信息系統實施須經獨立第三方“滾動式”信息安全認證評級,獨立第三方根據當時系統信息安全狀況通過及時調整互聯網企業系統信息安全級別來提醒用戶警惕信息安全,提醒互聯網企業及時注意和防御可能存在的風險,讓互聯網企業及時了解自己的信息系統的安全邊界,同時這也迫使互聯網企業“自覺”對系統進行漏洞修復和防御技術的升級換代。
每一年的年末都會有一些我們意想不到的事情發生,2011年末也不例外:
系統用戶信息泄漏事件
2011年被業界喻為中國的內網安全建設年,國家針對分級保護、密鑰管理和電子認證系統建設出臺了系列政策。然而,就在2011年最后一個月的21日,自國內最大的開發者社區CSDN網站600萬用戶個人信息遭泄露后,天涯、開心網、珍愛網、走秀網、多玩、178、人人網、佳品網、當當網和支付寶等眾多網站相繼“淪陷”,均被曝出用戶信息遭到泄露消息。有消息稱,天涯社區4000萬用戶密碼遭泄露,當當網1200萬全字段用戶資料遭到泄露,支付寶泄漏總量甚至達到1500-2500萬, 相關數據已經在黑市上流通,而這些數據正在被用于網絡營銷。這場被稱為“史上最大規模”的用戶信息泄露事件波及網站越來越多,信息安全危機愈演愈烈。我們的個人信息在信息高速公路上開始了不知什么時候才能停下來的裸奔……業內人士預計泄露網站數據庫的行為可能會引發連鎖效應,更多網站的數據會被黑客放出。
工信部及時介入此事
工信部及時介入此事,發布通告強烈譴責竊取和泄露用戶信息的行為,并要求企業嚴防漏洞。工信部要求,發生用戶信息泄露的網站,要盡快通過網站公告、電子郵件、電話、短信等方式向用戶發出警示,提醒用戶修改在本網站或其它網站使用的相同用戶名和密碼。未發生用戶信息泄露的網站,必要時應提醒用戶修改密碼。工信部同時要求互聯網站要開展全面的安全自查,及時發現和修復安全漏洞。加強系統安全防護,落實相關網絡安全防護標準,提高系統防入侵、防竊取、防攻擊能力。要采用加密方式存儲用戶信息,保障用戶信息安全。一旦發生網絡安全事件,要在開展應急處置的同時,按照規定向互聯網行業主管部門及時報告。相關改密碼的信息在各大門戶網站貼出,上億網民在網上“積極”地開展了一次改密運動。
自覺環境下誰來把關系統信息安全?
我們深入地思考一下,此次各大互聯網企業用戶信息泄露問題出在哪里?是網絡黑客太強還是我們所用的系統安全堡壘太脆弱?法律法規、管理體制、技術手段等是保障信息安全的關鍵因素。據法律專家趙占領向媒體透露,關于個人信息保護的首個國家標準仍在制定階段。而現階段,網絡漏洞的監控與管理仍需靠互聯網企業的自覺。但他同時表示,《中華人民共和國侵權責任法》中明確保護公民的隱私權,《刑法》也規定了泄露個人信息可能要承擔刑事責任,用戶可以通過民事、刑事途徑維權,但關鍵是證據比較難收集。《新京報》評論認為,要想解決用戶個人信息問題,最重要的還是完善相關法規,明確各方保護互聯網個人信息的責任。用法律逼迫網站安全技術升級,同時也應讓那些不負責任的網站,依法受到懲罰。國家對互聯網企業在保存用戶信息上也沒有明文規定必須應用密文,更沒有設定用戶信息保存加密算法的的最低標準。通常來講,對于用戶的個人信息互聯網企業應該采用加密方式保存用戶密碼等關鍵數據,采用嚴格、多重的用戶注冊和登錄認證規則,甚至啟用強制性動態密碼技術機制等來保障用戶信息安全。網絡信息安全的首要任務是積極防御,盡可能的從源頭上遏制網絡用戶信息的泄漏,這就要求互聯網企業要提高網絡系統的安全防御能力。信息安全保障體系是實施信息安全保障的法制、組織管理和技術等層面有機結合的整體,是信息社會國家安全的基本組成部分,是保證國家信息化順利進行的基礎。在我國對于信息系統安全技術的升級在現階段也只是靠互聯網企業的自覺升級,應用軟件或操作系統設計時的缺陷或編碼時產生的錯誤以及業務在交互處理過程中的設計缺陷或邏輯流程上的不合理等都會對用戶的信息安全構成了很大的威脅。
在系統開發流程中,有一個環節能夠考察出系統的穩定性和安全性能等,那就是系統測評認證。在正規合理的系統開發流程中,系統開發完成之后嚴格來說必須經過測評認證之后系統才能投入實施和使用。信息系統的測試結構必須經由被認可的獨立第三方的實驗室來執行測試。但目前在法律不健全的情況下,缺少強制性的系統信息安全強制測評認證,互聯網企業為了降低系統開發成本,很多信息系統在軟件公司開發完成后交給委托方之前,委托方基于企業成本的考慮很少會請專業的獨立第三方來對信息系統的安全性進行測評認證,就直接將委托開發的信息系統投入使用。
另外,用戶在使用互聯網企業提供的信息系統服務時,用戶與互聯網企業之間存在著信息不對稱,對于用戶所登錄的網站和所使用的客戶端軟件以及其他服務等的系統信息安全性,用戶很難知道其安全性有多高,這給系統用戶的信息安全帶來很大的威脅。
信息系統實施須經獨立第三方“滾動式”信息安全認證評級
我國國家質檢總局、財政部、認監委早在2009年就發布《關于調整信息安全產品強制性認證實施要求的公告》,公告規定,我國從 2010年5月1日起正式對包括邊界安全、通信安全、身份鑒別與訪問控制、數據安全、基礎平臺、內容安全、評估審計與監控、應用安全8類,包括防火墻、網絡安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數據備份與恢復、安全操作系統、安全數據庫系統、反垃圾郵件、入侵檢測系統、網絡脆弱性掃描、安全審計、網站恢復等13種信息安全產品在政府采購法規定的范圍內強制實施3C認證。客觀地來說,此次互聯網信息的外泄應當歸咎于兩方面,一是黑客技術的迅速趕進,另一方面是互聯網企業的信息系統在安全性方面太脆弱。當然,隨著信息技術的升級,黑客技術也緊追其后,所以這就要求“滾動式”網絡信息安全認證評級,及時發現互聯網企業所用系統的安全隱患,及時給互聯網企業所用系統貼上安全等級標簽,迫使互聯網企業“自覺”對系統進行升級和完善。
同時,由于互聯網企業對數據防泄密、郵件安全、信息安全服務、新一代安全網關等信息安全方面所做的工作,我們用戶幾乎一無所知,后臺的保障對用戶來說就是一個黑箱。網絡信息安全威脅的不斷更新及變化使傳統產品很難抵御,因此有遠見的互聯網企業開始實施站外監測最新的威脅,并著手調整防護技術,從而使信息系統在被感染的初期便能及時執行防擴散保護,如切斷相關通訊以緩解數據泄露風險。在做好事前防御的同時,也要更多關注事中控制的方法。這就要求獨立第三方信息安全測評機構對互聯網企業進行不定期的信息系統外部安全偵查測評,及時調整互聯網企業系統信息安全級別,讓互聯網企業及時了解自己的信息系統的安全邊界,注意和防御可能存在的風險,及時對系統進行漏洞修復和升級換代。這也提醒了用戶在使用信息系統過程中根據系統信息安全級別來警惕可能存在的風險。
同時政府需要完善信息安全監控防御體系,加強對信息安全事件追查取證及分析定位能力,及時捕獲破壞性的信息源,形成更加全面的安全監控防御體系。為互聯網的健康發展創造良好的大環境。給用戶提供更為穩固的、全方位的安全保障。
