“泄密門”撕開互聯網安全“遮羞布”

國家互聯網管理部門強力介入可能會增強網民的些許信心，但是，面對頻頻發生的“泄密門”，人們不禁要問，在安全防護上如此脆弱的互聯網還能“粘”住網民嗎？沒有了信息安全這個“安全帶”，中國互聯網產業還能繼續狂飆猛進嗎？互聯網信息安全脆弱不堪CSDN數據泄露事件好像是一個導火索，讓一直遠離大眾視野的信息安全成為熱點。來自國家互聯網信息辦的消息顯示，網上熱傳的一系列泄密事件中，經查只有CSDN、天涯網站曾在2009年以前被入侵，數據遭泄露也發生在兩年前，近期這兩家網站并未遭受攻擊。京東商城網站也遭入侵，但數據未泄露。而廣東“YY”語音聊天網站泄露的數據，則為該公司員工利用職務之便從公司內部備份數據庫竊取的，網站并未被入侵。至于工商銀行等金融機構數據泄露事件則被證實是謠言，工行等銀行系統并未被入侵，網上公布的所謂“數據”與銀行相關數據不符。備受網民關注的新浪微博、開心網、7K7K網站、當當網、凡客誠品等網站均未被入侵。網上公布的上述網站部分賬號密碼系有人利用網絡遠程大規模猜測密碼所破解，實施密碼破解的人員身份目前已被鎖定，公安機關正在實施抓捕。截至目前，公安機關此次已查處入侵、竊取、倒賣數據案件9起，編造并炒作信息泄露案件3起，刑事拘留4人，予以治安處罰8人。瑞星昨日最新發布的《2011年度安全報告》也顯露出信息安全形勢的嚴峻。報告指，當前威脅國內互聯網安全的因素主要是病毒和木馬等惡意程序、釣魚詐騙、黑客“拖庫”攻擊，這其中，黑客以取得的用戶數據庫為基礎，利用“社會工程學”原理對用戶進行全面的詐騙、密碼猜解、身份偽造、病毒和掛馬等攻擊，這種新型攻擊已經全面滲透到黑色產業的各個環節，顯示出巨大的現實危害。有調查數據顯示，單個受害用戶的受損金額較往年增長較多，黑客通過MSN和QQ進行“老同學，幫我買幾張充值卡”詐騙，利用團購進行“假iPhone詐騙”，利用搜索引擎廣告來出售假冒偽劣商品等多種新型釣魚詐騙方式，使得網民一旦中招，就會損失數千、甚至上萬的金錢。事實上，“泄密門”不僅發生在中國互聯網上，針對大型網絡服務商的“拖庫”攻擊已經席卷全球，即使強大如美、日、韓等國的互聯網，進入2011年以來都面臨著同類問題，單單在上半年，就有日本索尼公司、美國wordpress等網站遭攻擊，損失慘重。高速擴張下的隱憂面對層出不窮的黑客攻擊，互聯網為何如此脆弱？許多業界專家都在對此進行反思。量子在線CEO寧志翔長期在美國硅谷工作，其設在硅谷的實驗室尤其重視信息安全，聘請的安全類工程師年薪超過20多萬美元。在他看來，近十年以來，國內互聯網企業只重視規模擴張，追求高速增長，對信息安全的投入很少甚至是沒有。“在某種程度上，我可以說中國互聯網存在一批豆腐渣工程，很多網站都是互相抄襲，只想著賺快錢，連基本的安全防護也沒有。而且，有些網站使用盜版軟件，無法及時更新，這些網站相當于是紙糊的房子，安全性根本無法保障。”的確，在互聯網業內，安全維護未受到重視。有調研數據顯示，目前中國互聯網公司的信息安全支出在整體IT支出中的比例不到1%，而對安全性要求比較高的金融行業為10%，歐美互聯網公司的安全支出占比普遍為8%-10%。瑞星安全專家稱，“泄露門”最根本的原因是一些互聯網企業沒有建立完善的安全防護機制，不但對來自外網的威脅無法攔截，而且對內網安全防護也沒有做到位。大部分電子商務網站僅部署傳統的安全措施，如用系統和網絡防火墻來防護傳統的攻擊，但對于新型針對應用層的入侵攻擊，并沒有采取相應的安全措施。實際上，網站安全投入的數額并不太高。寧志翔透露，以一家中型網站為例，部署應有的安全防護措施每年只需投入十幾萬元到幾十萬元，這對于電子商務等已經融資正在“燒錢”發展的互聯網企業而言，其實是很容易實現的。但令人失望的是，更多的企業關注的是擴張的速度而無視信息安全。監管與立法雙管齊下對于信息安全的解決之道，很多業界專家都認為應該使用法律手段，唯其如此，才能真正解決日益嚴重的信息安全問題。寧志翔說：“信息安全應該上升到國家利益的高度，應該在最高立法層面予以規范，地方利益和行業利益都要服從它，而現在立法缺失，談如何保證信息安全只能是一句空話。”他建議，國家相關部門應該加緊制定一些信息安全管理條例，因為法律出臺的速度較慢，條例則相對較快，而且，條例中的規定如有不合理的地方，修改起來也相對容易。在操作層面上，業內人士建議互聯網企業應該加強建立監管機制。正如“堡壘都是從內部攻破”，互聯網企業更應該