精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

CSDN負責人承認對安全問題重視不夠

責任編輯:FLORA

2012-01-11 09:09:40

摘自: 營銷中國

1月6日召開的中國計算機學會青年計算機科技論壇上,CSDN總裁蔣濤坦言,作為一個論壇性質的社區網站,過去確實忽視了網絡安全問題。

2011年年底,“改密碼了嗎”成了一句網絡流行的問候語。事情的緣起是,2011年12月21日,國內最大的程序員社區網站CSDN被爆出有超過600萬用戶的注冊資料遭泄露。隨后還有消息說,有多家網站的用戶信息也被泄露,于是很多網站提醒注冊用戶,盡快修改注冊密碼,尤其是在不同網站注冊的賬戶,不要使用相同的密碼,以防被黑客破解。

這場密碼危機引發了IT界的大討論:那些放在互聯網虛擬世界的個人信息究竟該如何保護?在很多專家看來,此次密碼泄露事件正在拷問我國的互聯網安全。

1月6日召開的中國計算機學會青年計算機科技論壇上,CSDN總裁蔣濤坦言,作為一個論壇性質的社區網站,過去確實忽視了網絡安全問題。

國家網絡信息安全技術研究所所長杜躍進則指出,網站對互聯網安全的重視程度并沒有跟網絡日新月異的發展同步。可以說,互聯網安全一直沒有受到應有的重視。其短板問題還體現在法律法規方面。北京郵電大學教授李欲曉介紹說,根據現有的法律,網民很難就自己的信息被泄露進行維權。

CSDN承認對安全問題重視不夠

論壇上,蔣濤首次披露了該網站的安全審計報告。而在過去的10多天里,蔣濤被反復追問的問題是,用戶的信息是怎么被泄露出去的,哪個環節出了問題?

蔣濤介紹說,去年12月21日,泄露事件被披露的當天,CSDN就請了一家網絡安全技術公司對網站安全進行審計。根據安全公司提供的審計報告,此次CSDN資料泄露事件暴露出該網站的四個安全問題:第一是開源系統等第三方系統存在漏洞,導致CSDN系統存在安全風險;其次是應用程序存在跨站腳本漏洞;第三,網站存在大量系統后臺認證漏洞,如安全等級較弱的口令等;第四,一些已經停用但還在線上的老系統由于安全級別低,泄露了大量信息。

CSDN是一個以論壇用戶為主的社區,負責人蔣濤一直認為,這樣一個程序員討論技術問題的網站,對黑客來說沒有太多的商業利益可以挖掘,所以并沒有高度重視網站的安全問題,直到此次用戶資料被泄露。

蔣濤說,他們有將近100臺服務器,但只有3個運維人員。運維工作包括老的系統漏洞升級、數據備份、認證管理等,3個人根本做不過來,最終導致隱患爆發。

在談到未來解決密碼泄露措施時,蔣濤介紹說,為了減小數據泄露的風險,提高網站系統的安全性,CSDN目前正在向安全部門申請信息系統等級保護,以接受信息安全監管部門的監督管理。

此外,CSDN還會強化網站核心服務的安全,把網站的非核心服務與核心業務進行隔離,以減小系統安全風險。同時,CSDN將采取相關措施,加大黑客獲得數據的成本,降低網站數據對黑客的價值。據了解,CSDN也將在網站后臺引入安全審核機制,從內部杜絕數據泄露的可能性。

互聯網安全警鐘早已敲響

有網民說,CSDN密碼泄露事件敲響了中國互聯網安全的警鐘,但在杜躍進看來,過去10年間,警鐘早已敲響多次,但互聯網安全一直沒有受到應有的重視。

杜躍進說,在互聯網發展的初期,網站安全可能就是個面子問題:被黑客攻擊了,網站面子上不好看。但隨著互聯網日新月異的發展,網絡成為人們日常生活的一部分,那些與百姓生活密切相關的網站一旦受到攻擊,有可能影響到社會的運轉。遺憾的是,網絡在社會生活中的地位越來越重要,但網絡的安全問題卻沒有得到足夠重視。

根據杜躍進的分析,過去10年來,黑客對網絡安全的攻擊水平步步提升。最早可能就是把網站黑了,或者篡改一下網站的內容;后來,就出現了趨利性的攻擊,比如釣魚設套,掛木馬盜取用戶的賬戶;再后來,就出現了竊取網站后臺數據牟利的行為。但網站的安全防守并沒有與黑客的攻擊水平同步升級。

在杜躍進看來,在網絡安全較量中,攻擊者屢屢得手有三方面的原因。首先是網站的安全意識淡薄。網站經營商或者是服務提供商既不重視安全問題,也不知道該怎么做。杜躍進舉例說,不久前他曾被邀請去參加一個網絡媒體大會,輪到他講安全問題時,很多單位的負責人都走了。于是他就問:“如果發生重大網絡安全事件該怎么辦?”因為能做決定的領導不在!

其次是技術上的短板。再者是制度缺陷,很多網站認為安全不是什么大問題,以至于制度安排上沒有體現對安全的重視。

法律短板致用戶維權難

這次CSDN密碼泄露事件,個人用戶是直接受害者。李欲曉認為,此次事件中,用戶隱私權和名譽權都受到了不同程度的侵害,但要維權卻困難重重。

李欲曉分析此次CSDN密碼泄露事件中的法律責任時認為,在此次事件中,網絡服務提供者和黑客攻擊者顯然有責任,但由于與網絡安全相關的立法滯后,目前追究網站和黑客的法律責任較為困難,現有的法律法規對國家安全、個人權益的保護都有缺失。

據李欲曉介紹,目前我國很多法律條款,比如《刑法修正案(七)》、《互聯網信息服務管理辦法》、《計算機信息網絡國際聯網安全保護管理辦法》等都有涉及個人信息法律保護的內容,但是其中并未提到用戶因網站遭受黑客攻擊密碼泄露,或者用戶因此受到損失,網站應該承擔怎么樣的責任。

一個嚴峻的現實是,目前的法律對黑客的破壞行為可能難有約束力。

早在2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”,就已經對黑客、商業網站或者其內部人員惡意泄露用戶信息牟利的行為作出追究責任的規定。因此,黑客此類行為構成犯罪,但問題的關鍵是“黑客在哪兒,他們是誰?”黑客都追不到,該如何定罪。

對用戶來說,可以向公安機關報案,但依據現有的法律只能尋求民事賠償,而且個人如何通過技術手段查到黑客身份,或者界定經濟損失都存在很大難度,個人用戶維權非常難。李欲曉說:“因為電子證據技術性太強,而且很容易被篡改,所以取證很難。”

在論壇現場有人提問李欲曉,如果因為密碼泄露導致銀行賬戶的資金被竊取,能不能起訴銀行或者網站。李欲曉直言,依據現有的法律法規可以進行這方面的訴訟。但起訴之后不一定會得到有利的判決,因為在侵權責任法和民法方面,還沒有明確的規定。

用戶不是計算機專家

杜躍進介紹說,解決互聯網安全問題,政府的推動作用非常重要。政府應該在政策、標準制定、監督、檢查等方面起作用。比如說,代碼安全不被重視,政府可以提要求,一定級別的代碼要經過第三方監測。

李欲曉說,目前我國網絡法律還不健全,國家應加強網絡法律建設,尤其是出臺網絡安全的相關法規,保證網民能夠在一個安全可信環境下去享受互聯網提供的便利。

杜躍進說,除了政府的推動,網站服務商本身也要有長遠戰略與社會責任,尤其是面對新的黑客威脅,單靠用戶安全意識不斷提高并不能解決問題。永遠不要期待用戶安全意識能提到足夠高的水平。用戶就是用戶,不是計算機專家,不能要求他們整天想著計算機有什么毛病。

作為被黑客攻擊的受害者,蔣濤建議,應在業界建立共享安全技術聯盟,大家共享安全公共知識庫,共同提升開發人員的安全技術水平。

李欲曉則認為,網絡安全需要一個整體的網絡安全環境,“我們已經進入網絡社會,現在有5億人在使用互聯網,每個用戶的生活和財產信息、個人隱私全在網上。但是我們在各個方面似乎準備得還不充分,無論是網絡服務企業還是網絡安全企業,包括網民自己,都應該想想今后面對這樣的網絡社會該做什么準備”。

鏈接已復制,快去分享吧

企業網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 普定县| 阜南县| 巴彦县| 安岳县| 玛曲县| 朝阳县| 清丰县| 福泉市| 鲁甸县| 加查县| 东兴市| 新乡市| 铁岭市| 青海省| 吉安县| 吉木乃县| 阳西县| 盘山县| 开阳县| 木兰县| 梓潼县| 浮山县| 柳江县| 双柏县| 应用必备| 曲阜市| 贵阳市| 习水县| 西昌市| 贞丰县| 洛扎县| 佛坪县| 镇远县| 龙口市| 通化县| 左贡县| 忻州市| 綦江县| 晋城| 福建省| 蒙自县|