信息安全“大扫除”

　　李立

　　连日来，360网络安全专家石晓虹密切关注CSDN数据库泄露之后的连锁反应。有一点让他失望的是，数据库泄露被曝出之后，很多媒体仍然把焦点集中在某一家或某几家网站几千万账号的问题上。说到底，更让人担忧的是整个行业的信息安全状况。“2011年7月份，360发布互联网安全报告说，黑客窃取网站数据库再盗号的危害远远超过盗号木马。”

　　据其介绍，国内约83%的网站存在各种安全漏洞，其中34%为高危漏洞。网站被攻击最严重的危害即是用户数据库泄露。尽管没有一家网站能够确保100%不会被黑客入侵，包括谷歌、facebook等国际知名网络巨头，也曾出现过被黑客入侵的情况。但是国内网站的安全确实存在“短板效应”。

　　据其介绍，在用户数据存储方面，只有一些大型网站采用加密存储技术，而一些中小型网站则相对缺少防范意识，网站一旦被黑客攻破并窃取数据，就有可能引起严重的安全问题。

　　就在这次数据库泄露之后，来自CSDN创始人蒋涛的观察，出现的网络乱象就有：某网站通知所有用户改密码，乘机激活用户（激活沉积用户）；还有网站把这些公开库的数据直接导入自己的用户库，也发通知给用户修改密码（挖角对手）；钓鱼邮件(通过虚假信息和假网络链接诱导用户点击，使用户转移到虚假网站，对用户进行诈骗)、垃圾邮件活跃起来了。

　　另一方面，网民在密码安全问题上的疏忽也让安全专家感到担忧，金山网络安全专家李铁军表示，不少网民在众多网站中均使用相同的账号和密码，如果密码安全性很差，尝试几次不需要黑客就可破解，一旦一家网站用户数据被暴露，网民的邮箱、社交网站、微博(http://weibo.com)等个人私密性很强的信息极易被泄露。

　　石晓虹则建议网民在密码安全管理上至少可以做到三步走，分级管理密码，重要账号单独设置密码；定期修改密码，可有效避免网站数据库泄露影响到自身账号；还要注意工作邮箱不用于注册网络账号，以免密码泄露后危及企业信息安全。

　　除此之外，据记者了解，资料库泄露之后，多家网站纷纷开始信息安全的检查与提速。新浪方面发表声明称，新浪微博用户账号信息采用加密存储，并未被盗。并提醒所有用户尽快进行账号安全设置。支付宝方面接受《中国经营报》记者采访时表示，其采用独立的通信通道传输敏感数据，使用Verisign(一个提供加密功能和严格鉴权措施的证书认证机构)签发的全球安全证书，采用https(安全超文本传输协议)进行数据加密，平台系统对全部用户信息、账户信息、密码信息等进行128位SSL加密传输。

　　金山网络安全工程师向记者展示的一张PC用户中毒比例走势图显示，2011年“端”的中毒率呈现下降趋势。与之相反，来自“云”的安全威胁正在愈加凸显。

　　一位白帽子在接受记者采访时透露，“最坏的事情已经发生了，只不过没有披露出来，或许会有更大的网站被披露出来”，但最重要的问题是已经给脆弱的信息安全体系敲响了警钟。