如何应对网络安全问题不断升级

2011年年底，“改密码了吗”成了一句网络流行的问候语。事情的缘起是，2011年12月21日，国内最大的程序员社区网站CSDN被爆出有超过600万用户的注册资料遭泄露。随后还有消息说，有多家网站的用户信息也被泄露，于是很多网站提醒注册用户，尽快修改注册密码，尤其是在不同网站注册的账户，不要使用相同的密码，以防被黑客破解。

这场密码危机引发了IT界的大讨论：那些放在互联网虚拟世界的个人信息究竟该如何保护？在很多专家看来，此次密码泄露事件正在拷问我国的互联网安全。

1月6日召开的中国计算机学会青年计算机科技论坛上，CSDN总裁蒋涛坦言，作为一个论坛性质的社区网站，过去确实忽视了网络安全问题。

国家网络信息安全技术研究所所长杜跃进则指出，网站对互联网安全的重视程度并没有跟网络日新月异的发展同步。可以说，互联网安全一直没有受到应有的重视。其短板问题还体现在法律法规方面。北京邮电大学教授李欲晓介绍说，根据现有的法律，网民很难就自己的信息被泄露进行维权。

CSDN承认对安全问题重视不够

论坛上，蒋涛首次披露了该网站的安全审计报告。而在过去的10多天里，蒋涛被反复追问的问题是，用户的信息是怎么被泄露出去的，哪个环节出了问题？

蒋涛介绍说，去年12月21日，泄露事件被披露的当天，CSDN就请了一家网络安全技术公司对网站安全进行审计。根据安全公司提供的审计报告，此次CSDN资料泄露事件暴露出该网站的四个安全问题：

第一是开源系统等第三方系统存在漏洞，导致CSDN系统存在安全风险；

其次是应用程序存在跨站脚本漏洞；

第三，网站存在大量系统后台认证漏洞，如安全等级较弱的口令等；

第四，一些已经停用但还在线上的老系统由于安全级别低，泄露了大量信息。

CSDN是一个以论坛用户为主的社区，负责人蒋涛一直认为，这样一个程序员讨论技术问题的网站，对黑客来说没有太多的商业利益可以挖掘，所以并没有高度重视网站的安全问题，直到此次用户资料被泄露。

蒋涛说，他们有将近100台服务器，但只有3个运维人员。运维工作包括老的系统漏洞升级、数据备份、认证管理等，3个人根本做不过来，最终导致隐患爆发。

在谈到未来解决密码泄露措施时，蒋涛介绍说，为了减小数据泄露的风险，提高网站系统的安全性，CSDN目前正在向安全部门申请信息系统等级保护，以接受信息安全监管部门的监督管理。

此外，CSDN还会强化网站核心服务的安全，把网站的非核心服务与核心业务进行隔离，以减小系统安全风险。同时，CSDN将采取相关措施，加大黑客获得数据的成本，降低网站数据对黑客的价值。据了解，CSDN也将在网站后台引入安全审核机制，从内部杜绝数据泄露的可能性。

互联网安全警钟早已敲响

有网民说，CSDN密码泄露事件敲响了中国互联网安全的警钟，但在杜跃进看来，过去10年间，警钟早已敲响多次，但互联网安全一直没有受到应有的重视。

杜跃进说，在互联网发展的初期，网站安全可能就是个面子问题：被黑客攻击了，网站面子上不好看。但随着互联网日新月异的发展，网络成为人们日常生活的一部分，那些与百姓生活密切相关的网站一旦受到攻击，有可能影响到社会的运转。遗憾的是，网络在社会生活中的地位越来越重要，但网络的安全问题却没有得到足够重视。

根据杜跃进的分析，过去10年来，黑客对网络安全的攻击水平步步提升。最早可能就是把网站黑了，或者篡改一下网站的内容；后来，就出现了趋利性的攻击，比如钓鱼设套，挂木马盗取用户的账户；再后来，就出现了窃取网站后台数据牟利的行为。但网站的安全防守并没有与黑客的攻击水平同步升级。

在杜跃进看来，在网络安全较量中，攻击者屡屡得手有三方面的原因。首先是网站的安全意识淡薄。网站经营商或者是服务提供商既不重视安全问题，也不知道该怎么做。杜跃进举例说，不久前他曾被邀请去参加一个网络媒体大会，轮到他讲安全问题时，很多单位的负责人都走了。于是他就问：“如果发生重大网络安全事件该怎么办？”因为能做决定的领导不在！

其次是技术上的短板。再者是制度缺陷，很多网站认为安全不是什么大问题，以至于制度安排上没有体现对安全的重视。

永州工作服定做

十堰制作西服

成都工服制作