我的信息誰維護?——由CSDN“泄密門”看網站信息安全建設

| 文 · 本刊實習記者 張夢星

2011年12月21日，中文IT技術社區CSDN網站數據庫遭黑客入侵，600萬用戶的登錄名及密碼慘遭泄露，用戶隱私信息淪為了黑客炫耀的戰利品。更有甚者將泄露用戶信息做成壓縮包，上傳至網絡供人下載，構成以獲取利益為目標的違法行為。至此，泄密事件一發不可收拾，逐步衍化為一起波及多方的社會事件。

中國軟件開發聯盟CSDN（Chinese Software Develop Net）是中國最大的IT知識服務集團，從事IT信息傳播、技術交流、教育培訓和專業技術人才服務。CSDN擁有超過1800萬注冊會員、10000名CTO、50萬注冊企業及合作伙伴，全球中文網站排名第27位。可以想象，這樣一個企業的用戶數據被泄露，后果不堪設想。

CSDN“泄密門”事件之所以有如此廣泛的影響，還因為作為一個開發者、程序員匯集的技術社區網站，普遍被認為安全級別很高，被黑客襲擊似乎是件很諷刺的事情。

禍不單行的是，之后幾天里，人人網、天涯社區、百合網等眾多知名網站也相繼中招，紛紛卷入“泄密門”。這種大范圍的用戶信息泄漏在公眾中造成了很大的不安和恐慌，一時之間，關于網站和數據庫安全、用戶密碼設置和安全意識提升的討論如火如荼，各種防盜寶典、安全貼士鋪天蓋地。

2012年1月10日，北京市公安局稱，CSDN兩名涉案黑客已經被抓獲，并指出此次泄密與實名制無關，對此前廣為流傳的“黑客向實名制的挑戰”傳聞做了澄清。1月12日，CSDN董事長蔣濤在事件爆發20天后首次直面媒體，正面解釋泄密事件。鑒于此前CSDN同大多網絡公司一樣，沒有配備專門的安全系統或安全工程師，CSDN宣布將與阿里云公司的專業安全團隊合作，共同打造安全可信的服務平臺。

然而，從CSDN泄密事件爆發到宣布與阿里云公司合作，對互聯網安全的討論和反思，僅持續了一個月便淡出公眾視線。從泄密發生后輿論爆發，到調查結果出臺后事態迅速冷卻，再至春節氣氛下徹底遺忘，CSDN“泄密門”像很多之前曾轟動一時的事件一樣，在時間面前敗下陣來。但如何從中吸取教訓、構筑互聯網信息安全，是一件我們必須時常考慮的事情。

信息泄露，誰之過？

泄密事件發生后，CSDN網站的回應速度遠遠趕不上事態的擴張和輿論的蔓延。在1月12日的見面會上，董事長蔣濤向媒體介紹了事件爆發后CSDN采取的3方面措施：重置所有遭泄露用戶的密碼、提醒使用前100個最常用密碼的用戶自行修改密碼、請第三方信息技術公司進行安全審計。而蔣濤表示：“審計發現，CSDN確實存在應用程序漏洞、系統后臺認證漏洞等一系列安全問題。”

但問題不僅僅存在于這場悲劇的主角CSDN，許多大型網站都存在安全意識薄弱的問題。據統計，有80%的常用網站和60%的安全類網站也存在漏洞，70%的密碼庫可以被破解。蔣濤稱：“這些數據早都存在，長久以來國內整個信息系統都存在問題，只是在CSDN事件爆發后，才被攤在桌面上。這是我們互聯網的現狀。”

此次CSDN的泄密事件讓很多網站開始反思自己的安全問題。

按照蔣濤的說法，國內互聯網公司普遍存在的問題是重視業務、缺乏安全意識、對于數據安全和系統安全認識不夠，由此導致了用于安全維護的投入不高。多數企業還在采取老舊的信息安全防護方法，與目前先進的IT技術完全脫節，無法抵御形式多樣的攻擊。

有資料表明，在歐美國家，互聯網公司的信息安全投入占整體支出的8%—10%，而中國企業這個投入的比例還不到1%。互聯網數據中心IDC（Internet Data Center）對來自多個國家近3000家公司的調查也顯示，國外信息安全投入遠大于中國。

另一個同樣嚴重的問題是，目前在我國互聯網行業，信息安全和信息技術是分離的。蔣濤也表示：“一般只有像百度、騰訊這樣的網絡公司才會有安全工程師，其他網站很少有這樣的人才配備。”當然，要求每一個IT企業都有專門的安全系統或安全工程師也不現實。因此，網站同信息安全公司結合的模式或許會成為許多公司未來的選擇。

網站信息安全的建設不是一朝一夕的事，能意識到問題只是第一步，和信息安全公司的磨合也需要時間。與此同時，網站自身還需要采取一些具體的措施，力保用戶信息安全。

為防止信息泄露，網站首先要做的是全面掌握自己有哪些涉密信息，清楚信息安全維護的短板何在。比如，許多網絡安全專家認為，明文保存密碼是使包括CSDN在內的多個商業網站用戶信息輕易被攻破的重要原因。然后要做的是根據現存的安全問題，結合各部門的具體情況進行相應管理。

同時，網站應建立規范的制度，如簽署保密協議、對涉密信息的獲取權限、流程等進行嚴格規定。此外，還需要建立嚴格的審計機制，對內部人員，尤其是有高權限的IT管理人員的行為進行定期審計，若有問題，及早發現。

除了技術性的防護手段和操作規范以外，網站自身的管理也必不可少。網站企業應普及并提高保護用戶隱私的意識。一些企業長期忽視用戶利益，責任意識淡薄，更不排除在看到內部資料，如客戶信息的價值后，有些員工會突破職業底線。如此一來，這類事件的后果會比由外部攻擊引起的信息泄露事故更為嚴重。為杜絕這些隱患，網站企業需加強內部管理，如利用企業文化規范員工行為，提升員工凝聚力等。

對于某些信息安全問題，裝在客戶端的殺毒軟件無能為力，用戶更是束手無策。但實際上，有些安全問題不僅限于服務端，也存在于用戶端。

很多用戶不重視賬戶安全，以為賬號不值得被利用，殊不知黑客會用程序批量掃描獲取密碼。終端自身和訪問目標是否安全也常常被人們忽略。其實，不論網站還是用戶，安全意識淡薄都是發生信息泄露的根本原因。

密碼是用戶在保護自身信息安全中的重要部分。但通過一組數據數據便可看出，密碼設置并沒有引起大部分用戶的重視：在我國，100個最常用的密碼被22.6%的用戶使用、60%以上的用戶使用純數字口令。拿CSDN事件為例，即便在信息遭泄露、網站反復提醒下，也僅有30%密碼遭泄露的用戶對密碼進行了修改。

根據安全專家的建議，網友應該把日常使用的網絡服務分類。“郵箱就像保險箱，里面有打開其他服務的全部鑰匙”，所以重要服務如郵箱等，設置密碼時需要尤為注意，避免一但被黑客惡意進入，暴露更多真實信息。同時，應盡量在不同網站設置不同的登錄密碼，以防其中之一被攻破，其它的全軍覆沒。至少銀行、金融支付等重要密碼應和其它網站進行區別。最后，養成定期更換密碼的習慣，且設置的密碼安全等級要有一定強度。

除了在密碼上花些心思，確保終端電腦和訪問網站的安全也十分重要。具體如及時給系統升級、修補漏洞、定期殺毒、不在公共場所進行涉及個人信息的操作、不隨意訪問不可信網站等。

相比于一般企業，網站內保存大量客戶資料和智力資產。電子商務平臺里有許多真實的用戶信息，如姓名、地址、手機號碼，一旦泄漏，后果將不堪設想。而政府服務網站泄露信息危害更大。有專家指出，此次CSDN事件值得我們反思的地方很多。除了網站應加強安全建設、用戶應注意隱私保護外，法律方面，主管部門應盡快出臺法規，從權利保護、責任認定、責任追究和法律保障上，對個人信息予以保護，明確個人、網站和監管機構各方所應承擔的責任、義務。

同時，有律師表示，不管是黑客入侵還是內部泄露，網站既構成侵權，又構成違約。如果用戶因為信息泄露造成損失，有權向網站索賠。

而目前，我國對個人信息安全保護的相關法律條例仍有待完善。更有通過法律的明確規定，才能讓企業真正實行其義務，有力保障個人信息。在制定公民信息法律方面， 美、德、法、英四國就為我們做出了很好的表率。

美國是隱私權相關概念和理論的發祥地，其保護隱私權的法案早在1974年就已生效。之后，又有《財務隱私權法》、《聯邦電子通信隱私權法》、《家庭教育權利及隱私法》、《計算機對比和隱私權保護法》等不斷補充進來。隨著信息技術的發展，聯邦政府及各州還不斷出臺新法、升級老法，使隱私權保護能緊跟時代步伐。

在德國，隱私權作為一項獨立的人格權受到民法典保護。1970年，德國黑森州頒布了德國首部地方性《數據保護法》，從而在全球開辟了一個新的立法領域。《聯邦數據保護法》和《州數據保護法》在1977年和1981年也先后出臺。1983年，德國立法機構全面修訂了《數據保護法》。為適應時代變化，德國又于2001年和2006年根據歐盟的新規定兩度修訂《聯邦數據保護法》。

法國國家信息技術與自由委員會成立于1978年，目的是保證信息技術不妨礙人權、個人隱私和自由。2004年，法國國民議會通過法律，賦予委員會對違規機構進行經濟處罰的權利。

英國議會于1984年通過了《數據保護法》，并于1998年對該法進行修訂。此后，英國陸續通過了《調查權法》、《通信管理條例》和《通信數據保護指導原則》等一系列旨在保護公民個人信息的法律。

做好信息安全，需要網站企業、用戶個人、監管部門三方共同促進。一種處在這三種角色之間的新力量，能否肩負起維護信息安全的重任？

在媒體見面會上，蔣濤曾承認，CSDN當時對烏云平臺發出的預警沒有足夠的重視，導致事件不斷擴大。烏云網是國內一家披露互聯網廠商安全漏洞的網站，其信息來源于注冊用戶的提交，旨在為廠商和安全研究者之間搭建一個平臺：企業可通過該平臺獲知自己網站的潛在危險，后者可以在此學習、交流和研究。

去年歲末，作為許多網絡泄密事件的發布源頭，烏云網先后曝出了CSDN、天涯社區、當當網、京東商城等網站存在安全漏洞。12月29日又披露了1,500萬至2500萬支付寶用戶資料泄露事件和廣東出入境政務網站后臺存在的嚴重漏洞。據稱，444萬網上申請用戶的真實信息，如姓名、護照號碼、港澳通行證號碼等已經遭到泄密。

鑒于以上幾起泄密事件為自身帶來的巨大壓力，12月31日，烏云網宣布暫時關閉網站，理由是“對系統做短暫升級”。同時，網站還發布公告稱：“最近頻繁披露的安全事件及帶來的影響表明，一方面我們企業的整體安全建設還不夠完善，但是同樣反饋出烏云平臺無論是溝通渠道還是響應機制都存在一些問題。在漏洞公開機制上，烏云考慮是否逐漸向公眾披露，以減少實際可能帶來的影響。”但分析人士指出，網站選擇暫時關閉，更可能是來自政府以及企業的壓力。“社會影響太大，已經遠遠超出漏洞公布的技術層面了。”有專家這樣說。

結語

自互聯網行業出現以來，網絡安全問題就屢禁不止。即便在信息化發達的美、歐、日等國，黑客攻擊、病毒侵襲、信息泄露等事件同樣時有發生。但近些年來，更多攻擊行為開始以牟利為目的，尤其針對個人信息。黑客已經形成一個龐大的產業鏈，使信息安全形勢變得更加復雜。

因此，僅從安全技術角度，是不能夠根治這種病癥的。同樣，依靠用戶修改密碼也不能帶來實質性的效果。真正的解決辦法在于：一方面，互聯網企業應正視信息安全給企業帶來的價值，加大對其投資力度；同時充分認識到一旦信息泄露，不僅會造成經濟上的損失，還會損害企業形象，影響企業社會公信力等。另一方面，政府也應該從戰略高度審視互聯網安全問題，加強相關法規的建設。總之，中國互聯網需要通過轉變認識和調整發展方式來擺脫網絡安全問題。