中廣網(wǎng)北京3月21日消息 據(jù)經(jīng)濟(jì)之聲《天下公司》報(bào)道，近日，曾引發(fā)業(yè)界關(guān)注的CSDN網(wǎng)站用戶數(shù)據(jù)泄密案宣告破獲。北京警方對(duì)CSDN網(wǎng)站未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度造成用戶信息泄露事件做出行政警告處罰，這是國(guó)內(nèi)自落實(shí)信息安全等級(jí)保護(hù)制度以來(lái)開(kāi)出的第一張“罰單”。

不少互聯(lián)網(wǎng)企業(yè)都存在安全隱患

據(jù)悉，經(jīng)過(guò)細(xì)致的調(diào)查走訪工作，專案組最終鎖定一條關(guān)鍵線索，曾于2010年9月發(fā)帖自曝掌握CSDN數(shù)據(jù)庫(kù)，要求與公司進(jìn)行合作的一名用戶進(jìn)入到專案組視野，并于今年2月4日在浙江溫州將嫌疑人曾某抓獲。經(jīng)初步審查，該男子對(duì)利用CSDN網(wǎng)站漏洞，非法侵入服務(wù)器獲取用戶數(shù)據(jù)的犯罪事實(shí)供認(rèn)不諱。曾某還交代了曾經(jīng)入侵過(guò)某充值平臺(tái)及某股票系統(tǒng)的犯罪事實(shí)。

事件發(fā)生后，警方對(duì)CSDN網(wǎng)站開(kāi)展了調(diào)查，發(fā)現(xiàn)其未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，安全管理制度和技術(shù)保護(hù)措施落實(shí)不到位是造成用戶信息泄露的主要原因。警方向CSDN網(wǎng)運(yùn)營(yíng)公司提出了具體整改要求，并依據(jù)相關(guān)規(guī)定，對(duì)北京創(chuàng)新樂(lè)知信息技術(shù)有限公司作出行政警告處罰。

CSDN創(chuàng)立于1999年，是中國(guó)最大的中文IT知識(shí)服務(wù)集團(tuán)。目前，網(wǎng)站擁有2000萬(wàn)注冊(cè)用戶、50萬(wàn)注冊(cè)企業(yè)及合作伙伴，日訪問(wèn)量約2000萬(wàn)次。去年12月，大面積的互聯(lián)網(wǎng)用戶恐慌正是由于CSDN的安全系統(tǒng)遭到黑客攻擊，CSDN數(shù)據(jù)庫(kù)中的600萬(wàn)用戶的登錄名及密碼泄露。隨后，天涯社區(qū)、世紀(jì)佳緣、開(kāi)心網(wǎng)等十余家國(guó)內(nèi)知名網(wǎng)站近5000萬(wàn)用戶的信息在網(wǎng)上被黑客公布。

一時(shí)間，消息真假難辨，互聯(lián)網(wǎng)上人人自危。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)統(tǒng)計(jì)稱，被公開(kāi)的疑似泄露數(shù)據(jù)庫(kù)26個(gè)，涉及賬號(hào)、密碼信息2.78億條。

杭州安恒信息技術(shù)公司給CSDN提供的審計(jì)報(bào)告顯示，由于CSDN網(wǎng)站開(kāi)源系統(tǒng)等第三方系統(tǒng)存在第三方系統(tǒng)漏洞、已停用的老系統(tǒng)、應(yīng)用程序漏洞、系統(tǒng)后臺(tái)認(rèn)證等四大問(wèn)題，使其網(wǎng)站存在安全風(fēng)險(xiǎn)，泄露了大量信息。

CSDN創(chuàng)始人蔣濤曾坦言，“CSDN對(duì)敏感信息不敏感，也缺乏安全意識(shí)。”在CSDN擁有不到100臺(tái)服務(wù)器，注冊(cè)信息只包括郵箱和密碼的情況下，他一度認(rèn)為，這些注冊(cè)信息并不具備太強(qiáng)的隱私性，也不會(huì)引起黑客的興趣。

10年前的漏洞，至今未修補(bǔ)

不止CSDN一家有這樣的問(wèn)題。由于對(duì)安全的不重視，不少急速發(fā)展的互聯(lián)網(wǎng)企業(yè)在不經(jīng)意間為自己埋下了安全隱患的種子。據(jù)蔣濤介紹，目前，整個(gè)互聯(lián)網(wǎng)的安全現(xiàn)狀極不樂(lè)觀：70%以上的加密算法密碼庫(kù)都可以通過(guò)高頻碰撞破解，80%以上的互聯(lián)網(wǎng)公司都存在漏洞，60%以上有安全策略的公司還存在著漏洞。安全工程師張震寶表示，有些網(wǎng)站甚至10年前的安全漏洞至今依然存在，沒(méi)有引起足夠重視。

張震寶：根據(jù)我們檢測(cè)發(fā)現(xiàn)，現(xiàn)在中國(guó)的網(wǎng)站有52%是存在漏洞的，而且有些漏洞可能存在了十年，十年前已經(jīng)就被曝光出來(lái)的漏洞，現(xiàn)在依然沒(méi)去修復(fù)，不重視安全問(wèn)題。另外，因?yàn)檫@種漏洞是隨時(shí)可能發(fā)生的，并不是說(shuō)這次打了補(bǔ)丁就能一勞永逸，而是要不斷更新安全措施。只要你網(wǎng)站重視了自身的數(shù)據(jù)安全問(wèn)題，才是對(duì)用戶最大的保障。

張震寶透露，就連CSDN當(dāng)時(shí)最為人詬病的明文保存密碼的不安全模式，至今仍然在被一些網(wǎng)站使用。

張震寶：比方說(shuō)前陣子有一家獵頭網(wǎng)站，用戶反饋說(shuō)注冊(cè)之后，忘了密碼要找回，網(wǎng)站直接給他回了一封含他密碼的郵件，意味著網(wǎng)站肯定是明文保存了他的密碼。這種明文存儲(chǔ)密碼的情況，可能在很多網(wǎng)站上還是存在的。

網(wǎng)站安全檢測(cè)平臺(tái)對(duì)隨機(jī)抽取的93233個(gè)國(guó)內(nèi)網(wǎng)站分析發(fā)現(xiàn)，存在高危漏洞的網(wǎng)站比例達(dá)36%，存在中危漏洞的網(wǎng)站則有16%，兩者合計(jì)比例高達(dá)52%，國(guó)內(nèi)網(wǎng)站安全防護(hù)能力仍有待完善。

今年1月，CSDN和阿里云結(jié)成戰(zhàn)略合作關(guān)系，共同打造安全可信的開(kāi)發(fā)者服務(wù)平臺(tái)。當(dāng)時(shí)蔣濤反思稱，“如何讓開(kāi)發(fā)者信任CSDN，如何提高開(kāi)發(fā)者的安全技能，如何為開(kāi)發(fā)者創(chuàng)造價(jià)值，這是CSDN安全事件之后反思的主題。”

對(duì)于這一系列事件的教訓(xùn)，雖然網(wǎng)絡(luò)安全工程師認(rèn)為主要問(wèn)題都是出在網(wǎng)絡(luò)平臺(tái)上，但還是建議網(wǎng)絡(luò)運(yùn)營(yíng)公司和普通用戶充分重視網(wǎng)絡(luò)信息安全。

張震寶：要有專業(yè)的安全團(tuán)隊(duì)來(lái)維護(hù)網(wǎng)站的安全，要關(guān)注這種行業(yè)里面的動(dòng)態(tài)信息，比如業(yè)界新出現(xiàn)了什么網(wǎng)站的漏洞等等。用戶最重要的是，密碼要分級(jí)管理，重要的帳號(hào)和密碼要單獨(dú)設(shè)置，別都用相同的密碼。另外，重要的帳號(hào)，密碼一定要定期更換。

互聯(lián)網(wǎng)的用戶信息安全問(wèn)題得到應(yīng)有的重視么?除了罰單，有沒(méi)有更好的規(guī)范辦法來(lái)防范和杜絕?經(jīng)濟(jì)之聲評(píng)論員李光昱表示，

李光昱：我覺(jué)得防范的辦法就是你不去登陸。我們注冊(cè)的時(shí)候都要點(diǎn)一個(gè)“我同意”，那有個(gè)協(xié)議，其實(shí)沒(méi)幾個(gè)人看，但我認(rèn)真的看了，那個(gè)本來(lái)就是一個(gè)完全不平等的條約，即使你所有的信息在他那丟失，也不是他的責(zé)任。所以，我只好盡量少去網(wǎng)站注冊(cè)，或者不去拿真名注冊(cè)。

至于罰款，我覺(jué)得起訴他的話，因?yàn)槲覀儧](méi)有懲罰性的賠償，你起訴他，首先你要證明你到底有什么樣的損失，比如你就丟了一個(gè)用戶名和密碼，這種損失很難構(gòu)成你的起訴標(biāo)的。

　　推薦閱讀

　　一號(hào)店于剛：電子商務(wù)難點(diǎn)在供應(yīng)鏈管理

一號(hào)店董事長(zhǎng)于剛 于剛，中國(guó)最大的網(wǎng)上超市1號(hào)店的董事長(zhǎng)。他曾是戴爾全球采購(gòu)副總裁，掌管180億美元亞太區(qū)的采購(gòu)，而在此之前，他已經(jīng)是亞馬遜全球供應(yīng)鏈副總裁。這樣一位叱咤風(fēng)云的職場(chǎng)高管卻在知天命之年毅然決然>>>詳細(xì)閱讀

本文標(biāo)題：蔣濤：CSDN對(duì)敏感信息不敏感 缺乏安全意識(shí)

地址：http://www.sdlzkt.com/a/43/20120322/43116.html

 1/2    1  2 下一頁(yè)