时政热点：泄密门”的背后

 　　在2011年的岁末发生的密码泄露事件引暴信息安全话题。根据国家互联网应急中心(CNCERT)统计，截至12月29日，CNCERT通过公开渠道获得疑似泄露的数据库有26个，涉及帐号、密码2.78亿条。其中，具有与网站、论坛相关联信息的数据库有12个，涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个，涉及数据1.42亿条。

　　2011年12月28日，工业和信息化部发布通告称，用户信息泄露事件严重侵害了互联网用户的合法权益，危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时，要求各互联网站要开展全面的安全自查。

　　网站伤不起

　　大量网站泄密事件的曝光，反映了网站安全防护的薄弱，很多网站甚至采用了明文密码存储或不安全的MD5加密存储。网站处于互联网这样一个相对开放的环境中，网站整体安全防护中的任何一点漏洞或不足都可能在网络上被迅速放大和利用，从而导致网站安全事件层出不穷。

　　天融信高级安全顾问吕延辉认为，在缺乏整体防护措施或安全意识不够的情况下安全事件的发生只是“时间问题”。实际上，国内网站竞争激烈，很多企业都把大部分精力放在了发展业务上，在安全防护上投入很少或无力投入。没有一种技术或产品能够解决所有安全问题，在有限投入情况下，安全的防护水平必然也是有限的，安全风险或隐患的存在也成为了一种必然。

　　在东软网络安全资深咨询顾问仝磊看来，此次泄密事件可以说是必然会发生的，只是发生这件事情的对象存在一定的偶然性而已。目前，国内对于信息安全的重视不够，无论是个人还是组织，均是如此。对信息安全意识不足，发生安全事故是迟早的事。从另一方面看，如果能借此提高大家的信息安全保护意识，长远来看或许是件好事。

　　资深安全顾问张百川表示，许多网站设计之初就只考虑业务而不考虑安全。在试运行期间只要功能满足就验收通过。在网站的规划、设计、实施、运维、废弃等五个阶段没有一个安全的考虑。这样“凑合”用的系统，安全性显而易见。

　　一位资深的安全应急工程师告诉记者：“很多企业根本没有重视过信息安全，出了安全问题才想办法解决，而且在解决上只考虑掩盖，而不是从根本上考虑解决。”同时，他向记者举例，目前国内电子商务公司里有安全部门的很少，有些公司就算设立安全部门也不过1-2个人，没权力没资源根本没法实现信息安全。

　　有专家指出，目前国内企业和机构普遍存在对信息安全的认识不足、安全设备零或少投入、制度的缺失、流程的不完善、权限分配不合理等问题。一位网警向记者表示，很多因黑客攻击而报案的网站基本上无安全投入或者没有相应的防护措施。

　　应用漏洞引发的血案

　　此次密码泄露事件让网站安全成为了大众的关注焦点。赛门铁克资深首席信息安全技术顾问林育民分析后表示，此次“泄密门”以网站应用安全漏洞导致外泄的可能性最高。

　　根据安全公司给CSDN提供的审计报告，此次CSDN资料泄露事件暴露出该网站的四个安全问题：第一是开源系统等第三方系统存在漏洞，导致CSDN系统存在安全风险;其次是应用程序存在跨站脚本漏洞;第三，网站存在大量系统后台认证漏洞，如安全等级较弱的口令等;第四，一些已经停用但还在线上的老系统由于安全级别低，泄露了大量信息。

　　通过网站应用安全漏洞而导致数据泄密的事件还在继续发生，在2012年新年伊始，新浪爱问被发现存在SQL注入漏洞，利用漏洞可读取爱问数据库的内容，包括明文密码在内的7000多万新浪用户信息。有安全人士通过SQL注入对著名魔术师刘谦的账号和密码进行尝试性攻击并取得成功，刘谦得知此事后在微博上连呼“太恐怖”。