“泄密门”撕开互联网安全“遮羞布”

“泄密门”撕开互联网安全“遮羞布”

国家互联网管理部门强力介入可能会增强网民的些许信心，但是，面对频频发生的“泄密门”，人们不禁要问，在安全防护上如此脆弱的互联网还能“粘”住网民吗？没有了信息安全这个“安全带”，中国互联网产业还能继续狂飙猛进吗？互联网信息安全脆弱不堪CSDN数据泄露事件好像是一个导火索，让一直远离大众视野的信息安全成为热点。来自国家互联网信息办的消息显示，网上热传的一系列泄密事件中，经查只有CSDN、天涯网站曾在2009年以前被入侵，数据遭泄露也发生在两年前，近期这两家网站并未遭受攻击。京东商城网站也遭入侵，但数据未泄露。而广东“YY”语音聊天网站泄露的数据，则为该公司员工利用职务之便从公司内部备份数据库窃取的，网站并未被入侵。至于工商银行等金融机构数据泄露事件则被证实是谣言，工行等银行系统并未被入侵，网上公布的所谓“数据”与银行相关数据不符。备受网民关注的新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵。网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解，实施密码破解的人员身份目前已被锁定，公安机关正在实施抓捕。截至目前，公安机关此次已查处入侵、窃取、倒卖数据案件9起，编造并炒作信息泄露案件3起，刑事拘留4人，予以治安处罚8人。瑞星昨日最新发布的《2011年度安全报告》也显露出信息安全形势的严峻。报告指，当前威胁国内互联网安全的因素主要是病毒和木马等恶意程序、钓鱼诈骗、黑客“拖库”攻击，这其中，黑客以取得的用户数据库为基础，利用“社会工程学”原理对用户进行全面的诈骗、密码猜解、身份伪造、病毒和挂马等攻击，这种新型攻击已经全面渗透到黑色产业的各个环节，显示出巨大的现实危害。有调查数据显示，单个受害用户的受损金额较往年增长较多，黑客通过MSN和QQ进行“老同学，帮我买几张充值卡”诈骗，利用团购进行“假iPhone诈骗”，利用搜索引擎广告来出售假冒伪劣商品等多种新型钓鱼诈骗方式，使得网民一旦中招，就会损失数千、甚至上万的金钱。事实上，“泄密门”不仅发生在中国互联网上，针对大型网络服务商的“拖库”攻击已经席卷全球，即使强大如美、日、韩等国的互联网，进入2011年以来都面临着同类问题，单单在上半年，就有日本索尼公司、美国wordpress等网站遭攻击，损失惨重。高速扩张下的隐忧面对层出不穷的黑客攻击，互联网为何如此脆弱？许多业界专家都在对此进行反思。量子在线CEO宁志翔长期在美国硅谷工作，其设在硅谷的实验室尤其重视信息安全，聘请的安全类工程师年薪超过20多万美元。在他看来，近十年以来，国内互联网企业只重视规模扩张，追求高速增长，对信息安全的投入很少甚至是没有。“在某种程度上，我可以说中国互联网存在一批豆腐渣工程，很多网站都是互相抄袭，只想着赚快钱，连基本的安全防护也没有。而且，有些网站使用盗版软件，无法及时更新，这些网站相当于是纸糊的房子，安全性根本无法保障。”的确，在互联网业内，安全维护未受到重视。有调研数据显示，目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%，而对安全性要求比较高的金融行业为10%，欧美互联网公司的安全支出占比普遍为8%-10%。瑞星安全专家称，“泄露门”最根本的原因是一些互联网企业没有建立完善的安全防护机制，不但对来自外网的威胁无法拦截，而且对内网安全防护也没有做到位。大部分电子商务网站仅部署传统的安全措施，如用系统和网络防火墙来防护传统的攻击，但对于新型针对应用层的入侵攻击，并没有采取相应的安全措施。实际上，网站安全投入的数额并不太高。宁志翔透露，以一家中型网站为例，部署应有的安全防护措施每年只需投入十几万元到几十万元，这对于电子商务等已经融资正在“烧钱”发展的互联网企业而言，其实是很容易实现的。但令人失望的是，更多的企业关注的是扩张的速度而无视信息安全。监管与立法双管齐下对于信息安全的解决之道，很多业界专家都认为应该使用法律手段，唯其如此，才能真正解决日益严重的信息安全问题。宁志翔说：“信息安全应该上升到国家利益的高度，应该在最高立法层面予以规范，地方利益和行业利益都要服从它，而现在立法缺失，谈如何保证信息安全只能是一句空话。”他建议，国家相关部门应该加紧制定一些信息安全管理条例，因为法律出台的速度较慢，条例则相对较快，而且，条例中的规定如有不合理的地方，修改起来也相对容易。在操作层面上，业内人士建议互联网企业应该加强建立监管机制。正如“堡垒都是从内部攻破”，互联网企业更应该