2011年是不平静的一年,在年底曝出的知名网站CSDN的用户信息泄露事件更成为网络安全领域的最大IT新闻,大约600万名用户的注册信息和密码等资料在互联网上被公开并被疯狂转发下载。而事情尚未平息,相继又有其他知名网站同样陷入“泄密门” 风波,比如天涯社区和新浪微博等互联网服务商,其包含千万级用户信息的文件也出现在互联网。一时间,所有网站风声鹤唳、人人自危,大家纷纷猜测接下来是不是会有更多的服务商卷入这次用户密码泄露事件。
实际上,“泄密门”的受害者不仅仅局限在中国的互联网企业。他的范围波及海外及其他各行业。例如2011年4月,日本索尼公司已经发生过类似的用户信息泄露事件,约有超过1亿个索尼娱乐服务的客户资料和1200万个没有加密的信用卡号码被泄露。再有就是最近披露的广东出入境管理局用户资料泄露的安全事故。有来自第三方机构的调查显示,2011年全球互联网共发生了超过230多次的大规模用户信息泄露事件。再有用户私人信息的丢失不仅会给用户的生活造成很大的困扰,更可怕的是由此带来的经济利益方面的损失。
对此,作为在安全领域耕耘多年并拥有深厚积累的厂商,H3C认为这几次黑客攻击行为采取的技术手段本身并不复杂,仍然属于安全漏洞及各种0day漏洞的恶意利用,但是其将千万级的互联网用户卷入到事件当中,从而给社会和广大互联网用户的个人信息安全造成了很大的困扰和威胁。通过对这次的“泄密门”进行反思,可以发现造成这种状况的原因主要有以下几点:
首先是互联网服务商缺乏安全风险意识,关键服务器的安全防护不成体系,以往的同类事件发生后并没有引发足够的重视;其次是用户信息存放方式不够安全,例如CSDN核心数据库用户信息采用了明文存储方式,是引发“泄露门”的关键;再则就是许多网站的内部员工安全管理监控不严,导致出现“内鬼”;另外互联网用户不安全的上网行为,也会引发严重后果。用户使用简单密码简单,在不同网站ID、密码统统一样,一旦密码泄露就会牵一发动全身。
“泄密门”事件,给我们所有人敲响了警钟。那对于我们来说应该如何改进才能消除“泄密门”威胁呢?在长期的研发和实践中,H3C针对网络安全防御研发并建立了完备的产品线和解决方案。就当前的“泄密门”事件的解决和防御办法,H3C的安全产品线总工李彦宾认为可以从下面几个方面着手。
第一是要建立完善的信息安全防御体系,这也是互联网服务商提升安全防御水平的关键。一方面,需要在企业互联网的入口部署成熟的硬件防火墙网关,实现对网络层用户访问的隔离和控制,允许合法的用户访问并拒绝不符合安全策略的非法入侵。并针对关键的服务器区域,部署专业的硬件IPS入侵防御设备,抵御应用层攻击,包括CSDN这种针对数据库漏洞的应用层攻击。H3C Internet 出口安全综合解决方案提供专业、高效的防火墙和IPS等设备来构建L2-7层立体防护体系,在对外应用服务器前端建立起第一道坚实的安全防线。
另一方面,服务商本身也需要对数据的存储安全进行考虑;包括用户关键数据的结构分类、数据的加密存储模式、数据的容灾备份及数据的安全查询等进行综合考虑;只有这样才能从技术层面最大限度的保证用户的数据安全。
第二是要加强用户数据在公司内部的安全监管,加强对关键数据库访问的认证、授权和审计制度。在技术方面,对于需要访问数据库的管理员进行严格的用户认证,加强对数据库文件的访问权限控制,并对于访问过数据库的管理员行为进行详细的日志记录。在制度方面,需要在公司内部建立严格的安全管理规章制度,确保员工在双重约束下对用户数据的安全保护。H3C内网控制安全解决方案,从员工接入内网,到访问应用、再到内网出口,所有的信息交互可控、可视、可查、可审,达到内部信息数据安全监管的效果。
第三,养成良好的上网行为习惯,避免安全风险是每个互联网用户都要遵循的原则。不使用同样的账号和密码在不同网站进行注册登录,使用高强度的密码组合,不定期的更改密码,在有条件的情况下,网上支付交易可以在专门的电脑进行。这样才能防患于未然,确保互联网冲浪安全。
我们确信,三大措施的实施和完善能有效的降低用户的“泄密”风险,但网络中安全隐患的滋生及黑客的侵袭是永远不会消失的。它是IT建设者无法回避的挑战和责任,希望这次“泄密门事件”能为我们每个IT建设者敲响警钟。