让我们把目光再次回到2011年12月21日,从CSDN密码被黑客公开的那一刻起,一场我国互联网史上最大规模的用户信息泄露事件正在疯狂的上演。CSDN、天涯社区、新浪微博、人人网、开心网、世纪家园……这次泄露事件导致在互联网上“裸奔”的网民超过一亿,随着事件的持续发酵,电子商务网站、网上银行也有不同程度地、真真假假地被牵扯进来……
我们暂且先不去论这些用户信息是否真得像圈内人士说的早已泄露,还是所谓的“撞库”导致的更广范围的扩散,就这次事件本身所产生的影响,也足以让我们应该开始反省,互联网企业如何才能迈过安全这道槛?在近日CCF YOCSEF(中国计算机学会青年计算机科技论坛)组织的“知名网站口令大泄露的背后”特别论坛上,有幸聆听了业内大腕们对这次泄露事件更深层次的看法。作为一名伪IT工作者,我无法用更专业的语言来准确的表达出大腕们的想法,诚惶诚恐地敲完所有文字,以下的内容仅是我对专家们观点的粗略总结和一点点浅显的理解,欢迎大家的指点!
通过这次用户信息泄露事件的影响,如何保障互联网安全成了大家共同关心的话题。从提升企业及人员的安全意识、安全编程、OpenID、政策法规直到对互联网本质的探索和身份认证技术在互联网行业的普及,这次特别论坛所碰撞出来的智慧火花,让我们仿佛看到了互联网安全新的希望……
提升互联网安全意识,包括互联网用户、互联网企业和安全厂商等等都需要得到重视。互联网用户安全意识的提升,相信通过这次信息泄露事件教训,很多用户改密码改到手软,用户的互联网安全意识得到了普遍的提升。然而,作为互联网上最弱势的群体,更多的则是无奈,是寄希望于互联网企业的行业道德和技术实力,是寄希望于国家的政策和法律法规的完善。
作为互联网企业,他们对安全的重视至关重要,CSDN蒋涛在一开始的发言中坦言“对于安全我们了解很少,我们自己也从来没有想过在安全上做一些什么样的工作。第一因为CSDN是以论坛用户为主的社区,我们觉得我们的数据不占有敏感数据;第二技术网站可能也没有太多的商业利益可以给黑客挖掘;第三是运维,最后检讨发现运维上存在很多问题,我们有将近100台服务器,有三个运维人员,运维工作做的程度还是差的很远,包括老的系统,系统漏洞升级,还有数据备份、认证管理。”
第二方面通过事后做的漏洞扫描和渗透测试,蒋涛也分享了安全审计的结果,存在很多的安全问题:有第三方的系统漏洞、应用程序存在的跨站脚本和漏洞、大量系统后台认证漏洞、系统管理员密码简单(蒋涛谈到,第三方系统,一个很简单的加密,瞬间就把密码暴露出来了)、后台暴露,不断让用户做各种暴力测试、最后是还存在一些老的系统,其实已经不用了,但它还在上面,可能那些老系统也有漏洞。
蒋涛最后谈到了CSDN应对这次事件的解决措施,一是希望能加入信息系统等级保护这方面的认证;二是将核心业务与非核心业务切割开来;三是降低对黑客的价值,没有百分之百的安全,对核心数据做好防护,让黑客暴力破解成本更高,他可能对你的兴趣也会降低;四是安全审核机制,蒋涛介绍到,通过自查排除了内部员工泄露可能性,但还是发现内部有很多地方可以把数据泄露出去也无从知道。最后一点蒋涛谈到目前互联网公司的现状,只有大的互联网公司才配有专门安全工程师,像腾讯和阿里云,阿里云有将近200名工程师,大部分的互联网公司不可能配备专门安全工程师。蒋涛呼吁专业的安全公司和组织以及整个行业可以共享安全知识,让整个互联网行业的企业都能够及时的修补漏洞,提升企业IT管理人员对应用安全、代码安全的认识。
这次事件给了CSDN深刻的经验教训,能做出如此深入彻底的改变,相信他们以后会更加地注重安全,也做的更好。而作为一个媒体人,我们追求的不是在曝光CSDN这次事件本身的热点,更多的我们希望能通过这个教训,让整个互联网行业的企业都能意识到安全的重要性;让安全厂商能够意识到他们也不在是单单只是为了卖产品,希望他们能以专业的技术来帮助企业和用户提升安全意识,这是他们的义务,也是责任;也呼吁国家能尽快完善相关的法律法规,数据大泄漏说到底是用户的权益受到了损失,可作为权益受损的一方却无法得到应有的道歉和补偿,这一点也只能寄希望于法律对于个人用户权益的维护。
对于这次用户信息泄露事件的问题根源,国家网络信息安全技术研究所所长杜跃进博士分享了的看法,自主可控不等于安全,我们以前一直说微软操作系统有多不好,但是现在我们这些网站被攻击是用到微软漏洞吗?其实跟微软漏洞没有关系,这些问题出在我们自己身上,我们自己不重视安全编程,程序的安全性太差了,没有人去重视代码安全,这种情况下网站怎么能不出问题。
北京大学计算机科学技术系陈冲老师也谈到了一个非常现实的问题,在我国一个程序员的寿命太短,一个好的程序员写不了几年的程序就转行或者成了领导。而在国外有写了四五十年程序的老程序员,可以想像,这些老程序员写的程序肯定会比写程序只两三年的新手有借鉴意义。
安全编程,这是对程序员说的,也是对企业说的。我们不能强求程序员必须按照某某种规定来编程,但这是一个程序员安全意识的提升和对企业、对用户的负责。企业也应该提倡和鼓励安全编程,这更是企业不可推卸的责任。
杜跃进介绍说,解决互联网安全问题,政府的推动作用非常重要。政府应该在政策、标准制定、监督、检查等方面起作用。比如说,代码安全不被重视,政府可以提要求,一定级别的代码要经过第三方监测。
李欲晓说,目前我国网络法律还不健全,国家应加强网络法律建设,尤其是出台网络安全的相关法规,保证网民能够在一个安全可信环境下去享受互联网提供的便利。
提高用户、企业的安全意识,安全编程,OpenID,身份认证技术向互联网普及等等,可以供我们选择的办法有很多,也许有的办法还不成熟,但随着IT技术的进步以及这次事件对业界所产生的影响,相信未来互联网企业迈过安全这道槛不在是什么难事!