“泄密门”凸显互联网企业安全痼疾

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:auzjh
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
   发生在互联网领域的“泄漏门”并非偶然。为什么数据泄密会在今天如此集中地发生在一些互联网企业中?与传统企业相比,互联网企业的安全防护难在何处?
  
  “喂喂喂!太恐怖了吧!为什么拿我做示范!”著名魔术师刘谦1月4日在新浪微博上发出的这条微博证实,一位专业安全人员在发现新浪漏洞后,在对刘谦微博进行尝试性攻击后取得了成功。由此看来,从2011年圣诞前夕开始爆出的互联网用户数据泄露事件至今依然没有平息。从最初的CSDN,到随后的天涯社区、开心网、多玩、世纪佳缘,再到当当网、凡客、京东商城……网站用户数据泄露事件已经成为这个新年里最热门的谈资,国内安全企业金山公司甚至因其员工传播泄密数据而深陷“泄密门”中。
   为什么数据泄露事件会在今天如此集中地发生在一些互联网企业?与传统企业相比,互联网企业的安全防护难在何处?
  CSDN首度披露泄密根源
   2011年12月21日,国内知名程序员网站CSDN 600多万注册用户信息被黑客曝光,成为互联网领域“泄密门”的导火索。
   1月5日,在泄密事件发生半个月后,CDSN创始人蒋涛接受了本报记者的独家专访。他坦承,此次泄密事件对CSDN而言是一个重大教训,此前他并没有想到数据泄露会这么严重。作为一家国内较大的开发者技术社区,CSDN拥有不到100台服务器,用户在该网站的注册信息只包括邮箱和密码,并不涉及用户真实姓名、身份证号码、电话号码、家庭住址、银行卡号等敏感信息。蒋涛一度认为,这些注册信息并不具备太大的隐私性,对黑客也不会有太强的吸引力。但他忽略的一个重要问题是:黑客会将盗来的信息用于用户数据更为敏感的网站进行密码刷库比对,如果用户在这些敏感网站(如支付宝)用的是同样的密码,那就意味着黑客们能轻而易举地攻入这些网站,获取用户的敏感资料。
   目前,针对服务器端的黑客攻击最常用的手法是漏洞利用,而无论哪种漏洞,只要被利用,就可能造成黑客获取最高权限,从而带来数据库丢失和泄密。
   而风险不只如此。作为第一个在美国黑帽大会上演讲的中国人,安恒信息技术有限公司总裁范渊告诉《中国计算机报》记者,数据安全存在两方面的风险:一个是来自外网的黑客攻击,另一个是与企业内部人员相关的内网安全风险。从这次“泄密门”事件来看,这两方面的风险都比较大。
   CNNIC《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿人,占24.9%。而随着网上支付和使用信用卡网购的人群迅速增加,网民们的信息安全现状更加令人担忧。
  网络信息安全现状堪忧
   此次泄漏事件,反映出一些网站的服务器端安全机制问题.与传统的密码泄漏出现在用户电脑端不同,此次事件中,黑客利用服务器弱点直接获取整个数据库,其带来的安全风险远大于以往。业内人士认为,此次数据泄漏事件造成的损失将在很长一段时间内存在,并影响很多人的正常生活,甚至改变大多数网民的上网习惯。而在目前,一些互联网企业对于用户数据保护的意识仍十分淡薄,在保护用户信息安全中的投入非常有限。
   在知名网络安全专家、安天实验室首席技术架构师肖新光告诉记者,目前,属于互联网主流厂商的腾讯、百度、阿里、盛大等,在安全方面投入较多,安全维护团队规模较大,有一定的自我防护能力,甚至出现了安全企业界的人才向他们流动的现象。但是,部分互联网企业缺少专门的安全维护团队和安全投入,还有一些网站自身不太重视安全和投入,同时也不愿意把安全工作外包给安全企业来做。
   如此网是一家经营旅游、户外用品的网上商城,该网站技术总监黄银彪向记者坦承,目前他们在安全防护方面,基本都是使用已经认可的技术手段,并且是通过免费或者小成本的投入来维护安全,网站也没有专门的人力投入于此。这也是多数中小型B2C互联网企业常规的安全处理办法。此次数据泄露事件发生后,这位负责人感觉目前的安全防护手段并不够,但他同时感到,要建立一套完整的安全防护硬软体系,不但要花费一定财力,还要有相关人才。
   实际上,对于一些互联网企业而言,安全投入的数额并不像他们想象的那样高。瑞星公司信息安全专家唐威向记者透露,以一家中型网站为例,部署应有的安全防护措施每年只需投入十几万元到几十万元,这对于那些已经融资正在“烧钱”发展的互联网企业(如:电子商务企业)而言其实是很容易实现的。然而,有些企业即便是对安全公司提供的免费安全服务也很少用。
   某券商TMT研究部门公布的调研数据显示,目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%,而对安全性要求比较高的金融行业为10%。欧美互联网公司的安全支出占比普遍为8%~10%。
  在“泄密门”事件中,网站无疑应该承担更多责任。奇虎360公司安全专家石晓虹告诉记者,目前,一些网站安全防护做得还很不到位,没有对用户数据进行加密保护,也没有控制数据泄露对用户造成的风险。相关调查显示,目前,90%以上的电子商务网站都存在网页应用漏洞,而且没有实施定期的扫描来评估网站是否存在威胁和安全风险。大部分电子商务网站仅部署传统的安全措施,如:用系统和网络防火墙来防护传统的攻击。但对于新型针对应用层的入侵攻击,并没有采取相应的安全措施。
  由此看来,“泄漏门”最根本的原因是一些互联网企业没有建立完善的安全防护机制,不但对来自外网的威胁无法拦截,而且对内网安全防护也没有做到位。趋势科技中国区资深产品经理张明台向记者表示,一些企业内网没有部署有效的威胁管理机制,对机密数据内容本身(客户账号、密码)没有明确的访问合规监控及实施安全的存储(以明文存储而没有加密)。
  互联网烧钱魔咒和安全困局
   对一些不缺钱的互联网企业而言,几十万元的安全投入也许根本不算什么,但为什么就是不去投入呢?对任何一个企业而言,用户数据都应该是核心机密,为什么此次数据泄露事件会发生在互联网领域而不是其他传统领域呢?
   肖新光向记者道出了深层原因,这是互联网发展抢速度的后遗症。他表示,过去10年,互联网企业以速度求生存,以扩张求发展,在应用开发中脱离了安全发展,而在未来,这些欠账都要陆续补上。
   一直以来,互联网的发展都是以扩张效率为主导,激烈的竞争让互联网企业不得不争分夺秒地争抢发展速度,这个时候,安全很容易被视为降低开发效率的影响因素而被忽略。
  以典型的网络游戏模式为例,一个企业如果投入100万元来加快游戏的开发速度或增加新的功能,早一天上线,就能早一天赚到钱,而如果把这笔钱花在安全防护上,短期内根本看不到收益,反而会影响开发的效率,甚至可能因此在激烈的市场竞争中,因为慢了半拍而被对手甩在身后。
   在分析此次数据泄密事件时,肖新光也对国内的安全界进行了反思,他在一篇文章中指出:“信息安全界因保守、敏感和很多自身的原因,与应用的距离越来越远,在我们还在幻想某些完美的安全图景时,发现已经望不到应用的脊背。”
   这番话用在互联网应用中尤为恰当。与传统内网具备标准化的安全应用场景不同,互联网企业的应用环境并不是标准化的,不同的网站都有其个性化特点。肖新光表示,传统企业可以采用安全孤立法来部署安全措施,把整个IT体系拆解成不同节点,如:服务器、工作站、网关,分别对应一种安全环节。但对互联网企业而言,这种孤立法是不够的,互联网企业自己开发的东西很多,这给安全厂商服务带来了更大难度。因为不同网站就有不同场景,其漏洞没有普适规律,也就很难做出普适性安全产品。
  反思刚刚开始
   此次互联网数据大规模泄密事件发生后,安全界积极启动了应急措施,提供紧急援助。
  奇虎360公司第一时间联系CSDN等受害网站通报事故信息,并通过官方微博、官方论坛等渠道,为受到影响的网民提供紧急救援。针对一些网站频繁发生数据泄露的情况,360还计划为用户提供专业化密码管理产品,帮助用户安全、方便地分级管理账号密码。
  瑞星公司发布国内首个网站密码保护方案——“瑞星网站密码安全检测系统”。这是国内安全厂商首次针对“泄密门”推出的专业解决方案,网站管理员登录瑞星官网即可免费注册使用。该系统可对网站密码库的安全性进行深度检测,扫描SQL注入、弱口令、XSS跨站攻击等弱点,并给出专业的分析报告和修复建议,帮助网站保护用户密码库。
  安天实验室发布了一份名为Antiy Password Mixer(安天密码混合器)的开源代码,提供了Web应用密码存放示范程序,为互联网企业提供了相关的对比依据。
   对于互联网企业而言,泄密事件发生后的这段时间,是互联网企业补足安全这一课的黄金时间。而令人欣慰的是,此次事件已经使互联网企业的安全意识得到明显增强。
   CSDN创始人蒋涛表示,CSDN未来将进一步加大安全防护力度,加强对核心数据与非核心数据的隔离,防止类似事件再次发生。CSDN将加强安全环节的投资,购置必要的软硬软件产品,并聘请安全顾问。目前,CSDN已经在制定相关的方案。
  如此网技术总监黄银彪也表示,今后会在数据安全方面增加人力和财力的投入。
   蒋涛提醒同行,要经常查补漏洞,并对开发人员和应用人员进行培训。他认为,黑客最喜欢研究第三方的通用软件和工具,网站运维人员要十分清楚用了多少外部系统,设法保证系统安全。内部程序员写程序时也要提高开发的安全性。
  蒋涛还希望,国内建立互联网企业的安全联盟,并建立起互联网企业的安全知识库,共享安全知识。
  显然,仅有这些还远远不够。网络信息安全需要政府、互联网企业、安全行业多方努力才能实现。
  “泄密门”爆出后,很多用户都遵循专家意见修改了密码。但实际上,要真正解决互联网上数据泄密的问题,用户能做的非常有限。
  一位信息安全专家向记者坦言,用户定期更改密码是一个很好习惯,但频繁地更改密码,用户的密码管理成本会加大。而且,如果网站安全问题还是没有改善及加强,新的账户数据还是照样会被泄漏。
  正如启明星辰首席战略官、中国计算机学会理事潘柱廷所说,热热闹闹的社会事件告一段落后,现在应当是认真地在法律、技术等方面寻找长效机制的时候了。
  
  安全专家谈数据泄露
  问:如何看待这次数据泄露大规模爆发事件?
   范渊:数据泄漏其实是很早以前的事,只是现在进入了大众的视野。早在2009年和2010年,一些网站后台已经被攻击。但有些网站并不知道,有些没有意识到有这么严重,也没引起足够重视。
   石晓虹:黑客公开CSDN用户数据库,就像第一次世界大战之前的萨拉热窝事件,点燃了众多网站数据库集中曝光的导火索,是黑客出于炫耀或警告目的的连锁反应。
   问:这次泄密事件中,相关网站有哪些是该做而没有做到位的?
   肖新光(江海客):一些网站在事前策略(网站的基础安全规划)、事中防御(实时安全手段)、事后止损(加密策略)等环节都有缺陷。网站安全措施的层次应该是立体的,包括:整体的设计策略(权限、访问控制等)、必要的安全产品(安全网关类产品、IDS等)和足够的安全人员。
   范渊:这些网站应该部署应用安全。很多电商网站在开发阶段就留下了漏洞,因此,这些网站需要做好上线前的检测工作,对重点漏洞要弥补。上线后,要实施Web应用防火墙等安全措施。另外,在企业内部,要做好数据库审计防范加固。
   问:如何避免同类事件发生?
   潘柱廷:第一,仿照“食品安全”的管理,互联网服务网站要有类似“食品安全许可证”的简单安全认证,确保其基本安全;第二,互联网服务网站要分级,高级别的网银和购物网站需要较高的安全保障措施,一般网站只要一般保护即可,但需明示;第三,出台网站基本安全保护规范。
   肖新光(江海客):对用户而言,设置密码需要分层次进行。如果某个信箱主要是用来找回相关密码的,它就是一个根,需要强度很高的单一密码。在一些不太重要的站点,如果只是灌灌水、下载资源,就不要用和你的敏感账户一样的密码。
  
  设置安全密码的十个要点
   1、密码的位数不要短于8位,使用大写字母和小写字母、标点和数字的集合;
   2、不要以任何单词、生日、数字、手机号作为密码;
   3、密码中的英文最好有大小之分;
   4、在程序允许的情况下,最好能加上英文半角的符号;
   5、不要用a、b、c等比较小顺序的字母或数字开头,因为用字典暴力破解的程序,一般都是从数字或英文字母排序开始算的,如果设为z的话,破解的机率就小很多;
   6、对无规律密码的记忆可采取较简单的方法,如:原密码是yixieshi,可以先加头,加一个“$”号,就成了$yixieshi,然后再加尾,加一个“)”号,就成了$yixieshi)。还可以再把中间的字母再打乱,成为$shiyixie)等;
   7、一些程序或注册入口对密码设定得比较死,只能用数字和字母,对此,可以通过一定的方法变通,如:原密码是yixieshi,可改大小写,成为YixieShi,也可再打乱顺序,成为ShiYixie,或在其中加数字,成为1Sh2iY3ixi4e0;
   8、定期更改密码,比如说每个月的第一个星期五修改密码,此时也不用再想一个全新的号码,把原有密码的排序改一下就行;
   9、对于不同网站的密码要分级进行管理,不要在所有的网站都用一个密码,根据重要和非重要的原则来设定密码,比如在不是很重要的网站,可以简单到用111111来作密码;
   10、在电脑中安装比较可靠的杀毒软件。如果你的电脑里有木马,再复杂的密码也是没有任何作用的,不要上不可信的网站,不要让别人很容易就得到你的信息,包括身份证号码、电话号码、手机号码、所居住的街道名称等。
其他文献
编程大赛在IT领域已经司空见惯,大赛的组织者大都是微软、谷歌、百度、阿里等业界领先的公司,主要目的是培育与自己业务相关的生态环境。但位于天津滨海新区的渣打(中国)科技营运有限公司(渣打科营中心)也在今年举办了首届渣打马拉松编程大赛,而且还鼓励金融、经济等非计算机专业的人才参赛,并给出了丰厚的奖金——最高奖金达1.2万美元,仅比谷歌今年全球编程大赛最高奖低3000美元。  在10月27日的大赛颁奖典
芮祥麟的辞职,不会影响SAP对中国市场20亿美元的投资。继任者孙小群可能使SAP中国研究院更多地参与HANA的研发  ——本报记者 邱燕娜    近日,SAP全球高级副总裁、SAP中国研究院总裁芮祥麟的辞职,在业界掀起酣然大波。就在2011年11月举办的SAP中国商业同略会暨SAP全球技术研发者大会上,SAP联席CEO孟鼎铭透露,到2015年SAP将在中国市场投入超过20亿美元。很多人担心,这会放
栏目寄语:   复杂而剧变的宏观产业环境,给企业发展带来了日益严峻的挑战。以流程为中心的企业信息化,已难支撑企业应对这种挑战。当今的市场竞争,胜出的企业,得当地应对这种复杂性;卓越的企业,主动出击,通过驾驭复杂性而获益。企业信息化建设只有走向以人为本,才能帮助企业获得竞争优势。   通过对产业的观察和思考,赛迪传媒和微软在2011年先后发布了《走向以人为本的信息化》白皮书和《以人为本,成就创新
2012年开始,在线教育在美国火了。不仅Google上线测试了C2C在线教育平台Helpout,亚马逊也跟进收购在线教育公司TenMarks。这些巨头的举动向业界传达了一个信号:它们看好这个行业。  美国互联网每一个商业模式的兴起,都能很快在中国掀起一股热潮。有报告预计到2015年,国内在线教育市场规模将达1745亿元。此前,在传统在线教育领域,不少IT厂商已经深耕多时,比如联想、壹人壹本等厂商积
东蓝是国家发展和改革委员会、工业和信息化部、财政部、商务部、国家税务总局联合认定的国家规划布局内重点软件企业,科技部认定的国家现代服务业创新发展示范企业和国家火炬计划软件产业骨干企业,也是浙江省政府认定的浙江省智慧城市大型软件产业技术创新综合试点企业。公司主要智慧城市应用业务包括智慧城市运营平台、智慧旅游、智慧水务、智慧城管、智慧交通、智慧社区、智慧政务、智慧农业、城市信息资源中心等,并在移动应用
在崇尚自由、开放、协作、分享的开源时代,  终日带着“黑眼圈”的程序员终于可以彻底甩掉“码农”、“程序猿”的帽子。  创新性的软件协作开发管理平台可以对软件开发的全生命周期进行管理。  云外包正引发一场软件开发领域的颠覆式创新!  “码农”(Coding Farmer),部分软件开发人员的一个自嘲的称号,这一依靠写代码为生的群体,拥有聪慧的大脑、熟练的编程技巧,但是难有自己的私生活,加班是家常便饭
在距离巴西科帕卡巴纳海滩(Copacabana Beach)不远处,有一间布局和设施都很像美国国家航空航天管理局(NASA)指挥中心的控制室。  身穿白色套装的市政机构管理人员坐在控制室内巨大的屏幕墙前静静地工作着。屏幕上显示着里约热内卢城市动态监控视频,包括各个地铁站、主要路口的交通状况,通过复杂的天气预测系统预报出来的城市未来几天的降雨情况,交通事故处理状况,停电处理状况,以及其他城市问题处理
2002年,当全国很多地方的财政、税务系统都在用SOA的方式实现数据和应用系统整合时,宁波市财税局却停了下来。“人家干得热火朝天,我们静下来思考问题。”宁波财税局信息中心主任李为群说。经过三年调研,2005年宁波财税局做了一个“非常痛苦”的决定——重建系统。新系统经过几年的运行证明了当初决定的正确。现在,宁波财税局又在做一件“前所未有”的事情——用智慧财税系统发现和利用数据价值。  智慧财税系统将
“从地狱的污水里升腾的浓雾,让我晚熟的果实甘甜多汁。这雾霭在忧郁的草原上弥漫,像白雪在绵延的山岭上初积。”这是诗人弗朗基谢克·夏维尔·沙尔达的一段诗。  乔布斯创新已被世人打上了传奇的印记,可是在其光鲜的亮色背后,有一些灰暗的成分,常常被人所忽略掉,但这是塑造其独特性格的不可或缺的一部分,虽然晦涩,但无法隐去。  遗弃与关爱  “哇”,乔布斯人生的第一声啼哭和别的男孩子无异。但他却不像大多数孩子那
Watson既是IBM创始人托马斯·沃森(Thomas J. Watson)的名字,也代表着IBM开创性的认知系统。  IBM将最新的科技,无论是语言识别、机器学习还是大数据分析,都融入到IBM Watson之中,使Watson成为IBM科技能力的集合体。  近日,记者在位于美国纽约的IBM实验室了解到了Watson的最新动向。在集中了IBM最前沿科技实力的纽约实验室,Watson是一道最耀眼的光