有网民由此认为：“CSDN明文储存密码，不是技术问题，而是道德问题。”

“整个事件最不可思议的地方在于，像CSDN这样的以程序员和开发为核心的大型网站，居然采用明文存储密码。”专业IT博客“月光博客”撰文表示，“稍微懂一点编程的程序员都知道，为了用户的安全，应该在数据库里保存用户密码的加密信息，最简单的MD5（密码+随机字符串），一般类似UCenter这样的论坛还会将这个信息再MD5一次，这样黑客即使下载了数据库，破解用户密码也不是一件容易的事情。”

对此质疑，CSDN与天涯社区的官方回应表示，早就放弃明文密码这种不负责任的存储方式，所泄露部分只是网站早期账号密码数据库，因历史原因并未及时清理。

蒋涛承认，过去安全意识薄弱：“从来没想过在安全上要做一些什么样的工作。”他回忆，早在2005年，CSDN与国外一家公司谈投资合作，对方的第一个问题就让他大吃一惊，“你的数据是怎么保存的，谁能获得它？”

“因为自认为CSDN是以论坛用户为主的社区，数据并不属于敏感数据，技术网站可能也没有太多商业利益给黑客挖掘。”蒋涛解释。

用户信息泄露后，CSDN请杭州安恒信息技术有限公司对其进行安全审计，结果表明主要有四方面问题：第三方系统漏洞；已停用的老系统；应用程序漏洞；系统后台认证。蒋涛对此表示，“我们有100台服务器，但是只有三名运维人员。”

窃密者为什么：“黑产业”演进

在网络安全圈内，CSDN和天涯网站被“拖库”的消息早有流传。“一年前就听说过了。”张百川告诉《财经》记者。

“拖库”在业内被戏称为“脱裤”，即黑客入侵有价值的网络社区，把会员资料数据库全部盗走，之后再利用这些数据库信息，或开展定点攻击，或利用用户在不同网站通用一套账号和密码的特点来“撞库”，扩大战果。

“拖库”成功后，可以直接将数据整库出售，如卖给被“脱裤”网站的竞争对手，也可以按照数据所蕴含的价值进行“洗库”，即将各种含有虚拟货币、游戏装备和QQ号等账户洗出来，直接或间接变现，几番“洗库”之后，数据库还能卖给产业链的下游——利用账号信息来发送广告、垃圾短信和垃圾邮件的推销公司。

其时，网络信息地下黑色产业链的两大牟利手段“挂马”和“钓鱼”正发生着截然相反的变化。

所谓“挂马”，是指不法分子在网页中嵌入恶意代码，当用户访问这些网页时，会自动下载、激活木马程序，变成受控的“肉鸡”，通过弹出广告、推广流氓软件等方式为远程控制者赚钱；而“钓鱼”则是不法分子模仿银行、购物网站、炒股网站、彩票网站等建立网站，将钓鱼网站和线下诈骗广泛结合，使得诈骗者的犯罪成本急剧下降，跨地区、甚至跨国性犯罪呈上升趋势。

根据瑞星互联网安全报告，2011年上半年截获的“挂马”网站总数目为236万个，比上年同期下降了91.2%，这也是连续第二年以90%以上的幅度下降。原因在于，“挂马”受到各大网络安全公司严重打击，免费杀毒软件在个人终端的普及程度也大幅上升，这种网络攻击手段越来越无利可图。

与之相反，网络“钓鱼”的危害程度达到新高，2011年上半年瑞星截获钓鱼网站218万个，逾1亿零53万人次网民遭钓鱼网站侵袭。按照此类诈骗的平均金额计算，造成直接经济损失至少在百亿元以上。

与此同时，“拖库”作为一种网络犯罪形式日渐流行。在国际上，“拖库”已造成多起重大网络安全事件。例如2011年4月开始，索尼旗下的多个网站陆续被黑客攻陷，约1亿用户个人信息被黑客盗走，该事件导致索尼的直接经济损失超过千万美元，对其声誉和业务的影响更是巨大。

一位不愿具名的某“网络安全俱乐部”组织者透露，在国外一些需要熟人推荐才能加入的地下站点，论坛里会列出求购的网站及相应悬赏报价。“在黑客眼中，库不在大，而在于精。”该组织者对《财经》记者称，曾有个非常小众的国外站点——一个高尔夫球俱乐部社区，“整个库的数据量也就几百M，却卖到了100多万元人民币”。

实际上，“很多人不敢去深度开发，将数据库转手卖掉是最好的获利方式。”游侠安全网创始人张百川说。

根据自2011年9月1日起生效的最高法院、最高检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，获取支付结算、证券交易、期货交易等网络金融服务的账号、口令、密码、数字证书等信息十组以上；获取其他如账号、口令等身份认证信息500组以上；非法控制计算机信息系统20台以上；违法所得5000元以上或者造成经济损失1万元以上，即可判处三年以下有期徒刑等刑罚。如达到上述标准的5倍以上，可处三年以上七年以下有期徒刑。

在纽约证券交易所一家美国上市公司就职的一位企业架构师分析，黑客凭借自身网络技术，找一份体面的工作并不难，大部分人不会去实施犯罪行为，而是游走在边缘地带。从理论上说，黑客的入侵行为都会在网站日志里留下痕迹，一旦犯事，这些蛛丝马迹就会成为破案线索。

然而，数据库所蕴藏的价值极具诱惑，部分黑客依然会实施深度发掘，只不过会主动控制风险。该企业架构师透露，最常见的手法是严格执行对被盗账户的小额操作——即使单个账户中的虚拟货币很多，也只转出一部分，让账户主人很难察觉；即使被发现，由于每个孤立的窃取行为被控制在立案标准以外，账户主人也难以申诉。而且，要立案必然涉及跨地域问题，大大增加了追查成本。

这样，尽管对每个账户攫取的价值不高，但汇集起来就是一个很大的规模。

你安全吗：信息安全家底

安天实验室首席架构师肖新光（网名江海客）告诉《财经》记者，攻击者在此前较长的时间里，获取了大量资源，应是这次泄密事件的前提。而后期的心理跟随效应、一些厂商各有初衷的推动、一些假库和假消息各怀目的的传播，起到了推波助澜的效果，这些影响也会慢慢消散。

然而，“攻击者群体手中还有更多的库是完全有可能的”。肖新光说。

北京神州绿盟信息安全科技股份有限公司（下称绿盟科技）一位网络安全专家甚至称，“几乎所有国内互联网大站都出现过大批量的信息泄露问题”，只是碍于声誉不愿公开。

多位网络安全专家向《财经》记者表示，目前国内网站安全整体现状不容乐观。

这背后的原因，首先是安全意识淡薄。1月6日，在中国计算机学会青年计算机科技论坛上，国家计算机网络应急技术处理协调中心副总工程师杜跃进指出，国内很多网站都是“编程好了就完了，口令写在程序里面，直接在电信运营企业那里跑”，很少有人重视代码安全。

此外，国内网站在信息安全方面的资金投入严重不足，中国的安全市场占全球的比例仅为个位数，安全投入在信息系统建设投入中的比例，与先进国家有太大差距。根据国际数据公司（IDC）数据，2010年全球信息安全市场的总额达到1188亿美元，同期中国信息安全市场的规模仅为12.48亿美元。IDC对12个国家2850家公司开展的一项调查结果显示，目前国外信息安全投入占整体IT信息投入的比例为14.5%，但在中国这一数字仅为6.5%。

本已捉襟见肘的信息安全投入，还面临着贫富不均的尴尬。在肖新光看来，“如果没有对安全价值的共识，安全厂商一般很难和网站形成很紧密的合作。”互联网巨头建立了较大的安全运维团队，甚至会和安全厂商争抢人才；但在多数中小型网站，安全投入普遍很低，甚至没有独立的安全人员。此外，网站应用比较复杂，编程人员安全编码能力较差，也是很普遍的现象。

360网站安全检测平台的数据显示，目前国内约83%的网站存在各种安全漏洞，其中34%为高危漏洞。这些漏洞导致最严重的后果就是用户数据库泄露。

不过，如果采取了适当的加密方式，即使被“拖库”也不等于密码泄露，当“拖库”与不正确的加密方式同时发生时，才会导致密码泄露。

此次泄密风波中，最让公众震惊的是交通银行等金融机构数据泄露的网络传言。北京宇信易诚科技有限公司网银产品部副总经理梁强认为：“对网银用户，传言造成的主要是心理上的影响。”

与其他互联网服务将用户体验放在第一位不同，网银和第三方支付平台如支付宝等，在网站架构时就把安全性放在首位，宁可牺牲一些用户体验。

网银系统的安全保障大致来自三个方面。在客户端，通过增加专用密码输入键盘、U盾等措施，降低安全风险。

而在通信网络上，目前所有网银都是使用HTTPS通道。与网络常用的HTTP通道的直观区别在于，网络地址栏的开头显示为“https://”，而非“http://”。它相当于在HTTP通道构建了一个秘密安全通道，保证了用户与银行终端间信息传输的安全，提高侵入难度。

为什么大多数网络社区不用这种更安全的传输方式呢？一个最关键的问题是成本的增加，如购买设备、后期维护及证书等，证书还要数年更换一次。同时，这也不利于有关机构对网络信息的监管。

功夫下得最多的还是在银行的服务器端，包括网络架构安全、系统设计安全、Web应用安全、数据安全等方面，都有远胜普通网站的严格规范。仅以防火墙为例，一般网银系统至少设置三道防火墙，且在采购时，一定会选择不是同一家同一型号的产品。

(责任编辑：)