資訊安全"黑洞門"嚴重 檢測顯示37%網站存漏洞
- 發佈時間:2015-03-04 07:15:34 來源:經濟參考報 責任編輯:謝淩宇
機構檢測顯示37%網站存漏洞 23.6億條用戶資訊存洩露風險
手機淘寶,發紅包,訂機票……當我們享受著網路給予的便利時,卻渾然不知自己的隱私資訊正在被非法分子利用。《經濟參考報》記者日前採訪獲悉,目前資訊安全“黑洞門”已經到觸目驚心的地步,網站攻擊與漏洞利用正在向批量化、規模化方向發展,用戶隱私和權益遭到侵害,特別是一些重要數據甚至流向他國,不僅是個人和企業,資訊安全威脅已經上升至國家安全層面。
記者日前從補天漏洞響應平臺上收錄的數據顯示,目前該平臺已知漏洞就可導致23.6億條隱私資訊泄漏,包括個人隱私資訊、賬號密碼、銀行卡資訊、商業機密資訊等。導致大量數據洩露的最主要來源是:網際網路網站、遊戲以及錄入了大量身份資訊的政府系統。根據公開資訊,2011年至今,已有11.27億用戶隱私資訊被泄漏。
“這個數據意味著,我們幾乎每一個上網的人,自己的資訊都可能已經在不知不覺中被竊取甚至利用。”一位網路安全方面權威人士對《經濟參考報》記者坦言,這僅僅是冰山一角,更令人擔憂的是,實際情況比這一統計數據還要嚴重。目前越來越多的資訊安全洩露都是衝著“錢”去的,下一步金融、網上支付等將成為重災區,從目前暴露的信號來看,以晶片、電腦、設備等為載體,甚至一些涉及國家安全的能源、資源、航空等領域都將可能爆發資訊安全問題。
據了解,自2011年國內最大的IT技術社區CSDN曝出泄密事件以後,網站被拖庫和撞庫事件不斷發生。2014年,撞庫攻擊達到前所未有的高峰期。從補天漏洞響應平臺等渠道披露的資訊來看,2014年,包括無秘(原秘密)、大眾點評網、搜狐、安智網、汽車之家、搜狗、印象筆記等多家國內知名網站都遭到了撞庫攻擊,導致大量用戶的個人資訊泄漏。
從12306資訊洩露、攜程資訊洩露,到近期江蘇省公安廳曝出海康威視監控設備安全隱患事件……種種跡象表明,對於正在大力發展資訊經濟與網際網路經濟的中國,網路資訊安全保護問題已經迫在眉睫。
“在數據洩露的背後更多暴露的是網站的安全。”補天漏洞響應平臺負責人趙武對《經濟參考報》記者説,網站安全直接關係到大量的隱私資訊、商業機密、財産安全等數據,目前用戶數據的收集、存儲、管理與使用等均缺乏規範,更缺乏監管,主要依靠企業自律。但是對門戶網站電商等而言,一方面網路資訊安全保護意識缺乏,另一方面也缺少網路資訊安全的技能,即使出現了資訊洩露問題,往往採取“捂蓋子”的方法,只要不曝光就行。
一組數據更加值得警惕。據測算,目前超過37%的國內網站存在漏洞,利用網站漏洞的攻擊以近5倍速增長,網站資訊泄漏的風險越來越大。2014年前11個月,360網站安全檢測平臺共掃描各類網站164.2萬個,較2013年的91.2萬個增加了80.0%。其中,存在安全漏洞的網站為61.7萬個,佔掃描網站總數的37.6%。其中,存在高危安全漏洞的網站共有27.9萬個,佔掃描網站總數的17.0%。2014年全年,360網站衛士共攔截各類網站漏洞攻擊7.0億次,較2013年1.21億次,增長了約4.8倍。
趙武告訴記者,如果真正重視保護用戶的資訊安全並進行相當的技術投入等,80%以上的資訊安全事故是可以避免或及時彌補的。但實際上,很多企業明明知道有拖庫,資訊被洩露,但只要沒有被曝光,仍然是睜一隻眼閉一隻眼。因此,資訊安全立法中,國家除了要加大對網路安全方面的人才培養,更要明確網站安全的責任和相應的處罰機制,只有這樣才能真正約束企業行為,使其能夠保護用戶隱私乃至産業安全和國家安全。
公安部第三研究所所長嚴明在接受《經濟參考報》記者採訪時表示,我國建立了對資訊和資訊載體按照重要登記分級保護的資訊安全等級保護制度,但因為缺少法律依據,這個機制並未及時啟動併發揮作用。而關於追責措施,有關規定也有,但是並沒有量化,存在管理的灰色地帶,可以説,這個機制是否有效對於國家安全關係很大,因此需要加快資訊安全立法。
網際網路實驗室董事長方興東對《經濟參考報》記者表示,目前我國網站在用戶的資訊存放方式和制度方面並不完善,網站之間並沒有建立安全共用聯繫。
360公司董事長兼CEO周鴻祎則建議,重塑資訊安全要遵循三個基本原則,即以保護用戶隱私和數據安全為前提,明確用戶對資訊數據的所有權,明確企業對資訊數據的保障義務,並保障用戶在資訊交換和使用時的知情權,是互聯時代保護資訊安全的基礎。