互联网信息缺乏安全意识管理

这是一次被夸大的危机,但却并不是"狼来了"的故事。

去年末至今年初,CSDN和天涯等网站的用户数据泄露引爆了互联网信息大规模失窃的恐慌,特别是一连串知名网站被爆遭黑客攻击,假设这些网站的用户信息被窃取,至少将涉及数千万级的用户,那些账号密码被盗取的用户,其在互联网上的虚拟货币、网银以及电子商务网站账户余额的安全性打上了大大的问号。

尽管政府机关后来证实,CSDN和天涯用户数据被窃取的时间早在两年前,而一些传闻中的安全事件并不存在,但部分大型网站用户账号密码信息被泄露、破解或内部人员盗窃却是不争的事实。

"网络安全不仅是技术问题,更是一个意识问题。"从事企业安全服务的安全宝CEO马杰向《环球企业家》指出。而近期信息泄露事件是国内网站普遍并不重视安全问题的一次集中爆发。从网络安全领域的角度看,所有网站都是会有漏洞的,安全领域的思维是假设网站一定会被黑客攻陷,攻陷后怎么将损失降到最小和能进行控制的角度来部署安全措施,而不是事后再去找原因。在此假设下再通过技术或者物理的手段进行加密处理或隔离,来降低信息对黑客的价值,增加其攻击的成本。

互联网绝对的安全是不存在的。就像一座房子,小偷能从很多地方进来,即使是有专门防盗的金库也有办法从中实施盗窃。网络安全一直在网络安全人员与黑客的斗智斗勇比拼中不断进化。绝对的安全不存在,但网站自身还是能够做到相对的安全。网站进行安全部署,将会大大降低首先被黑客盯上的可能性。

忽视安全导致网站对该部分的投入普遍偏低。"国际上一般安全投入占IT投入的10%左右,国内比较重视的企业会在6%至8% 左右,但绝大部分互联网企业都达不到1%。"曾在腾讯、盛大工作过的优刻得信息技术有限公司CEO季昕华表示。安全意识偏低的结果,导致该部分投入都进入到竞争和业务发展中,网站不得不"裸奔"。不重视安全可能"后天"会出事,但是不发展业务,"明天"就会死掉。

而在行业层面,普遍地不重视安全问题,也将导致某一家网站出事,其他网站也会被动地遭到黑客撞库(黑客用盗取的用户信息比如密码去尝试登录该用户注册的其他网站)。这个问题并没有很好的解决办法。而呈现流行趋势的网络开放平台也需要对接入的合作伙伴以更严格的安全要求,做好整体的架构设计、数据隔离、接口数据监控分析等工作。

安全不是可选项,而是必选项。网络服务商若只重眼前利益,不就安全问题做长远打算,最终必将会失去用户的信任。