新华视点：信息外泄：谁动了我的密码(2)

发布时间:2012-02-20 14:10 作者:佚名来源:新华社点击:加载中...次

【演播室主持人】周宁，从短片当中我们看到，好象这网络真的不像我们平时想象的那么安全。

【评论员】是啊，我们很多的网络用户在不同的网站上，很多人都用同一个密码，所以CSDN这个泄密门一发生，国内网站或者很多网站纷纷沦陷，就像在“裸奔”。哪有私密可言啊？所以这个事件是牵一发而动全身，这是很重要的一个问题。现在一般的这些互联网公司都要采取很多的技术手段，比如说加密的方式来保护用户信息的安全，这是常用的手段。但是这些手段对于那些网络黑客来讲，小儿科，小菜一碟，通过很简单的手段就把它破译了。你比如说用个类似于字典的“彩虹表”就能把用户密码的密文转成明文，还比如说用一些免费的网络工具就可以轻而易举地突破到这个网站里进行破坏活动。这些问题对于黑客来讲都是小儿科。我们老说这个网络天性就是自由和开放，既要保证网络连通，高速地连通，又要具备一定的商业的意义，但是这两个元素本身它就有一定的矛盾。比如说这个CSDN泄密门，网站和黑客在不断地交锋中相互提升自己的技术水平。所以说在一个开放的网络环境里，仅仅依靠个人的能力，来保障自身的网络用户安全是不太可能的。关键看什么，看这个网站它有没有力量，有没有能力，是否加大了投入，保护你客户的安全去跟黑客明争暗斗，这是关键。

【演播室主持人】周宁，就像你说的，其实我们常用的比如说频繁地更换密码，或者是用更复杂的密码，在这样一个技术手段，专业知识都很不对称的情况下，其实这样的方法，防君子不防黑客嘛。在这样的情况下，我们的网站是不是应该做一些什么呢？一起来看看。

【同期】知道创宇公司首席技术官　杨冀龙：

像我们知道有些地方，有些大型网站的这些数据，他们用5块钱10000条数据，在进行交易。(10000条数据指的是？)比如说用户名密码邮箱之类的信息。

【同期】网络安全工程师　金皓：

黑客现在他们都是一些技术比较高深的一些人群。那么他们的数量现在也不好估计，因为他们其实很难用一种身份去界定。因为他可能白天做另外一些事情，甚至有一部分，一小部分，他们可能白天在做网络安全的事情。他们在各大网络安全公司，或者说一些正经的IT公司在做。晚上他可能因为利益的驱动，根据自己的一些利益吧，然后去做一些，黑客或是违法的事情。

【解说】当精通技术的黑客与不正当的利益集团结合在一起，就形成了一个流程清晰、分工明确的地下产业链。除了普通用户的信息，网络货币、企业商业机密等等，都这是这条产业链上的产品。

【同期】中国计算机取证专家委员会成员　万涛：

它的源头它不是说在黑客上，黑客他是属于这个产业链里面推进的一个头，我们社会上的信息买卖已经非常泛滥。去医院看病可能这边卖了，生孩子，那边有一大堆公司会给你打电话，你去买个房子或者其他的。这已经非常泛滥，那么无非说黑客在提供另外一个途径，通过网络的方式去拿到更多的数据。

【解说】正是由于有这样一个巨大的需求市场存在，才会使得众多的黑客乐此不疲。金皓所在的项目组负责着数十个政府部门和企业的网络安全，由于近期网络用户信息频频被窃，为了在第一时间发现风险并及时解决，金皓经常加班到很晚。

【同期】网络安全工程师　金皓：

打一个比喻，一个保险箱，我们不断加固这个保险箱，那么他去打开这个保险箱的成本大于保险箱里面物品的成本(价值)的时候，那么他就不会去费劲去把这个保险箱，炸开也好或者怎样也好，去偷盗这个东西。

【解说】金皓认为，通过不断地提高技术壁垒，使黑客入侵变得越来越难，可以达到保障网络安全的目的。然而面对一系列的网络安全事件中，互联网企业的态度却耐人寻味。

【同期】知道创宇公司首席技术官　杨冀龙：

国内也是某著名的一个网站，当他们有一个网站被黑之后，被黑客留了一个文件在上面。一访问这个链接就会发现，黑客说网站被我黑了，甚至留了QQ号。这件事情在网上一传开，这个网站，我们通常认为这个网站应该来谴责这个行为，并且加大安全投入并且有可能向网民道歉都可以。像索尼事件完了，索尼就是公开道歉。像中国就不一样，向这些网站他们第一反应居然是在网上首先发出来说，这个事情纯属子虚乌有，是我们自己的一个管理人员上传了一个测试文件，忘了把它删了而已，完全不存在网站被黑问题。

【解说】互联网在中国的发展只有十几年，互联网企业在经营过程中承担着巨大的资金压力。一直以来，安全保障被认为是不会产生效益的成本项目，并没有被互联网企业重视起来。

【同期】知道创宇公司首席技术官　杨冀龙：

通常来说，一个公司在安全投入方面要占他总投入的10%到15%。

(那咱们国内做得怎么样呢？)国内我所知道的很多网站，尤其中小网站通常0%。然后有一些网站，比如稍微有点访问量的，可能到3%到5%，在中国最好的可能那么一两家能做到10%。

【同期】中国计算机取证专家委员会成员　万涛：

因为它可能更重视的是用户的前端体验，用户使用得快不快，好不好看，方不方便，是这样看的。安全呢？因为大部分用户对这一块没有特别的，而且用户有时候会希望简单，因为互联网是一个很快的方式。如果安全的话，可能会过复杂，注册这么烦要填这么多的东西，可能用户就跑了。所以，这种用户习惯也促使大家就是说，尽量做简单吧。

【解说】就这样，用户的信息安全在互联网企业高歌猛进的发展中被忽略了。北京市公安局透露，“CSDN泄密门”的两名涉案黑客已被抓，还有部分人员尚未落网。如果查明黑客的真实身份，肇事者将被追究刑事责任。那么网站本身是否也会因“数据保存不妥”承担相应法律责任呢？在美国，索尼公司由于未能充分保护玩家个人数据和信用卡信息引发大规模诉讼，索尼公司有可能因此而产生巨额赔偿。

(责任编辑：)