论文部分内容阅读
北京的陈女士注册了一家自己的网店做生意,网络账号与手机是绑定的。有一天,她打开收入账户查看,令她震惊的是里面的资金已经不翼而飞。经调查后发现,不法分子设法挂失了陈女士的手机卡,后补办新卡,从而盗取了她的网络账号、登录密码、支付密码。陈女士的遭遇是目前网络信息泄露案例中的一个典型,却不是泄密的唯一途径。2011年5月初,花旗银行披露其北美地区银行网站受到黑客恶意攻击,21万北美地区银行卡用户的姓名、账户、电子信箱等信息可能被泄露。
类似的事件在中国不时发生。自2011年12月下旬起,国内网络上盛传各个社区和社交性网站的用户资料及密码被泄露,到年底,“银行卡泄密”风波已经着实让人们恐慌了一阵。2012年1月10日,国家互联网信息办发言人说,流传的信息泄露并非全部属实,但网友们仍为自己的信息安全担忧,他们纷纷发问:我的银行卡还安全吗?
“银行泄密门”引发恐慌
2011年12月29日,名为“挨踢客”的微博发布消息称,有网友向其爆料说国内多家银行的用户数据已经被泄露,其中涉及交通银行的7000万用户和民生银行的3500万用户。微博上还附带了一张显示“被泄密”用户姓名、卡号、密码等敏感信息的截图,图中显示出“工商银行用户资料”的字样信息。正是这则消息将始于2011年12月下旬的网络“泄密门”事件推向了高潮。
在这条消息爆出不久前,中国最大的开发者技术社区CSDN(中国软件开发联盟)的600万用户数据被泄露,其中包括用户名和密码;之后多玩网被传泄露800万用户数据;几天后,天涯社区4000万用户数据包被疯传;开心网、人人网、美空网、珍爱网等网站也相继被卷入这场风波。正因如此,银行资料泄密的传言才引起了更大的恐慌,一时间“人人自危”。
对于泄密事件,相关部门迅速做出了反应。就在银行卡泄密消息爆出前一晚,工信部发布通告称,CSDN、天涯社区等网站发生用户信息泄露事件后,工信部已立即启动应急预案,组织相关通信管理局、国家计算机网络应急技术处理协调中心、网络安全专家和部分互联网企业,了解核实事件情况,评估事件影响和危害,研究提出应对措施。另外,工信部还要求各互联网站开展全面的安全自查。
窃密手段五花八门
在“银行卡泄密事件”中,交通银行、民生银行和工商银行都迅速发表声明否认“泄密”,同时均表示银行卡信息绝对安全。但事关人们的切身利益,大家不禁质疑:我们的个人信息真的安全吗?对此,瑞星安全专家王占涛直言不讳:“其实不仅是账号和密码,几乎所有的信息都有被‘偷看’的价值和可能,比如你的地址、性别、年龄、收入、电话、单身与否、网购习惯和花销、上网浏览习惯、地理位置……”
据王占涛介绍,根据所“偷看”信息性质的不同,可分为两种情况:一种是用户的账号、密码等私密信息,可以通过病毒和木马等恶意程序从用户处直接窃取,或是攻击网站漏洞,窃取网站服务器上的数据库,直接窃取用户密码,还可以通过已泄露的密码去猜测其他网站的密码。此外,个别网站由于内部员工行窃,也会出现用户数据泄露事故;而个别中小型非正规的招聘网站,也可能会出现出卖用户资料获利的情况。
另一种则是用户的上网习惯、地理位置等信息。对这类信息,一般是通过对用户电脑、手机的扫描和监控获取。如今,具有此类功能的软件为数不少,有些会在安装或操作前告知用户并征得同意,有些则是偷偷进行。此外,用户上网行为的不谨慎,或是密码过于简单、易于破解等,也是信息泄露的原因。
信息“被偷”的危害无需赘言。对于用户而言,更严重的是,与实体物品不同,网络上个人信息“被偷”很难发现,如果没有发生钱财丢失等实质性损失,或许你会在很长一段时间和偷窃者共用你的信息。
据悉,目前的账户密码泄露事件大多发生在终端,即卡号和密码的保护工作没有做好,比如用户在ATM机、POS机或银行网点的柜台输入银行卡密码时,被不法分子通过安装摄像头或者从周围偷窥获知客户卡号、密码等关键信息。在取得密码的同时,不法分子还会在银行门口的刷卡处或者ATM机上安装小型读卡器,从而获取用户银行卡上的磁条信息以用于复制其银行卡。因此,用户刷卡时一定要注意周边环境,并观察输入设备上有无异常,比如刷卡用的POS机是否是山寨的、柜员机上的读卡器是否异常等。
而网络上的密码泄露,多是因为不法分子注册了类似银行域名的网站,诱使银行客户通过其他网站的链接登陆假冒网站,从而窃取用户的网上银行注册卡号、登陆密码和交易密码等。
提高防范意识
针对此次泄密事件,信息安全专家建议:用户应分级管理密码,对于一些重要账号(如常用邮箱、网上支付、聊天账号等)单独设置密码;定期修改密码可有效避免网站数据库泄露影响自身账号;工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全。
专家也同时提醒:不要信任任何网站的安全防护措施,而应采取正确的安全策略,比如不要随意注册无关网站账号,不要轻易在安全性低的网站购物,并尽量采用更多的验证方式。
对于网上银行用户而言,除了提高防范意识之外,一个必要的措施是安装相关银行提供的安全软件。以下几种是业内人士所推荐的:
其一,数字证书。它是由证书授权中心发行,以便人们在网上用它来识别对方身份的工具。网银数字证书是互联网上标志通讯各方身份信息的一系列数据。在服务器上安装服务器证书后,客户端浏览器可以与服务器证书建立SSL连接,在SSL连接上传输的任何数据都会被加密。同时,浏览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒站点,服务器证书保护的站点多被用来进行密码登录、网上银行交易等。
其二,客户端证书。这是个人数字证书的另外一种应用。工行称之为U盾,农行叫做K宝,支付宝里的则称作支付盾。证书内容和密钥信息被存于特殊的USB Key(一种USB接口的硬件设备)中,通常是不能被导出或复制的。当使用证书从USB Key中获取信息时,还需要密码。这种防护措施可以提供可靠性较高的网络安全保证。
其三,动态口令卡。它类似于一张数字表,表格内的几十个数字由横纵坐标表示。在进行交易确认时,银行会随机询问一个或者几个坐标的数字,如果能正确输入对应格内数字便可以成功交易。
其四,动态口令牌。根据时间或某个事件,动态口令牌上会生成一个一次性密码,一般在1分钟或指定时间后更新。在有效时间内,用户使用该密码进行交易,而当时间过期或者该密码被使用后,用户再次进行交易时,需要生成新的动态口令牌密码。
当然,只靠用户一方的防范措施是不够的。普通用户处于技术和信息的弱势地位,作为服务提供方的网站,应该负起更大的责任——以网站数据库泄露为例,其主要原因在于网站漏洞被黑客利用,用户电脑再安全也无济于事。CSDN董事长蒋涛日前在反思用户数据泄露事件时直言,国内互联网公司当前普遍存在对数据安全和系统安全认识不够的问题。“就好像用户丢了钱包,只提醒用户往钱包里少装点钱是不够的,更重要的是对整体环境的整治。”
编辑:尹洁 美编:陈思璐 编审:吴迎春
类似的事件在中国不时发生。自2011年12月下旬起,国内网络上盛传各个社区和社交性网站的用户资料及密码被泄露,到年底,“银行卡泄密”风波已经着实让人们恐慌了一阵。2012年1月10日,国家互联网信息办发言人说,流传的信息泄露并非全部属实,但网友们仍为自己的信息安全担忧,他们纷纷发问:我的银行卡还安全吗?
“银行泄密门”引发恐慌
2011年12月29日,名为“挨踢客”的微博发布消息称,有网友向其爆料说国内多家银行的用户数据已经被泄露,其中涉及交通银行的7000万用户和民生银行的3500万用户。微博上还附带了一张显示“被泄密”用户姓名、卡号、密码等敏感信息的截图,图中显示出“工商银行用户资料”的字样信息。正是这则消息将始于2011年12月下旬的网络“泄密门”事件推向了高潮。
在这条消息爆出不久前,中国最大的开发者技术社区CSDN(中国软件开发联盟)的600万用户数据被泄露,其中包括用户名和密码;之后多玩网被传泄露800万用户数据;几天后,天涯社区4000万用户数据包被疯传;开心网、人人网、美空网、珍爱网等网站也相继被卷入这场风波。正因如此,银行资料泄密的传言才引起了更大的恐慌,一时间“人人自危”。
对于泄密事件,相关部门迅速做出了反应。就在银行卡泄密消息爆出前一晚,工信部发布通告称,CSDN、天涯社区等网站发生用户信息泄露事件后,工信部已立即启动应急预案,组织相关通信管理局、国家计算机网络应急技术处理协调中心、网络安全专家和部分互联网企业,了解核实事件情况,评估事件影响和危害,研究提出应对措施。另外,工信部还要求各互联网站开展全面的安全自查。
窃密手段五花八门
在“银行卡泄密事件”中,交通银行、民生银行和工商银行都迅速发表声明否认“泄密”,同时均表示银行卡信息绝对安全。但事关人们的切身利益,大家不禁质疑:我们的个人信息真的安全吗?对此,瑞星安全专家王占涛直言不讳:“其实不仅是账号和密码,几乎所有的信息都有被‘偷看’的价值和可能,比如你的地址、性别、年龄、收入、电话、单身与否、网购习惯和花销、上网浏览习惯、地理位置……”
据王占涛介绍,根据所“偷看”信息性质的不同,可分为两种情况:一种是用户的账号、密码等私密信息,可以通过病毒和木马等恶意程序从用户处直接窃取,或是攻击网站漏洞,窃取网站服务器上的数据库,直接窃取用户密码,还可以通过已泄露的密码去猜测其他网站的密码。此外,个别网站由于内部员工行窃,也会出现用户数据泄露事故;而个别中小型非正规的招聘网站,也可能会出现出卖用户资料获利的情况。
另一种则是用户的上网习惯、地理位置等信息。对这类信息,一般是通过对用户电脑、手机的扫描和监控获取。如今,具有此类功能的软件为数不少,有些会在安装或操作前告知用户并征得同意,有些则是偷偷进行。此外,用户上网行为的不谨慎,或是密码过于简单、易于破解等,也是信息泄露的原因。
信息“被偷”的危害无需赘言。对于用户而言,更严重的是,与实体物品不同,网络上个人信息“被偷”很难发现,如果没有发生钱财丢失等实质性损失,或许你会在很长一段时间和偷窃者共用你的信息。
据悉,目前的账户密码泄露事件大多发生在终端,即卡号和密码的保护工作没有做好,比如用户在ATM机、POS机或银行网点的柜台输入银行卡密码时,被不法分子通过安装摄像头或者从周围偷窥获知客户卡号、密码等关键信息。在取得密码的同时,不法分子还会在银行门口的刷卡处或者ATM机上安装小型读卡器,从而获取用户银行卡上的磁条信息以用于复制其银行卡。因此,用户刷卡时一定要注意周边环境,并观察输入设备上有无异常,比如刷卡用的POS机是否是山寨的、柜员机上的读卡器是否异常等。
而网络上的密码泄露,多是因为不法分子注册了类似银行域名的网站,诱使银行客户通过其他网站的链接登陆假冒网站,从而窃取用户的网上银行注册卡号、登陆密码和交易密码等。
提高防范意识
针对此次泄密事件,信息安全专家建议:用户应分级管理密码,对于一些重要账号(如常用邮箱、网上支付、聊天账号等)单独设置密码;定期修改密码可有效避免网站数据库泄露影响自身账号;工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全。
专家也同时提醒:不要信任任何网站的安全防护措施,而应采取正确的安全策略,比如不要随意注册无关网站账号,不要轻易在安全性低的网站购物,并尽量采用更多的验证方式。
对于网上银行用户而言,除了提高防范意识之外,一个必要的措施是安装相关银行提供的安全软件。以下几种是业内人士所推荐的:
其一,数字证书。它是由证书授权中心发行,以便人们在网上用它来识别对方身份的工具。网银数字证书是互联网上标志通讯各方身份信息的一系列数据。在服务器上安装服务器证书后,客户端浏览器可以与服务器证书建立SSL连接,在SSL连接上传输的任何数据都会被加密。同时,浏览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒站点,服务器证书保护的站点多被用来进行密码登录、网上银行交易等。
其二,客户端证书。这是个人数字证书的另外一种应用。工行称之为U盾,农行叫做K宝,支付宝里的则称作支付盾。证书内容和密钥信息被存于特殊的USB Key(一种USB接口的硬件设备)中,通常是不能被导出或复制的。当使用证书从USB Key中获取信息时,还需要密码。这种防护措施可以提供可靠性较高的网络安全保证。
其三,动态口令卡。它类似于一张数字表,表格内的几十个数字由横纵坐标表示。在进行交易确认时,银行会随机询问一个或者几个坐标的数字,如果能正确输入对应格内数字便可以成功交易。
其四,动态口令牌。根据时间或某个事件,动态口令牌上会生成一个一次性密码,一般在1分钟或指定时间后更新。在有效时间内,用户使用该密码进行交易,而当时间过期或者该密码被使用后,用户再次进行交易时,需要生成新的动态口令牌密码。
当然,只靠用户一方的防范措施是不够的。普通用户处于技术和信息的弱势地位,作为服务提供方的网站,应该负起更大的责任——以网站数据库泄露为例,其主要原因在于网站漏洞被黑客利用,用户电脑再安全也无济于事。CSDN董事长蒋涛日前在反思用户数据泄露事件时直言,国内互联网公司当前普遍存在对数据安全和系统安全认识不够的问题。“就好像用户丢了钱包,只提醒用户往钱包里少装点钱是不够的,更重要的是对整体环境的整治。”
编辑:尹洁 美编:陈思璐 编审:吴迎春