由CSDN“泄密门”引发的思考 看信息安全建设

2011年12月21日，中文IT技术社区CSDN网站数据库遭黑客入侵，600万用户的登录名及密码惨遭泄露，用户隐私信息沦为了黑客炫耀的战利品。更有甚者将泄露用户信息做成压缩包，上传至网络供人下载，构成以获取利益为目标的违法行为。至此，泄密事件一发不可收拾，逐步衍化为一起波及多方的社会事件。

中国软件开发联盟CSDN（ChineseSoftwareDevelopNet）是中国最大的IT知识服务集团，从事IT信息传播、技术交流、教育培训和专业技术人才服务。

CSDN拥有超过1800万注册会员、10000名CTO、50万注册企业及合作伙伴，全球中文网站排名第27位。可以想象，这样一个企业的用户数据被泄露，后果不堪设想。

CSDN“泄密门”事件之所以有如此广泛的影响，还因为作为一个开发者、程序员汇集的技术社区网站，普遍被认为安全级别很高，被黑客袭击似乎是件很讽刺的事情。

祸不单行的是，之后几天里，人人网、天涯社区、百合网等众多知名网站也相继中招，纷纷卷入“泄密门”。这种大范围的用户信息泄漏在公众中造成了很大的不安和恐慌，一时之间，关于网站和数据库安全、用户密码设置和安全意识提升的讨论如火如荼，各种防盗宝典、安全贴士铺天盖地。

2012年1月10日，北京市公安局称，CSDN两名涉案黑客已经被抓获，并指出此次泄密与实名制无关，对此前广为流传的“黑客向实名制的挑战”传闻做了澄清。1月12日，CSDN董事长蒋涛在事件爆发20天后首次直面媒体，正面解释泄密事件。鉴于此前CSDN同大多网络公司一样，没有配备专门的安全系统或安全工程师，CSDN宣布将与阿里云公司的专业安全团队合作，共同打造安全可信的服务平台。

然而，从CSDN泄密事件爆发到宣布与阿里云公司合作，对互联网安全的讨论和反思，仅持续了一个月便淡出公众视线。从泄密发生后舆论爆发，到调查结果出台后事态迅速冷却，再至春节气氛下彻底遗忘，CSDN“泄密门”像很多之前曾轰动一时的事件一样，在时间面前败下阵来。但如何从中吸取教训、构筑互联网信息安全，是一件我们必须时常考虑的事情。

泄密事件发生后，CSDN网站的回应速度远远赶不上事态的扩张和舆论的蔓延。在1月12日的见面会上，董事长蒋涛向媒体介绍了事件爆发后CSDN采取的3方面措施：重置所有遭泄露用户的密码、提醒使用前100个最常用密码的用户自行修改密码、请第三方信息技术公司进行安全审计。而蒋涛表示：“审计发现，CSDN确实存在应用程序漏洞、系统后台认证漏洞等一系列安全问题。”

但问题不仅仅存在于这场悲剧的主角CSDN，许多大型网站都存在安全意识薄弱的问题。据统计，有80%的常用网站和60%的安全类网站也存在漏洞，70%的密码库可以被破解。蒋涛称：“这些数据早都存在，长久以来国内整个信息系统都存在问题，只是在CSDN事件爆发后，才被摊在桌面上。这是我们互联网的现状。”

此次CSDN的泄密事件让很多网站开始反思自己的安全问题。

按照蒋涛的说法，国内互联网公司普遍存在的问题是重视业务、缺乏安全意识、对于数据安全和系统安全认识不够，由此导致了用于安全维护的投入不高。多数企业还在采取老旧的信息安全防护方法，与目前先进的IT技术完全脱节，无法抵御形式多样的攻击。

有资料表明，在欧美国家，互联网公司的信息安全投入占整体支出的8%—10%，而中国企业这个投入的比例还不到1%。互联网数据中心IDC（InternetDataCenter）对来自多个国家近3000家公司的调查也显示，国外信息安全投入远大于中国。

另一个同样严重的问题是，目前在我国互联网行业，信息安全和信息技术是分离的。蒋涛也表示：“一般只有像百度、腾讯这样的网络公司才会有安全工程师，其他网站很少有这样的人才配备。”当然，要求每一个IT企业都有专门的安全系统或安全工程师也不现实。因此，网站同信息安全公司结合的模式或许会成为许多公司未来的选择。

网站信息安全的建设不是一朝一夕的事，能意识到问题只是第一步，和信息安全公司的磨合也需要时间。与此同时，网站自身还需要采取一些具体的措施，力保用户信息安全。

为防止信息泄露，网站首先要做的是全面掌握自己有哪些涉密信息，清楚信息安全维护的短板何在。比如，许多网络安全专家认为，明文保存密码是使包括CSDN在内的多个商业网站用户信息轻易被攻破的重要原因。然后要做的是根据现存的安全问题，结合各部门的具体情况进行相应管理。

同时，网站应建立规范的制度，如签署保密协议、对涉密信息的获取权限、流程等进行严格规定。此外，还需要建立严格的审计机制，对内部人员，尤其是有高权限的IT管理人员的行为进行定期审计，若有问题，及早发现。

除了技术性的防护手段和操作规范以外，网站自身的管理也必不可少。网站企业应普及并提高保护用户隐私的意识。

一些企业长期忽视用户利益，责任意识淡薄，更不排除在看到内部资料，如客户信息的价值后，有些员工会突破职业底线。

如此一来，这类事件的后果会比由外部攻击引起的信息泄露事故更为严重。为杜绝这些隐患，网站企业需加强内部管理，如利用企业文化规范员工行为，提升员工凝聚力等。

对于某些信息安全问题，装在客户端的杀毒软件无能为力，用户更是束手无策。但实际上，有些安全问题不仅限于服务端，也存在于用户端。

很多用户不重视账户安全，以为账号不值得被利用，殊不知黑客会用程序批量扫描获取密码。终端自身和访问目标是否安全也常常被人们忽略。其实，不论网站还是用户，安全意识淡薄都是发生信息泄露的根本原因。

密码是用户在保护自身信息安全中的重要部分。但通过一组数据数据便可看出，密码设置并没有引起大部分用户的重视：在我国，100个最常用的密码被22.6%的用户使用、60%以上的用户使用纯数字口令。拿CSDN事件为例，即便在信息遭泄露、网站反复提醒下，也仅有30%密码遭泄露的用户对密码进行了修改。

根据安全专家的建议，网友应该把日常使用的网络服务分类。“邮箱就像保险箱，里面有打开其他服务的全部钥匙”，所以重要服务如邮箱等，设置密码时需要尤为注意，避免一但被黑客恶意进入，暴露更多真实信息。同时，应尽量在不同网站设置不同的登录密码，以防其中之一被攻破，其它的全军覆没。至少银行、金融支付等重要密码应和其它网站进行区别。

最后，养成定期更换密码的习惯，且设置的密码安全等级要有一定强度。

除了在密码上花些心思，确保终端电脑和访问网站的安全也十分重要。具体如及时给系统升级、修补漏洞、定期杀毒、不在公共场所进行涉及个人信息的操作、不随意访问不可信网站等。

相比于一般企业，网站内保存大量客户资料和智力资产。电子商务平台里有许多真实的用户信息，如姓名、地址、手机号码，一旦泄漏，后果将不堪设想。而政府服务网站泄露信息危害更大。有专家指出，此次CSDN事件值得我们反思的地方很多。除了网站应加强安全建设、用户应注意隐私保护外，法律方面，主管部门应尽快出台法规，从权利保护、责任认定、责任追究和法律保障上，对个人信息予以保护，明确个人、网站和监管机构各方所应承担的责任、义务。

同时，有律师表示，不管是黑客入侵还是内部泄露，网站既构成侵权，又构成违约。如果用户因为信息泄露造成损失，有权向网站索赔。

而目前，我国对个人信息安全保护的相关法律条例仍有待完善。更有通过法律的明确规定，才能让企业真正实行其义务，有力保障个人信息。在制定公民信息法律方面，美、德、法、英四国就为我们做出了很好的表率。

美国是隐私权相关概念和理论的发祥地，其保护隐私权的法案早在1974年就已生效。之后，又有《财务隐私权法》、《联邦电子通信隐私权法》、《家庭教育权利及隐私法》、《计算机对比和隐私权保护法》等不断补充进来。随着信息技术的发展，联邦政府及各州还不断出台新法、升级老法，使隐私权保护能紧跟时代步伐。

在德国，隐私权作为一项独立的人格权受到民法典保护。1970年，德国黑森州颁布了德国首部地方性《数据保护法》，从而在全球开辟了一个新的立法领域。《联邦数据保护法》和《州数据保护法》在1977年和1981年也先后出台。1983年，德国立法机构全面修订了《数据保护法》。为适应时代变化，德国又于2001年和2006年根据欧盟的新规定两度修订《联邦数据保护法》。

法国国家信息技术与自由委员会成立于1978年，目的是保证信息技术不妨碍人权、个人隐私和自由。2004年，法国国民议会通过法律，赋予委员会对违规机构进行经济处罚的权利。

英国议会于1984年通过了《数据保护法》，并于1998年对该法进行修订。此后，英国陆续通过了《调查权法》、《通信管理条例》和《通信数据保护指导原则》等一系列旨在保护公民个人信息的法律。

做好信息安全，需要网站企业、用户个人、监管部门三方共同促进。一种处在这三种角色之间的新力量，能否肩负起维护信息安全的重任？

在媒体见面会上，蒋涛曾承认，CSDN当时对乌云平台发出的预警没有足够的重视，导致事件不断扩大。乌云网是国内一家披露互联网厂商安全漏洞的网站，其信息来源于注册用户的提交，旨在为厂商和安全研究者之间搭建一个平台：企业可通过该平台获知自己网站的潜在危险，后者可以在此学习、交流和研究。

去年岁末，作为许多网络泄密事件的发布源头，乌云网先后曝出了CSDN、天涯社区、当当网、京东商城等网站存在安全漏洞。12月29日又披露了1,500万至2500万支付宝用户资料泄露事件和广东出入境政务网站后台存在的严重漏洞。

据称，444万网上申请用户的真实信息，如姓名、护照号码、港澳通行证号码等已经遭到泄密。

鉴于以上几起泄密事件为自身带来的巨大压力，12月31日，乌云网宣布暂时关闭网站，理由是“对系统做短暂升级”。同时，网站还发布公告称：“最近频繁披露的安全事件及带来的影响表明，一方面我们企业的整体安全建设还不够完善，但是同样反馈出乌云平台无论是沟通渠道还是响应机制都存在一些问题。在漏洞公开机制上，乌云考虑是否逐渐向公众披露，以减少实际可能带来的影响。”但分析人士指出，网站选择暂时关闭，更可能是来自政府以及企业的压力。“社会影响太大，已经远远超出漏洞公布的技术层面了。”有专家这样说。

结语

自互联网行业出现以来，网络安全问题就屡禁不止。即便在信息化发达的美、欧、日等国，黑客攻击、病毒侵袭、信息泄露等事件同样时有发生。但近些年来，更多攻击行为开始以牟利为目的，尤其针对个人信息。黑客已经形成一个庞大的产业链，使信息安全形势变得更加复杂。

因此，仅从安全技术角度，是不能够根治这种病症的。同样，依靠用户修改密码也不能带来实质性的效果。真正的解决办法在于：一方面，互联网企业应正视信息安全给企业带来的价值，加大对其投资力度；同时充分认识到一旦信息泄露，不仅会造成经济上的损失，还会损害企业形象，影响企业社会公信力等。另一方面，政府也应该从战略高度审视互联网安全问题，加强相关法规的建设。总之，中国互联网需要通过转变认识和调整发展方式来摆脱网络安全问题。