手機淘寶,發(fā)紅包,訂機票……當我們享受著(zhù)網(wǎng)絡(luò )給予的便利時(shí),卻渾然不知自己的隱私信息正在被非法分子利用日前獲悉,目前信息安全“黑洞門(mén)”已經(jīng)到觸目驚心的地步,網(wǎng)站攻擊與漏洞利用正在向批量化、規模化方向發(fā)展,用戶(hù)隱私和權益遭到侵害,特別是一些重要數據甚至流向他國,不僅是個(gè)人和企業(yè),信息安全威脅已經(jīng)上升至國家安全層面。
記者日前從補天漏洞響應平臺上收錄的數據顯示,目前該平臺已知漏洞就可導致23.6億條隱私信息泄漏,包括個(gè)人隱私信息、賬號密碼、銀行卡信息、商業(yè)機密信息等。導致大量數據泄露的最主要來(lái)源是:互聯(lián)網(wǎng)網(wǎng)站、游戲以及錄入了大量身份信息的政府系統。根據公開(kāi)信息,2011年至今,已有11.27億用戶(hù)隱私信息被泄漏。
“這個(gè)數據意味著(zhù),我們幾乎每一個(gè)上網(wǎng)的人,自己的信息都可能已經(jīng)在不知不覺(jué)中被竊取甚至利用。”一位網(wǎng)絡(luò )安全方面權威人士坦言,這僅僅是冰山一角,更令人擔憂(yōu)的是,實(shí)際情況比這一統計數據還要嚴重。目前越來(lái)越多的信息安全泄露都是沖著(zhù)“錢(qián)”去的,下一步金融、網(wǎng)上支付等將成為重災區,從目前暴露的信號來(lái)看,以芯片、電腦、設備等為載體,甚至一些涉及國家安全的能源、資源、航空等領(lǐng)域都將可能爆發(fā)信息安全問(wèn)題。
據了解,自2011年國內最大的IT技術(shù)社區CSDN曝出泄密事件以后,網(wǎng)站被拖庫和撞庫事件不斷發(fā)生。2014年,撞庫攻擊達到前所未有的高峰期。從補天漏洞響應平臺等渠道披露的信息來(lái)看,2014年,包括無(wú)秘(原秘密)、大眾點(diǎn)評網(wǎng)、搜狐、安智網(wǎng)、汽車(chē)之家、搜狗、印象筆記等多家國內知名網(wǎng)站都遭到了撞庫攻擊,導致大量用戶(hù)的個(gè)人信息泄漏。
從12306信息泄露、攜程信息泄露,到近期江蘇省公安廳曝出海康威視監控設備安全隱患事件……種種跡象表明,對于正在大力發(fā)展信息經(jīng)濟與互聯(lián)網(wǎng)經(jīng)濟的中國,網(wǎng)絡(luò )信息安全保護問(wèn)題已經(jīng)迫在眉睫。
“在數據泄露的背后更多暴露的是網(wǎng)站的安全。”補天漏洞響應平臺負責人趙武說(shuō),網(wǎng)站安全直接關(guān)系到大量的隱私信息、商業(yè)機密、財產(chǎn)安全等數據,目前用戶(hù)數據的收集、存儲、管理與使用等均缺乏規范,更缺乏監管,主要依靠企業(yè)自律。但是對門(mén)戶(hù)網(wǎng)站電商等而言,一方面網(wǎng)絡(luò )信息安全保護意識缺乏,另一方面也缺少網(wǎng)絡(luò )信息安全的技能,即使出現了信息泄露問(wèn)題,往往采取“捂蓋子”的方法,只要不曝光就行。
一組數據更加值得警惕。據測算,目前超過(guò)37%的國內網(wǎng)站存在漏洞,利用網(wǎng)站漏洞的攻擊以近5倍速增長(cháng),網(wǎng)站信息泄漏的風(fēng)險越來(lái)越大。2014年前11個(gè)月,360網(wǎng)站安全檢測平臺共掃描各類(lèi)網(wǎng)站164.2萬(wàn)個(gè),較2013年的91.2萬(wàn)個(gè)增加了80.0%。其中,存在安全漏洞的網(wǎng)站為61.7萬(wàn)個(gè),占掃描網(wǎng)站總數的37.6%。其中,存在高危安全漏洞的網(wǎng)站共有27.9萬(wàn)個(gè),占掃描網(wǎng)站總數的17.0%。2014年全年,360網(wǎng)站衛士共攔截各類(lèi)網(wǎng)站漏洞攻擊7.0億次,較2013年1.21億次,增長(cháng)了約4.8倍。
趙武告訴記者,如果真正重視保護用戶(hù)的信息安全并進(jìn)行相當的技術(shù)投入等,80%以上的信息安全事故是可以避免或及時(shí)彌補的。但實(shí)際上,很多企業(yè)明明知道有拖庫,信息被泄露,但只要沒(méi)有被曝光,仍然是睜一只眼閉一只眼。因此,信息安全立法中,國家除了要加大對網(wǎng)絡(luò )安全方面的人才培養,更要明確網(wǎng)站安全的責任和相應的處罰機制,只有這樣才能真正約束企業(yè)行為,使其能夠保護用戶(hù)隱私乃至產(chǎn)業(yè)安全和國家安全。
公安部第三研究所所長(cháng)嚴明在接受采訪(fǎng)時(shí)表示,我國建立了對信息和信息載體按照重要登記分級保護的信息安全等級保護制度,但因為缺少法律依據,這個(gè)機制并未及時(shí)啟動(dòng)并發(fā)揮作用。而關(guān)于追責措施,有關(guān)規定也有,但是并沒(méi)有量化,存在管理的灰色地帶,可以說(shuō),這個(gè)機制是否有效對于國家安全關(guān)系很大,因此需要加快信息安全立法。
互聯(lián)網(wǎng)實(shí)驗室董事長(cháng)方興東表示,目前我國網(wǎng)站在用戶(hù)的信息存放方式和制度方面并不完善,網(wǎng)站之間并沒(méi)有建立安全共享聯(lián)系。
360公司董事長(cháng)兼CEO周鴻祎則建議,重塑信息安全要遵循三個(gè)基本原則,即以保護用戶(hù)隱私和數據安全為前提,明確用戶(hù)對信息數據的所有權,明確企業(yè)對信息數據的保障義務(wù),并保障用戶(hù)在信息交換和使用時(shí)的知情權,是互聯(lián)時(shí)代保護信息安全的基礎。
