接连爆出的信息泄密事件令中国互联网风声鹤唳,网民更是惶恐不已。在泄密事件爆发、持续发酵一个多月后,终于迎来新转机。国家互联网信息办日前宣布,近期已查处了5起信息泄露事件,相关事实已由公安机关查明,违法人员已经或将要被依法严肃查处。
国家互联网管理部门强力介入可能会增强网民的些许信心,但是,面对频频发生的“泄密门”,人们不禁要问,在安全防护上如此脆弱的互联网还能“粘”住网民吗?没有了信息安全这个“安全带”,中国互联网产业还能继续狂飙猛进吗?
互联网信息安全脆弱不堪
CSDN数据泄露事件好像是一个导火索,让一直远离大众视野的信息安全成为热点。
来自国家互联网信息办的消息显示,网上热传的一系列泄密事件中,经查只有CSDN、天涯网站曾在2009年以前被入侵,数据遭泄露也发生在两年前,近期这两家网站并未遭受攻击。京东商城网站也遭入侵,但数据未泄露。而广东“YY”语音聊天网站泄露的数据,则为该公司员工利用职务之便从公司内部备份数据库窃取的,网站并未被入侵。至于工商银行等金融机构数据泄露事件则被证实是谣言,工行等银行系统并未被入侵,网上公布的所谓“数据”与银行相关数据不符。
备受网民关注的新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵。网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。截至目前,公安机关此次已查处入侵、窃取、倒卖数据案件9起,编造并炒作信息泄露案件3起,刑事拘留4人,予以治安处罚8人。
新发布的《2011年度安全报告》也显露出信息安全形势的严峻。报告指,当前威胁国内互联网安全的因素主要是病毒和木马等恶意程序、钓鱼诈骗、黑客“拖库”攻击,这其中,黑客以取得的用户数据库为基础,利用“社会工程学”原理对用户进行全面的诈骗、密码猜解、身份伪造、病毒和挂马等攻击,这种新型攻击已经全面渗透到黑色产业的各个环节,显示出巨大的现实危害。有调查数据显示,单个受害用户的受损金额较往年增长较多,黑客通过MSN和QQ进行“老同学,帮我买几张充值卡”诈骗,利用团购进行“假iPhone诈骗”,利用搜索引擎广告来出售假冒伪劣商品等多种新型钓鱼诈骗方式,使得网民一旦中招,就会损失数千、甚至上万的金钱。
事实上,“泄密门”不仅发生在中国互联网上,针对大型网络服务商的“拖库”攻击已经席卷全球,即使强大如美、日、韩等国的互联网,进入2011年以来都面临着同类问题,单单在上半年,就有日本索尼公司、美国wordpress等网站遭攻击,损失惨重。
高速扩张下的隐忧
面对层出不穷的黑客攻击,互联网为何如此脆弱?许多业界专家都在对此进行反思。
近十年以来,国内互联网企业只重视规模扩张,追求高速增长,对信息安全的投入很少甚至是没有。“在某种程度上,我可以说中国互联网存在一批豆腐渣工程,很多网站都是互相抄袭,只想着赚快钱,连基本的安全防护也没有。而且,有些网站使用盗版软件,无法及时更新,这些网站相当于是纸糊的房子,安全性根本无法保障。”
的确,在互联网业内,安全维护未受到重视。有调研数据显示,目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%,而对安全性要求比较高的金融行业为10%,欧美互联网公司的安全支出占比普遍为8%-10%。
安全专家称,“泄露门” 根本的原因是一些互联网企业没有建立完善的安全防护机制,不但对来自外网的威胁无法拦截,而且对内网安全防护也没有做到位。大部分电子商务网站仅部署传统的安全措施,如用系统和网络防火墙来防护传统的攻击,但对于新型针对应用层的入侵攻击,并没有采取相应的安全措施。
实际上,网站安全投入的数额并不太高。宁志翔透露,以一家中型网站为例,部署应有的安全防护措施每年只需投入十几万元到几十万元,这对于电子商务等已经融资正在“烧钱”发展的互联网企业而言,其实是很容易实现的。但令人失望的是,更多的企业关注的是扩张的速度而无视信息安全。
监管与立法双管齐下
对于信息安全的解决之道,很多业界专家都认为应该使用法律手段,唯其如此,才能真正解决日益严重的信息安全问题。宁志翔说:“信息安全应该上升到国家利益的高度,应该在 高立法层面予以规范,地方利益和行业利益都要服从它,而现在立法缺失,谈如何保证信息安全只能是一句空话。”他建议,国家相关部门应该加紧制定一些信息安全管理条例,因为法律出台的速度较慢,条例则相对较快,而且,条例中的规定如有不合理的地方,修改起来也相对容易。
在操作层面上,业内人士建议互联网企业应该加强建立监管机制。正如“堡垒都是从内部攻破”,互联网企业更应该重视机房安全,一定要建立监管机构和措施,实行备案制,在机房里做了什么都有痕迹,都能查得到。有安全专家表示,虚拟主机漏洞多,大型企业、一些重要行业的企业 好自己建机房,因为远程进入的漏洞相对会多一些。
采访中,专注文档加密软件、图纸加密软件反泄密软件的安全公司ITEN表示,互联网安全的改善和好转,不但需要安全技术的创新和积累,更需要各个厂商踏踏实实的努力,需要与用户资料安全需求相匹配的安全投入。安全是一切业务的基石,缺乏安全和信任的互联网,将是所有网民、网站和厂商的噩梦。
通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。