2011 年12月19日，民间组织COG（信息安全专业委员会）创始人龚蔚（goodwell）发布了一条微博称，互联网信任危机一触即发。

这条微博似乎成了中国互联网2011年度的预言——48小时后，中国互联网泄密事件发生。

自12月21日开始，在不到10天的时间中，由技术网站CSDN、知名论坛天涯开始，大量网站被爆存在用户数据泄露，据CNCERT（国家互联网应急中心）公布的不完全统计，截至12月29日，被外界怀疑泄露的数据库已达26个，涉及账号、密码2.78亿条。

12月27日晚，中国计算机学会青年计算机科技论坛广州分会（下称“CCF广州”）召开了 “互联网用户资料泄露事件紧急会议”。16名与会专家一致认为，这次事件是迄今为止“中国互联网史上最大信息泄露事件。”

当天，工信部通信管理局和国家计算机网络应急技术处理协调中心也在北京紧急召集多家互联网企业、信息安全企业和多位网络安全专家，了解核实事件情况，评估事件影响和危害，研究提出应对措施。据不愿具名的消息人士透露，公安部门也已对此次事件立案侦查。

在业界看来，此次恐慌事件后，互联网信息安全可能由一个甚至不受行业重视的技术问题，变成如同药品、食品、教育一般受到社会广泛重视的问题。破而后立，这或将成为中国信息安全生态进化的宝贵契机。

网站利益局中局

此次泄露风暴最终影响了多少中国网民，目前无法确切统计。

国家互联网应急中心的通报认为，此前能够确认数据泄露的只有CSDN与天涯两个网站，其他的数据库被公布的“泄露信息”只有部分属实，部分数据则被证伪。

“在业内看来，类似的事情早已多到近乎麻木。”信息安全公司启明星辰（001439.SZ）首席战略官潘柱廷说，其实每年都有多起重大的用户数据库被盗事件（黑客们习惯称为刷库或拖库），国外类似事件的规模更大，且因涉及信用卡账号等关键信息，危害普遍大于国内的泄露事件。比如，2011年已被证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司，就包括索尼、世嘉等大型游戏设备厂商、花旗银行等金融机构及RSA等安全厂商巨头，仅日本索尼4月被黑客窃取的客户信息就高达7700万，其中还包括信用卡账号。

业内人士告诉记者，此次事件之所以影响大，是利益驱动下“搅浑水”的互联网江湖众生百态。

“关于密码泄密后的事情：1、某上市公司忙着造假库往外扔。栽赃其他公司，想摆脱被曝明文库的证据；2、有网站通知所有用户修改密码，乘机激活用户；3、还有网站把这些公开库的数据直接导入自己用户库，也发通知给用户改密码；4、钓鱼的、垃圾邮件的也都活跃起来。”12月27日，CSDN创始人蒋涛发布微博说。

“其实，很多用户根本就记不清自己在哪些网站注册过用户名与密码，”一位网站负责人说，以前，他们发展用户需要花钱做广告、群发邮件，而且效果并不理想，但这一次有现成的用户资料，而且这些已经泄露密码的网民非常恐慌，收到邮件后会积极的“改密码”，这让很多中小网站一夜之间就发展了大量“老用户”。

“这反过来又加剧了公众的恐慌，因为有越来越多的网站说数据泄露了，快来改密码吧，一夜之间仿佛整个互联网都变得不可信任。”该负责人说。

一位黑客说，与之对应的是，也有发现数据库泄露的网站不动声色，悄悄地给用户发邮件，让用户“防患于未然，避免受到其他网站数据库泄露影响”。

在业内人士看来，此次泄露事件对网民造成的直接损失其实小于外界想象。 “破而后立，从长远来看，对中国互联网来说，这或许反而是一件好事。”一位安全厂商负责人认为，经过恐慌的放大效应，事件虽然没有带来重大的经济或社会损失，但却让互联网企业和公众意识到信息安全面临的风险，这有助于中国互联网的安全生态得以进化。

或转化产业契机

“网络安全其实可以分成两个层次。”潘柱廷说，一个层次是政府、军事乃至电力、通信、金融等事关国家安全的关键基础网络，在这个层次上，中国一直非常重视，有相对严格的安全保护机制，此次事件中也没有受到影响；另一个层次则是以商业、社会公用为主的互联网络，这一层次则相对脆弱，比如大量的中小网站，就普遍缺乏信息安全的意识及投入。

潘柱廷同时也表示，这一问题全球皆然。

“用户的安全防范能力永远滞后于黑客的技术能力，因此仅靠用户自己的话，数据泄露问题是‘无解’的。”国家网络信息安全技术研究所所长杜跃进说，如同世界上总会有小偷一样，数据泄密事件在互联网领域也无法杜绝。杜跃进认为，互联网的信息安全防护水平其实一直在不断提高，比如现在攻击一个网站的难度，已经远大于以前，只是因为互联网不断发展，应用更加深入，吸引攻击者的“有价值目标”不断增长，需求产生市场，导致了黑客等地下产业链日益繁荣。

在2011年6月的中国计算机学会YOCSEF特别论坛上，中科院软件所副研究员蒋建春就曾对互联网的攻击演变进行回顾总结：在上世纪七十年代，网络攻击是一件难以想象的事情；八十年代出现了学术攻击；九十年代出现非利益性攻击；二十一世纪则演变为面向价值攻击。

“不过，目前国内地下产业中相对更多的还是信息倒卖，真正直接在网上损失财产的还相对较少。”陈睿说，“就目前而言，中国自行车被偷的人，还比在互联网上丢了东西的人多。”

不过，也有一些安全厂商负责人认为，中国过去的网络安全风险不可小视。

“中国互联网的竞争相对更加激烈，中小网站可能有100个原因死亡，其中最小的可能就是安全问题，所以安全意识一直相对淡薄。”该负责人说，在成本一定的前提下，安全与方便性是矛盾的，比如增加验证码手段，在提升安全性同时，却会影响用户体验的方便性，可能会流失部分潜在用户，所以网站经营者往往先把安全放一边，投入先集中在吸引和发展用户。

甚至一些大中型网站也并不重视网站安全。“比如每年的互联网行业会议，安全分论坛都放到最后，而且到开会时网站的老总甚至CTO（首席技术官）都全走光了，只留下一堆没有决策权的技术员。”该负责人说，在此之前，我国信息安全占IT投资的比例只有1%，而西方发达国家是8%到12%。

此次泄露事件的爆发，则让很多网站开始反省安全问题。

潘柱廷说，最近已经有很多网站开始主动联络安全厂商讨论提高网站安全防护能力，“对整个中国互联网来说，这是一个良好的信号。”

陈睿表示，在网络技术到了一定层次后，个人的力量将越来越弱化，网络信息安全的对抗更多将趋向投入的对比、资源的对比、设备的对比。

业内人士认为，经过此次事件之后，无论是信息安全投入、还是信息安全的行业自律和流程规范，都将得到强化。像以前网站使用明文存放密码、用户使用简单密码等安全业屡次提醒、互联网站和公众一直未予重视的问题有望缓解，这些都将有助于互联网络的信息安全提高。

催生政策与商业模式变革

(责任编辑：)