網(wǎng)站的四個安全問題:第一是開源系統(tǒng)等第三方系統(tǒng)存在漏洞,導(dǎo)致CSDN系統(tǒng)存在安全風(fēng)險;其次是應(yīng)用程序存在跨站腳本漏洞;第三,網(wǎng)站存在大量系統(tǒng)后臺認證漏洞,如安全等級較弱的口令等;第四,一些已經(jīng)停用但還在線上的老系統(tǒng)由于安全級別低,泄露了大量信息。
CSDN是一個以論壇用戶為主的社區(qū),負責(zé)人蔣濤一直認為,這樣一個程序員討論技術(shù)問題的網(wǎng)站,對黑客來說沒有太多的商業(yè)利益可以挖掘,所以并沒有高度重視網(wǎng)站的安全問題,直到此次用戶資料被泄露。
蔣濤說,他們有將近100臺服務(wù)器,但只有3個運維人員。運維工作包括老的系統(tǒng)漏洞升級、數(shù)據(jù)備份、認證管理等,3個人根本做不過來,最終導(dǎo)致隱患爆發(fā)。
在談到未來解決密碼泄露措施時,蔣濤介紹說,為了減小數(shù)據(jù)泄露的風(fēng)險,提高網(wǎng)站系統(tǒng)的安全性,CSDN目前正在向安全部門申請信息系統(tǒng)等級保護,以接受信息安全監(jiān)管部門的監(jiān)督管理。
此外,CSDN還會強化網(wǎng)站核心服務(wù)的安全,把網(wǎng)站的非核心服務(wù)與核心業(yè)務(wù)進行隔離,以減小系統(tǒng)安全風(fēng)險。同時,CSDN將采取相關(guān)措施,加大黑客獲得數(shù)據(jù)的成本,降低網(wǎng)站數(shù)據(jù)對黑客的價值。據(jù)了解,CSDN也將在網(wǎng)站后臺引入安全審核機制,從內(nèi)部杜絕數(shù)據(jù)泄露的可能性。
互聯(lián)網(wǎng)安全警鐘早已敲響
有網(wǎng)民說,CSDN密碼泄露事件敲響了中國互聯(lián)網(wǎng)安全的警鐘,但在杜躍進看來,過去10年間,警鐘早已敲響多次,但互聯(lián)網(wǎng)安全一直沒有受到應(yīng)有的重視。
杜躍進說,在互聯(lián)網(wǎng)發(fā)展的初期,網(wǎng)站安全可能就是個面子問題:被黑客攻擊了,網(wǎng)站面子上不好看。但隨著互聯(lián)網(wǎng)日新月異的發(fā)展,網(wǎng)絡(luò)成為人們?nèi)粘I畹囊徊糠郑切┡c百姓生活密切相關(guān)的網(wǎng)站一旦受到攻擊,有可能影響到社會的運轉(zhuǎn)。遺憾的是,網(wǎng)絡(luò)在社會生活中的地位越來越重要,但網(wǎng)絡(luò)的安全問題卻沒有得到足夠重視。
根據(jù)杜躍進的分析,過去10年來,黑客對網(wǎng)絡(luò)安全的攻擊水平步步提升。最早可能就是把網(wǎng)站黑了,或者篡改一下網(wǎng)站的內(nèi)容;后來,就出現(xiàn)了趨利性的攻擊,比如釣魚設(shè)套,掛木馬盜取用戶的賬戶;再后來,就出現(xiàn)了竊取網(wǎng)站后臺數(shù)據(jù)牟利的行為。但網(wǎng)站的安全防守并沒有與黑客的攻擊水平同步升級。
在杜躍進看來,在網(wǎng)絡(luò)安全較量中,攻擊者屢屢得手有三方面的原因。首先是網(wǎng)站的安全意識淡薄。網(wǎng)站經(jīng)營商或者是服務(wù)提供商既不重視安全問題,也不知道該怎么做。杜躍進舉例說,不久前他曾被邀請去參加一個網(wǎng)絡(luò)媒體大會,輪到他講安全問題時,很多單位的負責(zé)人都走了。于是他就問:“如果發(fā)生重大網(wǎng)絡(luò)安全事件該怎么辦?”因為能做決定的領(lǐng)導(dǎo)不在!
其次是技術(shù)上的短板。再者是制度缺陷,很多網(wǎng)站認為安全不是什么大問題,以至于制度安排上沒有體現(xiàn)對安全的重視。
法律短板致用戶維權(quán)難
這次CSDN密碼泄露事件,個人用戶是直接受害者。李欲曉認為,此次事件中,用戶隱私權(quán)和名譽權(quán)都受到了不同程度的侵害,但要維權(quán)卻困難重重。
李欲曉分析此次CSDN密碼泄露事件中的法律責(zé)任時認為,在此次事件中,網(wǎng)絡(luò)服務(wù)提供者和黑客攻擊者顯然有責(zé)任,但由于與網(wǎng)絡(luò)安全相關(guān)的立法滯后,目前追究網(wǎng)站和黑客的法律責(zé)任較為困難,現(xiàn)有的法律法規(guī)對國家安全、個人權(quán)益的保護都有缺失。
據(jù)李欲曉介紹,目前我國很多法律條款,比如《刑法修正案(七)》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等都有涉及個人信息法律保護的內(nèi)容,但是其中并未提到用戶因網(wǎng)站遭受黑客攻擊密碼泄露,或者用戶因此受到損失,網(wǎng)站應(yīng)該承擔(dān)怎么樣的責(zé)任。
一個嚴峻的現(xiàn)實是,目前的法律對黑客的破壞行為可能難有約束力。
早在2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”,就已經(jīng)對黑客、商業(yè)網(wǎng)站或者其內(nèi)部人員惡意泄露用戶信息牟利的行為作出追究責(zé)任的規(guī)定。因此,黑客此類行為構(gòu)成犯罪,但問題的關(guān)鍵是“黑客在哪兒,他們是誰?”黑客都追不到,該如何定罪。
對用戶來說,可以向公安機關(guān)報案,但依據(jù)現(xiàn)有的法律只能尋求民事賠償,而且個人如何通過技術(shù)手段查到黑客身份,或者界定經(jīng)濟損失都存在很大難度,個人用戶維權(quán)非常難。李欲曉說:“因為電子證據(jù)技術(shù)性太強,而且很容易被篡改,所以取證很難。”
在論壇現(xiàn)場有人提問李欲曉,如果因為密碼泄露導(dǎo)致銀行賬戶的資金被竊取,能不能起訴銀行或者網(wǎng)站。李欲曉直言,依據(jù)現(xiàn)有的法律法規(guī)可以進行這方面的訴訟。但起訴之后不一定會得到有利的判決,因為在侵權(quán)責(zé)任法和民法方面,還沒有明確的規(guī)定。
用戶不是計算機專家
杜躍進介紹說,解決互聯(lián)網(wǎng)安全問題,政府的推動作用非常重要。政府應(yīng)該在政策、標準制定、監(jiān)督、檢查等方面起作用。比如說,代碼安全不被重視,政府可以提要求,一定級別的代碼要經(jīng)過第三方監(jiān)測。
李欲曉說,目前我國網(wǎng)絡(luò)法律還不健全,國家應(yīng)加強網(wǎng)絡(luò)法律建設(shè),尤其是出臺網(wǎng)絡(luò)安全的相關(guān)法規(guī),保證網(wǎng)民能夠在一個安全可信環(huán)境下去享受互聯(lián)網(wǎng)提供的便利。
杜躍進說,除了政府的推動,網(wǎng)站服務(wù)商本身也要有長遠戰(zhàn)略與社會責(zé)任,尤其是面對新的黑客威脅,單靠用戶安全意識不斷提高并不能解決問題。永遠不要期待用戶安全意識能提到足夠高的水平。用戶就是用戶,不是計算機專家,不能要求他們整天想著計算機有什么毛病。
作為被黑客攻擊的受害者,蔣濤建議,應(yīng)在業(yè)界建立共享安全技術(shù)聯(lián)盟,大家共享安全公共知識庫,共同提升開發(fā)人員的安全技術(shù)水平。
李欲曉則認為,網(wǎng)絡(luò)安全需要一個整體的網(wǎng)絡(luò)安全環(huán)境,“我們已經(jīng)進入網(wǎng)絡(luò)社會,現(xiàn)在有5億人在使用互聯(lián)網(wǎng),每個用戶的生活和財產(chǎn)信息、個人隱私全在網(wǎng)上。但是我們在各個方面似乎準備得還不充分,無論是網(wǎng)絡(luò)服務(wù)企業(yè)還是網(wǎng)絡(luò)安全企業(yè),包括網(wǎng)民自己,都應(yīng)該想想今后面對這樣的網(wǎng)絡(luò)社會該做什么準備”。
推薦閱讀
百思買本周公布的去年12月銷售額出現(xiàn)了同比滑坡,這引發(fā)了分析師和投資者的批評。不過,百思買CEO布萊恩·鄧恩(BrianDunn)周五對此做出反擊。 北京時間1月8日上午消息,百思買本周公布的去年12月銷售額出現(xiàn)了同比滑坡>>>詳細閱讀
本文標題:CSDN承認對安全問題重視不夠 用戶維權(quán)難
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/169731.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示