“泄密门”凸显互联网企业安全痼疾

2012年01月09日10:51 来源：中国计算机报 作者：吴玮

　　“喂喂喂!太恐怖了吧!为什么拿我做示范!”著名魔术师刘谦1月4日在新浪微博上发出的这条微博证实，一位专业安全人员在发现新浪漏洞后，在对刘谦微博进行尝试性攻击后取得了成功。由此看来，从2011年圣诞前夕开始爆出的互联网用户数据泄露事件至今依然没有平息。从最初的CSDN，到随后的天涯社区、开心网、多玩、世纪佳缘，再到当当网、凡客、京东商城……网站用户数据泄露事件已经成为这个新年里最热门的谈资，国内安全企业金山公司甚至因其员工传播泄密数据而深陷“泄密门”中。

　　为什么数据泄露事件会在今天如此集中地发生在一些互联网企业?与传统企业相比，互联网企业的安全防护难在何处?

　　CSDN首度披露泄密根源

　　2011年12月21日，国内知名程序员网站CSDN 600多万注册用户信息被黑客曝光，成为互联网领域“泄密门”的导火索。

　　1月5日，在泄密事件发生半个月后，CDSN创始人蒋涛接受了本报记者的独家专访。他坦承，此次泄密事件对CSDN而言是一个重大教训，此前他并没有想到数据泄露会这么严重。作为一家国内较大的开发者技术社区，CSDN拥有不到100台服务器，用户在该网站的注册信息只包括邮箱和密码，并不涉及用户真实姓名、身份证号码、电话号码、家庭住址、银行卡号等敏感信息。蒋涛一度认为，这些注册信息并不具备太大的隐私性，对黑客也不会有太强的吸引力。但他忽略的一个重要问题是：黑客会将盗来的信息用于用户数据更为敏感的网站进行密码刷库比对，如果用户在这些敏感网站(如支付宝)用的是同样的密码，那就意味着黑客们能轻而易举地攻入这些网站，获取用户的敏感资料。

　　目前，针对服务器端的黑客攻击最常用的手法是漏洞利用，而无论哪种漏洞，只要被利用，就可能造成黑客获取最高权限，从而带来数据库丢失和泄密。

　　而风险不只如此。作为第一个在美国黑帽大会上演讲的中国人，安恒信息技术有限公司总裁范渊告诉《中国计算机报》记者，数据安全存在两方面的风险：一个是来自外网的黑客攻击，另一个是与企业内部人员相关的内网安全风险。从这次“泄密门”事件来看，这两方面的风险都比较大。

　　CNNIC《第28次中国互联网络发展状况统计报告》显示，2011年上半年，有过账号或密码被盗经历的网民达到1.21亿人，占24.9%。而随着网上支付和使用信用卡网购的人群迅速增加，网民们的信息安全现状更加令人担忧。

　　网络信息安全现状堪忧

　　此次泄漏事件，反映出一些网站的服务器端安全机制问题.与传统的密码泄漏出现在用户电脑端不同，此次事件中，黑客利用服务器弱点直接获取整个数据库，其带来的安全风险远大于以往。业内人士认为，此次数据泄漏事件造成的损失将在很长一段时间内存在，并影响很多人的正常生活，甚至改变大多数网民的上网习惯。而在目前，一些互联网企业对于用户数据保护的意识仍十分淡薄，在保护用户信息安全中的投入非常有限。

　　在知名网络安全专家、安天实验室首席技术架构师肖新光告诉记者，目前，属于互联网主流厂商的腾讯、百度、阿里、盛大等，在安全方面投入较多，安全维护团队规模较大，有一定的自我防护能力，甚至出现了安全企业界的人才向他们流动的现象。但是，部分互联网企业缺少专门的安全维护团队和安全投入，还有一些网站自身不太重视安全和投入，同时也不愿意把安全工作外包给安全企业来做。

　　如此网是一家经营旅游、户外用品的网上商城，该网站技术总监黄银彪向记者坦承，目前他们在安全防护方面，基本都是使用已经认可的技术手段，并且是通过免费或者小成本的投入来维护安全，网站也没有专门的人力投入于此。这也是多数中小型B2C互联网企业常规的安全处理办法。此次数据泄露事件发生后，这位负责人感觉目前的安全防护手段并不够，但他同时感到，要建立一套完整的安全防护硬软体系，不但要花费一定财力，还要有相关人才。

　　实际上，对于一些互联网企业而言，安全投入的数额并不像他们想象的那样高。瑞星公司信息安全专家唐威向记者透露，以一家中型网站为例，部署应有的安全防护措施每年只需投入十几万元到几十万元，这对于那些已经融资正在“烧钱”发展的互联网企业(如：电子商务企业)而言其实是很容易实现的。然而，有些企业即便是对安全公司提供的免费安全服务也很少用。

　　某券商TMT研究部门公布的调研数据显示，目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%，而对安全性要求比较高的金融行业为10%。欧美互联网公司的安全支出占比普遍为8%~10%。

　　在“泄密门”事件中，网站无疑应该承担更多责任。奇虎360公司安全专家石晓虹告诉记者，目前，一些网站安全防护做得还很不到位，没有对用户数据进行加密保护，也没有控制数据泄露对用户造成的风险。相关调查显示，目前，90%以上的电子商务网站都存在网页应用漏洞，而且没有实施定期的扫描来评估网站是否存在威胁和安全风险。大部分电子商务网站仅部署传统的安全措施，如：用系统和网络防火墙来防护传统的攻击。但对于新型针对应用层的入侵攻击，并没有采取相应的安全措施。

　　由此看来，“泄漏门”最根本的原因是一些互联网企业没有建立完善的安全防护机制，不但对来自外网的威胁无法拦截，而且对内网安全防护也没有做到位。趋势科技中国区资深产品经理张明台向记者表示，一些企业内网没有部署有效的威胁管理机制，对机密数据内容本身(客户账号、密码)没有明确的访问合规监控及实施安全的存储(以明文存储而没有加密)。

　　互联网烧钱魔咒和安全困局

　　对一些不缺钱的互联网企业而言，几十万元的安全投入也许根本不算什么，但为什么就是不去投入呢?对任何一个企业而言，用户数据都应该是核心机密，为什么此次数据泄露事件会发生在互联网领域而不是其他传统领域呢?

　　肖新光向记者道出了深层原因，这是互联网发展抢速度的后遗症。他表示，过去10年，互联网企业以速度求生存，以扩张求发展，在应用开发中脱离了安全发展，而在未来，这些欠账都要陆续补上。

　　一直以来，互联网的发展都是以扩张效率为主导，激烈的竞争让互联网企业不得不争分夺秒地争抢发展速度，这个时候，安全很容易被视为降低开发效率的影响因素而被忽略。

　　以典型的网络游戏模式为例，一个企业如果投入100万元来加快游戏的开发速度或增加新的功能，早一天上线，就能早一天赚到钱，而如果把这笔钱花在安全防护上，短期内根本看不到收益，反而会影响开发的效率，甚至可能因此在激烈的市场竞争中，因为慢了半拍而被对手甩在身后。

　　在分析此次数据泄密事件时，肖新光也对国内的安全界进行了反思，他在一篇文章中指出：“信息安全界因保守、敏感和很多自身的原因，与应用的距离越来越远，在我们还在幻想某些完美的安全图景时，发现已经望不到应用的脊背。”

　　这番话用在互联网应用中尤为恰当。与传统内网具备标准化的安全应用场景不同，互联网企业的应用环境并不是标准化的，不同的网站都有其个性化特点。肖新光表示，传统企业可以采用安全孤立法来部署安全措施，把整个IT体系拆解成不同节点，如：服务器、工作站、网关，分别对应一种安全环节。但对互联网企业而言，这种孤立法是不够的，互联网企业自己开发的东西很多，这给安全厂商服务带来了更大难度。因为不同网站就有不同场景，其漏洞没有普适规律，也就很难做出普适性安全产品。

　　反思刚刚开始

　　此次互联网数据大规模泄密事件发生后，安全界积极启动了应急措施，提供紧急援助。

　　奇虎360公司第一时间联系CSDN等受害网站通报事故信息，并通过官方微博、官方论坛等渠道，为受到影响的网民提供紧急救援。针对一些网站频繁发生数据泄露的情况，360还计划为用户提供专业化密码管理产品，帮助用户安全、方便地分级管理账号密码。

　　瑞星公司发布国内首个网站密码保护方案“瑞星网站密码安全检测系统”。这是国内安全厂商首次针对“泄密门”推出的专业解决方案，网站管理员登录瑞星官网即可免费注册使用。该系统可对网站密码库的安全性进行深度检测，扫描SQL注入、弱口令、XSS跨站攻击等弱点，并给出专业的分析报告和修复建议，帮助网站保护用户密码库。

　　安天实验室发布了一份名为Antiy Password Mixer(安天密码混合器)的开源代码，提供了Web应用密码存放示范程序，为互联网企业提供了相关的对比依据。

　　对于互联网企业而言，泄密事件发生后的这段时间，是互联网企业补足安全这一课的黄金时间。而令人欣慰的是，此次事件已经使互联网企业的安全意识得到明显增强。

　　CSDN创始人蒋涛表示，CSDN未来将进一步加大安全防护力度，加强对核心数据与非核心数据的隔离，防止类似事件再次发生。CSDN将加强安全环节的投资，购置必要的软硬软件产品，并聘请安全顾问。目前，CSDN已经在制定相关的方案。

　　如此网技术总监黄银彪也表示，今后会在数据安全方面增加人力和财力的投入。

　　蒋涛提醒同行，要经常查补漏洞，并对开发人员和应用人员进行培训。他认为，黑客最喜欢研究第三方的通用软件和工具，网站运维人员要十分清楚用了多少外部系统，设法保证系统安全。内部程序员写程序时也要提高开发的安全性。

　　蒋涛还希望，国内建立互联网企业的安全联盟，并建立起互联网企业的安全知识库，共享安全知识。

　　显然，仅有这些还远远不够。网络信息安全需要政府、互联网企业、安全行业多方努力才能实现。

　　“泄密门”爆出后，很多用户都遵循专家意见修改了密码。但实际上，要真正解决互联网上数据泄密的问题，用户能做的非常有限。

　　一位信息安全专家向记者坦言，用户定期更改密码是一个很好习惯，但频繁地更改密码，用户的密码管理成本会加大。而且，如果网站安全问题还是没有改善及加强，新的账户数据还是照样会被泄漏。

　　正如启明星辰(002439,股吧)首席战略官、中国计算机学会理事潘柱廷所说，热热闹闹的社会事件告一段落后，现在应当是认真地在法律、技术等方面寻找长效机制的时候了。

　　安全专家谈数据泄露

　　问：如何看待这次数据泄露大规模爆发事件?

　　范渊：数据泄漏其实是很早以前的事，只是现在进入了大众的视野。早在2009年和2010年，一些网站后台已经被攻击。但有些网站并不知道，有些没有意识到有这么严重，也没引起足够重视。

　　石晓虹：黑客公开CSDN用户数据库，就像第一次世界大战之前的萨拉热窝事件，点燃了众多网站数据库集中曝光的导火索，是黑客出于炫耀或警告目的的连锁反应。

　　问：这次泄密事件中，相关网站有哪些是该做而没有做到位的?

　　肖新光(江海客)：一些网站在事前策略(网站的基础安全规划)、事中防御(实时安全手段)、事后止损(加密策略)等环节都有缺陷。网站安全措施的层次应该是立体的，包括：整体的设计策略(权限、访问控制等)、必要的安全产品(安全网关类产品、IDS等)和足够的安全人员。

　　范渊：这些网站应该部署应用安全。很多电商网站在开发阶段就留下了漏洞，因此，这些网站需要做好上线前的检测工作，对重点漏洞要弥补。上线后，要实施Web应用防火墙等安全措施。另外，在企业内部，要做好数据库审计防范加固。

　　问：如何避免同类事件发生?

　　潘柱廷：第一，仿照“食品安全”的管理，互联网服务网站要有类似“食品安全许可证”的简单安全认证，确保其基本安全;第二，互联网服务网站要分级，高级别的网银和购物网站需要较高的安全保障措施，一般网站只要一般保护即可，但需明示;第三，出台网站基本安全保护规范。

　　肖新光(江海客)：对用户而言，设置密码需要分层次进行。如果某个信箱主要是用来找回相关密码的，它就是一个根，需要强度很高的单一密码。在一些不太重要的站点，如果只是灌灌水、下载资源，就不要用和你的敏感账户一样的密码。

　　设置安全密码的十个要点

　　1、密码的位数不要短于8位，使用大写字母和小写字母、标点和数字的集合;

　　2、不要以任何单词、生日、数字、手机号作为密码;

　　3、密码中的英文最好有大小之分;

　　4、在程序允许的情况下，最好能加上英文半角的符号;

　　5、不要用a、b、c等比较小顺序的字母或数字开头，因为用字典暴力破解的程序，一般都是从数字或英文字母排序开始算的，如果设为z的话，破解的机率就小很多;

　　6、对无规律密码的记忆可采取较简单的方法，如：原密码是yixieshi，可以先加头，加一个“$”号，就成了$yixieshi，然后再加尾，加一个“)”号，就成了$yixieshi)。还可以再把中间的字母再打乱，成为$shiyixie)等;

　　7、一些程序或注册入口对密码设定得比较死，只能用数字和字母，对此，可以通过一定的方法变通，如：原密码是yixieshi，可改大小写，成为YixieShi，也可再打乱顺序，成为ShiYixie，或在其中加数字，成为1Sh2iY3ixi4e0;

　　8、定期更改密码，比如说每个月的第一个星期五修改密码，此时也不用再想一个全新的号码，把原有密码的排序改一下就行;

　　9、对于不同网站的密码要分级进行管理，不要在所有的网站都用一个密码，根据重要和非重要的原则来设定密码，比如在不是很重要的网站，可以简单到用111111来作密码;

　　10、在电脑中安装比较可靠的杀毒软件。如果你的电脑里有木马，再复杂的密码也是没有任何作用的，不要上不可信的网站，不要让别人很容易就得到你的信息，包括身份证号码、电话号码、手机号码、所居住的街道名称等。