熱點觀察

作者：吳瑋

發生在互聯網領域的“泄漏門”並非偶然。為什麼數據泄密會在今天如此集中地發生在一些互聯網企業中？與傳統企業相比，互聯網企業的安全防護難在何處？

“喂喂喂！太恐怖了吧！為什麼拿我做示範！”著名魔術師劉謙1月4日在新浪微博上發出的這條微博證實，一位專業安全人員在發現新浪漏洞後，在對劉謙微博進行嚐試性攻擊後取得了成功。由此看來，從2011年聖誕前夕開始爆出的互聯網用戶數據泄露事件至今依然沒有平息。從最初的CSDN，到隨後的天涯社區、開心網、多玩、世紀佳緣，再到當當網、凡客、京東商城……網站用戶數據泄露事件已經成為這個新年裏最熱門的談資，國內安全企業金山公司甚至因其員工傳播泄密數據而深陷“泄密門”中。

為什麼數據泄露事件會在今天如此集中地發生在一些互聯網企業？與傳統企業相比，互聯網企業的安全防護難在何處？

CSDN首度披露泄密根源

2011年12月21日，國內知名程序員網站CSDN 600多萬注冊用戶信息被黑客曝光，成為互聯網領域“泄密門”的導火索。

1月5日，在泄密事件發生半個月後，CDSN創始人蔣濤接受了本報記者的獨家專訪。他坦承，此次泄密事件對CSDN而言是一個重大教訓，此前他並沒有想到數據泄露會這麼嚴重。作為一家國內較大的開發者技術社區，CSDN擁有不到100台服務器，用戶在該網站的注冊信息隻包括郵箱和密碼，並不涉及用戶真實姓名、身份證號碼、電話號碼、家庭住址、銀行卡號等敏感信息。蔣濤一度認為，這些注冊信息並不具備太大的隱私性，對黑客也不會有太強的吸引力。但他忽略的一個重要問題是：黑客會將盜來的信息用於用戶數據更為敏感的網站進行密碼刷庫比對，如果用戶在這些敏感網站（如支付寶）用的是同樣的密碼，那就意味著黑客們能輕而易舉地攻入這些網站，獲取用戶的敏感資料。

目前，針對服務器端的黑客攻擊最常用的手法是漏洞利用，而無論哪種漏洞，隻要被利用，就可能造成黑客獲取最高權限，從而帶來數據庫丟失和泄密。

而風險不隻如此。作為第一個在美國黑帽大會上演講的中國人，安恒信息技術有限公司總裁範淵告訴《中國計算機報》記者，數據安全存在兩方麵的風險：一個是來自外網的黑客攻擊，另一個是與企業內部人員相關的內網安全風險。從這次“泄密門”事件來看，這兩方麵的風險都比較大。

CNNIC《第28次中國互聯網絡發展狀況統計報告》顯示，2011年上半年，有過賬號或密碼被盜經曆的網民達到1.21億人，占24.9％。而隨著網上支付和使用信用卡網購的人群迅速增加，網民們的信息安全現狀更加令人擔憂。

網絡信息安全現狀堪憂

此次泄漏事件，反映出一些網站的服務器端安全機製問題.與傳統的密碼泄漏出現在用戶電腦端不同，此次事件中，黑客利用服務器弱點直接獲取整個數據庫，其帶來的安全風險遠大於以往。業內人士認為，此次數據泄漏事件造成的損失將在很長一段時間內存在，並影響很多人的正常生活，甚至改變大多數網民的上網習慣。而在目前，一些互聯網企業對於用戶數據保護的意識仍十分淡薄，在保護用戶信息安全中的投入非常有限。

在知名網絡安全專家、安天實驗室首席技術架構師肖新光告訴記者，目前，屬於互聯網主流廠商的騰訊、百度、阿裏、盛大等，在安全方麵投入較多，安全維護團隊規模較大，有一定的自我防護能力，甚至出現了安全企業界的人才向他們流動的現象。但是，部分互聯網企業缺少專門的安全維護團隊和安全投入，還有一些網站自身不太重視安全和投入，同時也不願意把安全工作外包給安全企業來做。

如此網是一家經營旅遊、戶外用品的網上商城，該網站技術總監黃銀彪向記者坦承，目前他們在安全防護方麵，基本都是使用已經認可的技術手段，並且是通過免費或者小成本的投入來維護安全，網站也沒有專門的人力投入於此。這也是多數中小型B2C互聯網企業常規的安全處理辦法。此次數據泄露事件發生後，這位負責人感覺目前的安全防護手段並不夠，但他同時感到，要建立一套完整的安全防護硬軟體係，不但要花費一定財力，還要有相關人才。

實際上，對於一些互聯網企業而言，安全投入的數額並不像他們想象的那樣高。瑞星公司信息安全專家唐威向記者透露，以一家中型網站為例，部署應有的安全防護措施每年隻需投入十幾萬元到幾十萬元，這對於那些已經融資正在“燒錢”發展的互聯網企業（如：電子商務企業）而言其實是很容易實現的。然而，有些企業即便是對安全公司提供的免費安全服務也很少用。

某券商TMT研究部門公布的調研數據顯示，目前中國互聯網公司的信息安全支出在整體IT支出中的比例不到1％，而對安全性要求比較高的金融行業為10％。歐美互聯網公司的安全支出占比普遍為8％~10％。