本篇文章5160字,读完约13分钟
“喂!太可怕了!为什么拿我当示范!”著名魔术师刘谦1月4日在新浪微博上发布的微博证实,一名专业安全人员在发现新浪漏洞后,试图攻击刘谦的微博,并获得成功。从这个角度来看,始于2011年平安夜的互联网用户数据泄露现象还没有消退。从最初的csdn,到天涯社区,Kaixin.com,多万,嘉园,然后到Dangdang.com,柯凡,JD.com...网站用户数据泄露事件成为今年最热门的话题,国内安全企业金山公司甚至因为员工传播泄露的数据而陷入“泄密门”。
为什么今天数据泄露在一些互联网公司如此频繁地发生?与传统企业相比,互联网企业的安全防护有哪些困难?
Csdn首先披露了泄漏的根本原因
2011年12月21日,中国著名程序员网站CSDN 600多万注册用户的信息被黑客曝光,成为互联网领域“走漏门”的导火索。
1月5日,也就是泄密事件发生半个月后,cdsn的创始人江涛接受了我们记者的独家采访。他承认这次泄露对csdn来说是一个很好的教训,他之前也没想到数据泄露会如此严重。作为中国的一个大型开发技术社区,csdn拥有不到100台服务器。本网站用户注册信息仅包括电子邮件地址和密码,不涉及用户的真实姓名、身份证号码、电话号码、家庭住址和银行卡号码等敏感信息。江涛曾经认为注册信息没有太多隐私,对黑客没有吸引力。然而,他忽略的一个重要问题是,黑客会利用窃取的信息将网站上的密码与更敏感的用户数据进行比较。如果用户在这些敏感网站(如支付宝)上使用相同的密码,这意味着黑客可以轻易地侵入这些网站,获取用户的敏感信息。
目前,服务器端黑客攻击最常用的方法是利用漏洞。无论是哪种利用,只要被利用,都有可能导致黑客获得最高权限,从而导致数据库丢失和泄露。
风险不止于此。作为第一位在美国黑帽会议上发言的中国人,安恒信息科技有限公司总裁元泛告诉《中国计算机报》记者,数据安全存在两大风险:一是来自外部网络的黑客攻击,二是与企业内部人员相关的内部网络安全风险。从“走漏门”事件来看,这两个方面的风险都比较大。
根据中国互联网络信息中心第28次中国互联网发展统计报告,2011年上半年,有1.21亿网民窃取了他们的账户或密码,占24.9%。随着网上支付和使用信用卡网上购物的人数迅速增加,网民的信息安全状况更加令人担忧。
网络信息安全的现状令人担忧
这一泄漏事件反映了一些网站的服务器端安全机制问题。与用户计算机上传统的密码泄露不同,在这次事件中,黑客利用服务器弱点直接获取整个数据库,带来了比以前更大的安全风险。据业内人士称,数据泄露造成的损失将长期存在,这将影响许多人的正常生活,甚至改变大多数网民的上网习惯。但是,目前一些互联网公司对用户数据保护的意识还比较薄弱,他们在保护用户信息安全方面的投入非常有限。
著名网络安全专家、实验室总技术师肖告诉记者,目前腾讯、百度、阿里、盛大等。属于主流互联网厂商的,在安全方面投入较多,安全维护团队规模较大,具有一定的自我保护能力,甚至出现了安全企业界的人才流向他们的现象。但是,一些互联网公司缺乏专业的安全维护团队和安全投资,一些网站对安全和投资不够重视,不愿意将安全工作外包给安全企业。
这个网站是一个网上购物中心,经营旅游和户外产品。该网站的技术总监黄银标向记者承认,目前,他们在安全保护方面基本上采用公认的技术手段,通过免费或低成本的投资来维护安全,网站没有专门的人力投入。这也是大多数中小型b2c互联网企业的常规安全处理方法。数据泄露事件发生后,负责人觉得目前的安全措施还不够,但同时又觉得要建立一个完整的安全防护体系,不仅要耗费一定的财力,还要有相关的人才。
事实上,对于一些互联网公司来说,安全投资的金额并没有他们想象的那么高。瑞星公司的信息安全专家汤唯告诉记者,以一个中型网站为例,每年只需要投入10万到几十万元就可以部署必要的安全防护措施,对于已经融资并“烧钱”的互联网企业(如电子商务企业)来说,这其实很容易。然而,一些企业很少使用保安公司提供的免费保安服务。
根据某券商tmt研究部发布的调查数据,目前,中国互联网企业的信息安全支出占整体it支出的比例不到1%,而对安全要求较高的金融业为10%。欧美的互联网公司一般在安全上花费8% ~ 10%。
在“泄密门”事件中,网站无疑应该承担更多的责任。奇虎360公司安全专家石小红告诉记者,目前,一些网站没有做好足够的安全防护,没有对用户数据进行加密和保护,没有控制数据泄露给用户带来的风险。相关调查显示,目前90%以上的电子商务网站存在网络应用漏洞,没有定期扫描评估是否存在威胁和安全风险。大多数电子商务网站只部署传统的安全措施,如使用系统和网络防火墙来抵御传统的攻击。然而,对于针对应用层的新的入侵攻击,还没有采取相应的安全措施。
从这个角度来看,造成“走漏门”的最根本原因是一些互联网公司没有建立完善的安全防护机制,不仅无法拦截来自外部网络的威胁,也无法保护内部网络的安全。趋势科技中国区高级产品经理张明泰告诉记者,一些内部网没有部署有效的威胁管理机制,也没有对机密数据内容(客户帐号和密码)进行明确的访问合规性监控和安全存储(以明文形式存储,不加密)。
网络烧钱诅咒与安全困境
对于一些不缺钱的互联网公司来说,几十万元的安全投资可能根本不算什么,但为什么不投资呢?对于任何企业来说,用户数据都应该是核心秘密。为什么这种数据泄露发生在互联网领域而不是其他传统领域?
肖告诉记者的深层原因,这是互联网快速发展的后遗症。他说,在过去的10年里,互联网公司一直在以速度求生存,以扩张求发展,在应用开发中已经脱离了安全开发。将来,这些债务会一笔接一笔地偿还。
长期以来,互联网的发展以扩张效率为主导,激烈的竞争使得互联网企业不得不与时间赛跑来争夺发展速度。此时,安全性很容易被视为降低开发效率的影响因素而被忽视。
以典型的网络游戏模式为例,如果一个企业投资100万元来加快游戏的开发或者增加新的功能,如果上线就可以提前一天赚钱,但是如果把钱花在安全保护上,短期内根本看不到任何利润,反而会影响开发效率,甚至可能因为在激烈的市场竞争中落后半拍而被对手甩在后面。
在分析此次数据泄露事件时,肖也对国内安防行业进行了反思。他在一篇文章中指出:“由于保守、敏感和许多自身原因,信息安全行业离应用越来越远。当我们还在想象一些完美的安全图片时,我们发现我们看不到应用程序的背面。”
这些词在互联网应用中特别合适。与安全应用场景标准化的传统内部网不同,互联网企业的应用环境不规范,不同网站有各自的个性化特征。肖表示,传统企业可以采用安全隔离的方法部署安全措施,将整个it系统分解成不同的节点,如服务器、工作站和网关,对应一种安全链路。然而,对于互联网公司来说,这种隔离方法是不够的。互联网公司自己开发了许多东西,这使得安全供应商更难提供服务。因为不同的网站有不同的场景,而且它们的漏洞没有通用的规则,所以很难制作通用的安全产品。
反思才刚刚开始
在互联网数据被大规模披露后,安全部门积极启动了应急措施,并提供了紧急援助。
奇虎360公司立即联系csdn等受伤网站报告事故信息,并通过官方微博和官方论坛为受影响的网民提供紧急救援。鉴于一些网站数据频繁泄露,360还计划为用户提供专门的密码管理产品,帮助用户安全方便地管理账户密码。
瑞星公司发布了中国首个网站密码保护方案——“瑞星网站密码安全检测系统”。这是国内安全厂商推出的第一个针对“泄密门”的专业解决方案,网站管理员可以登录瑞星官方网站免费注册使用。该系统能够深入检测网站密码数据库的安全性,扫描sql注入、弱密码、xss跨站点攻击等弱点,并给出专业的分析报告和修复建议,帮助网站保护用户密码数据库。
Antiy密码混合器是Antiy实验室发布的一个名为Antiy密码混合器的开源代码,它提供了一个存储网络应用密码的演示程序,并为互联网企业提供了相关的比较依据。
对于互联网公司来说,泄密后的这段时间是互联网公司弥补安全教训的黄金时间。令人欣慰的是,这一事件明显增强了互联网企业的安全意识。
csdn创始人江涛表示,csdn未来将进一步加强安全防护,加强核心数据和非核心数据的隔离,防止类似事件再次发生。Csdn将加强对安全环节的投资,购买必要的软件和硬件产品,并聘请安全顾问。目前,csdn已经在制定相关计划。
该网络技术总监黄银标也表示,未来将加大在数据安全方面的人力和财力投入。
江涛提醒他的同事要经常检查漏洞,并培训开发人员和应用人员。在他看来,黑客喜欢研究第三方的通用软件和工具,网站运营商应该知道使用了多少外部系统,并努力确保系统安全。内部程序员在编写程序时也应该提高开发的安全性。
江涛还希望中国建立互联网企业安全联盟,建立互联网企业安全知识库,共享安全知识。
显然,这些还不够。网络信息安全需要政府、互联网企业和安全行业的共同努力。
“泄密门”爆发后,许多用户根据专家意见更改了密码。但事实上,用户几乎无法真正解决互联网上的数据泄露问题。
一位信息安全专家向记者承认,用户定期更改密码是一个好习惯,但频繁的密码更改会增加密码管理的成本。此外,如果网站的安全问题仍然没有得到改善和加强,新的账户数据仍然会被泄露。
正如金星公司首席战略官、中国计算机联合会主任潘所说,在这个热点社会事件结束后,是时候认真寻找一个法律和技术的长期机制了。
安全专家谈论数据泄露
问:你如何看待这次大规模的数据泄露事件?
元泛:数据泄露其实是很久以前的事了,但现在它已经进入了公众的视野。早在2009年和2010年,一些网站就遭到了攻击。但是一些网站不知道,一些网站没有意识到它是如此严重,他们没有给予足够的重视。
石小红:黑客打开csdn用户数据库,就像第一次世界大战前的塞拉热窝事件一样,它点燃了许多网站数据库集中暴露的导火索,是黑客炫耀或警告的连锁反应。
问:在这次泄密事件中,哪些相关网站应该做但没有做好自己的工作?
肖(姜海科):有些网站在事前策略(网站基本安全规划)、事中防御(实时安全手段)、事后止损(加密策略)上存在缺陷。网站安全措施的层次应该是三维的,包括:总体设计策略(权限、访问控制等)。),必要的安全产品(安全网关产品、ids等。)和足够的安全人员。
元泛:这些网站应该部署应用安全。许多电子商务网站在发展阶段留下漏洞。因此,这些网站在上线前需要做好测试工作,弥补关键漏洞。网络应用防火墙等安全措施应在上线后实施。另外,在企业中,要做好数据库审计的预防和强化工作。
潘:第一,遵循“食品安全”管理,互联网服务网站应具备类似“食品安全许可证”的简单安全认证,以确保其基本安全;其次,互联网服务网站应该分级,高层次的网上银行和购物网站需要更高的安全措施。一般的网站只需要一般的保护,但它们需要明确说明;第三,介绍网站的基本安全保护标准。
肖广信(姜海客):对于用户来说,设置密码需要在不同的层次上进行。如果邮箱主要用于检索相关密码,则它是根邮箱,需要一个高强度的密码。在一些不太重要的网站上,如果你只是泼水和下载资源,不要使用与你的敏感帐户相同的密码。
设置安全密码的十大要点
1.密码的位数不应少于8位,应使用大写字母和小写字母、标点和数字的组合;
2.不要使用任何单词、生日、数字或手机号码作为密码;
3.密码中的英文最好分为大小;
4.如果程序允许,最好加英文半角符号;
5.不要以字母或数字开始,比如A、B、C等等。,因为被字典猛烈破解的程序通常是从数字或英文字母计算出来的。如果设置为Z,破裂的可能性要小得多。;
6.可以采用简单的方法来记忆不规则的密码。例如,如果原始密码是一个密码,则可以先通过添加“$”来$一个密码,然后通过添加“)”来$一个密码。你也可以打乱中间的字母,变成$ shiyixie);
7.一些程序或注册条目设置密码无效,只能使用数字和字母。为此,可以采用一定的方法,如:原密码为一个密码,如果变成一个密码,可以改变密码,或者把密码的顺序打乱,变成一个密码,或者加上数字,变成一个密码。;
8.定期更改密码,例如,在每月的第一个星期五更改密码。这时,你不必想一个全新的号码,只需改变原来密码的顺序;
9.不同网站的密码应该分级管理。不要在所有网站上使用密码。根据重要和不重要的原则设置密码。例如,在不太重要的网站上,你可以使用11111作为密码;
10.在您的计算机上安装可靠的防病毒软件。如果你的电脑里有木马,不管密码有多复杂,都没用。不要去不可信的网站,也不要让别人轻易得到你的信息,包括身份证号码、电话号码、手机号码、你住的街道名称等。