龙威廉：标本兼治方能关上泄密门

　　龙威廉 

　　日前，国内最大的程序员社区CSDN网站因遭遇黑客攻击，600万用户的登录名及密码被公开泄露，随后又有多家网站的用户密码被流传于网络，知名中文社区天涯网4000万用户的登录名及密码也被公开泄露，搞得业界鸡飞狗跳，用户忙着四处修改密码，网站忙着加强密保措施，而从这次泄密事件中也可以看出中国网络安全现状存忧。

　　今年以来，在全球范围内发生过多起泄密事件，今年4月索尼游戏主机网络平台遭黑客入侵，全球7700万用户的个人资料被窃取，包含姓名、住址、生日、登录名和密码、信用卡号等。这一黑客攻击事件导致索尼被迫关闭了该服务，索尼5月份表示，攻击导致其损失了1.7亿美元。

　　而已经实行网络实名制的韩国也发生过类似泄露事件，今年7月底，韩国多个知名门户网站遭黑客攻击，约3500万名用户的个人信息外泄，之后，韩国行政安全部称，出于保护网络用户个人信息安全考虑，政府拟分阶段逐步取消网络实名。

　　这次“泄密门”，是我国信息安全形势堪忧的一次集中写照。很多互联网企业，信息安全投入比例很低，对于网络安全没有足够的意识，只有少数大型网站以及网银支付网站采用较为安全的加密认证技术，而一些中小型网站以及部分大型网站都缺少防范意识。

　　不过幸运的是，这次用户的个人隐私数据以及财务支付等信息并没有直接泄露。但是，由于许多网民为了方便，对于邮箱、微博(http://weibo.com)、游戏、网上支付、购物等账号设置了相同的密码，一旦密码被泄露，很有可能导致网上支付等其他重要账号一并失窃，从而遭到更大程度的泄密以及财产损失。

　　为什么这么多大公司都采取明文保存密码？相关信息安全法律不健全是一个重要原因，对那些因为“泄密门”而遭受损失的网民来说，很难去追究互联网公司，这种状况，与一些国外企业相比，具有相当大的差距。

　　例如早先的索尼用户个人资料泄密事件中，索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险，用于防止被窃取用户信用卡和个人信息被滥用而造成损失。而中国用户提交的个人信息难以得到有效的保护，发生泄密事件后，个人权益无法得到保证，也没有明确的用户赔偿机制。所以，那些互联网企业也不愿意花费大量资金投入网络安全领域，从而给黑客留下了可乘之机。

　　既然泄密事件已经发生，恐慌是没用的，用户修改密码只是“治标”，如何建立健全信息安全制度保障、营造互联网健康环境才是“治本”。

　　一方面，网友对于注册网络服务，应该采取密码分级管理，邮箱、网上支付、聊天账号等重要账号要单独设置密码；论坛等普通网站使用其他的密码；网上银行密码不要和取款密码相同，也不和其他网站密码相同。支付宝要安装数字证书，网银则要申请USB KEY。

　　另一方面，网站要加大信息安全方面的投入，进行大规模的安全检查，切实保护好网友的个人信息，再也不要发生“明文保存密码”这样的低级错误。

　　在监管方面，迫切需要加快信息安全立法工作，提高信息安全监管部门的技术能力，加大对于黑客攻击行为的打击力度。对于那些疏于安全保护的商业网站，如果今后再次发生用户信息泄密事件，应该通过完善相关法律，追究网站的渎职之责。    

　　(作者系IT业人士)