全国优秀律师事务所
 ◇ 电话:010-83113710 010-83113701   投诉电话:010-83113702 010-83113710   邮箱:gslawyer@126.com   加入收藏  设为首页

法律法规全库
查询

审判指导判例库
查询

判裁案例全库
查询

法律文书全库
查询

合同范本全库
查询

公企文规全库
查询

商事法务库
查询

法律工具库
查询
首页  高盛介绍  成员所介绍  业务领域  部门设置  律师介绍  荣誉奖励  顾问单位  案例介绍  加入高盛  法律软件  联系方式
公告通知
高盛介绍
北京市中高盛律师事务所  
北京市中高盛律师事务所是全国优秀律师事务所,创建于1993年。其秉持一贯的稳健和敬业精神,伴随中国改革开放的全面深化和经济的持续增长不断发展壮大。目前已成为中国颇具规模的高盛律师集团重要成员所之一。
  北京市中高盛律师事务所是一家立足中国、面向全球不同行业客户的专注于金融、公司、证券、资本市场、国

黑龙江高盛律师集团事务所 
高盛律师集团是由成立于1992年的原隶属于中央政法干部管理学院的国办北京市光大律师事务所,成立于1988年的国办黑龙江经济律师事务所及北京市中高盛律师事务所、黑龙江高盛律师事务所共同发起设立的国内大型、综合法律服务机构。至2005年,高盛律师集团发展为由全国十几家律师事务所组成的大型律师集团,其主要成员为

成员所介绍
新闻详情
网络信息安全岂容裸奔 泄密不应成为一扇关不上的门

作者:仇晓东 赵丕涛  来源:中国商报  发布时间: 2012-10-23
 
 
年终岁尾,网络安全又出大事件,继1221日,CSDN网站用户600余万注册邮箱账号和密码数据库信息被公开之后,天涯论坛、人人网、开心网、多玩网等多个社交及游戏网站,再到京东商城、当当网、淘宝网等电子商务网站像多米诺骨牌一样在密码危机面前一个个倒下。近日又爆出网络安全波及工商银行、民生银行及交通银行等金融机构。政府网站也牵涉其中,广东省出入境政务服务网站的444万条用户信息,已在20111230日被证实泄露。中国互联网史上最大的泄密事件进一步扩大,网站运营商和管理者似乎没有能独善其身者,网络信息泄密越来越像一扇关不上的“门”。
在实名成为趋势的年代,“密码危机”来袭,信息安全怎能能“裸奔”?网络安全事件牵动着公众敏感的神经,手持“网络存折”的人们再也难睡安稳觉。一系列事件考验着我国的网络安全,针对这一网络信息安全事件,专家表示目前国内互联网行业的信息安全不容乐观,随着网络日益渗透到社会生活的各个方面,增强网络信息安全意识、提升信息安全防范措施变得尤为迫切。
 
网络泄密“多米诺骨牌”一样蔓延
 
去年1221日,360安全卫士官方微博较早发布消息称,国内最大的程序员社区CSDN网站因遭遇黑客攻击,600万用户的登录名及密码日前被公开泄露,一石激起千层浪。同年1222日,标注为“人人网500万用户资料”的文件开始在网上流传,嘟嘟牛、7k7k178游戏网、CSDN等多家网站数据库文件的截图也出现在微博上,涉及的用户信息总量超过5000万条。1225日,泄密冲击波进一步蔓延,总量超过4000万条天涯论坛的用户数据库信息开始在网络上流传。在本报记者电话采访时,天涯社区公关经理初蒙曾表示用户信息遭泄露后天涯社区已报案,案件目前正在侦查之中。
此后,泄密事件继续发酵升级,传闻开始波及到电子商务及银行系统。去年1227日,乌云漏洞报告平台披露京东商城的漏洞,“在某些业务上存在用户权限控制不当的漏洞,导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括姓名、地址、电话、Email等。”这一漏洞报告得到了京东商城方面的响应。1228日,当当网的公告称:“经核实,网络公布的信息数据只有极小部分属实,且均系20116月之前的老数据,该部分数据是由于之前遭到网络黑客攻击被盗取。”同日,乌云漏洞报告平台再次报告称,“支付宝用户大量泄露,被用于网络营销,泄露总量达1500-2500万之多,泄露事件不明,里面只有支付宝用户的账号,没有密码”。支付宝随后回应称,支付宝账号不是私密信息,在很多地方都可以搜集到,只有账号没有密码,对用户资金安全没有任何威胁,“支付宝采取金融级的信息安全标准去保护用户信息及资金安全,我们承诺没有任何人能从支付宝获得用户的密码等私密信息。过去没有,以后也没有,请大家放心”。但1229日,更吓人的消息又在网上疯传:交通银行、民生银行分别泄露用户资料7000万和3500万份,“卡号、姓名、密码都有”,并配有截图。当天下午,交通银行、民生银行、工商银行等分别发布公告辟谣,称“用户资料外泄的传闻纯属谣言”。当日晚间,又有网友披露称,广东省公安厅出入境政府服务网网上申请数据泄露,几乎所有提交网上申请用户的真实姓名、出生年月、电话、护照号码、港澳通行证号码等信息均可查到,泄露的总信息量高达444万条。这一信息被广东省公安厅证实:2011624日至20111229日期间,在广东申请出入境的用户信息遭到泄露。
仅仅一个星期,泄密已经从CSDN一家网站的危机演化成为了席卷整个互联网的大事件。一时间,各大网站人人自危,真假数据库屡屡出现。国家互联网应急中心对所曝光的数据进行了抽查核实,发现部分数据是有效,但并不排除网络泄密有造谣和炒作之嫌疑。
 
运营管理方是泄密的第一责任人
 
由于网络知识储备的欠缺,个人信息安全意识淡薄,让好事者有了可乘之机,让黑客进入自己帐号如进自家家门那么容易。君不见,不仅有局长拿微博当QQ,公开约情人去酒店开房,走到哪里都将自己的行踪现场直播;还有人将日记写在网上,事无巨细,无所不包。至于网站后台用户名,最初制作者提供的“admin”继续使用,即便更改也是“admin1”或者“admin8”有的就是网站拼音,密码更是怎么方便怎么设“123456”、“123123”、“888888”……令心怀不轨的人想不动心都难。这次密码泄露事件之后,为了网民的帐号安全,网络运营商或专家不断普及防盗常识。
如果说由于知识储备的欠缺,个人的信息安全意识不强有情可原的话,那么那些掌控着众多网民信息的网站和机构疏忽大意,就未免太不应该。以天涯网站为例,在明知今年上半年就有2.17亿网民遭遇过病毒或木马攻击、1.21亿网民有过账号或密码被盗经历的情况下,居然仍然用明文将用户信息保存在Windows服务器上,这不能不说是对用户的极端不负责任。
密码危机之后网站运营商和管理者“强制”网民更改密码,虽然一方面是为了网民账号安全,可总有点变味的感觉在里面。这把网民需要保护自己安全的“权利”,变成是必须去完成的“义务”了,这种义务本应是各网站的,现在却传递到每个网民身上显得有点本末倒置,网站的安全技术和投入可谓是捉襟见肘。然而,用户更改密码的应对之举对商业网站也许还能起些效果,但对一些官网来说,格式化的表单显然没有让你选择的可能。
网络信息被泄密了,究竟是谁的责任?“黑客”作为侵权者,显然已被司法钉在罪罚的柱子上,那么,对于近乎大门洞开的网站方,要不要追究保护与防范的责任呢?用户显然都不是网络信息安全的第一责任人,公民作为消费者接受网站服务的时候,网站自然有对其资料“妥善保管”的义务。尤其是涉及隐私及财产安全的信息内容,应该有着“银行级”的保密举措,且一旦泄露,必须承担第一责任。
 
网络安全纠结于“鬼推磨”
 
近日,在网络安全事件之后,业内人士也一针见血的指出,这次安全事故也是“有钱能使鬼推磨”的演绎。此前已有网络数据库在黑客间相互传递没得到证实的消息,油脂榨干之后才抛给公众,网络安全问题才显现出来,网络安全背后仍存在灰色产业链。然而,对于黑客入侵,网络安全防治“白帽子”则显得囊中羞涩,网络运营及管理方在网络安全投入上则显得过份吝啬。
360网络安全专家石晓虹(微博)表示,不同黑客组织通过交易、共享等方式聚合不同网站的密码库,形成非常庞大的规模,然后将此黑客的密码库批发给专门从事“洗号”环节的不法分子。“洗号”分子一般会筛选有价值的注册邮箱,比如知名企业的工作邮箱,然后窃取邮箱中的重要商业资料,甚至进一步通过社会工程手段进行诈骗。此外,黑客分子还利用密码库在网上支付平台自动批量发起交易,如果用户泄露的注册邮箱和密码与网上支付账户的交易密码相同,支付账户中的余额就会被转移。危害还不仅限于此。石晓虹指出,黑客经常利用密码库尝试登录QQMSN等聊天软件账号,向好友发送借钱诈骗消息,或者在微博等社交网站上尝试登录,由此产生出付费加粉丝、发布广告信息或钓鱼诈骗链接等多种获利途径。
另有网络安全人士估算,目前互联网的地下黑色产业链规模已经达到上千亿元,而安全行业的规模目前还只有几百亿元,“就像毒品的市场规模反而大于麻醉药的市场规模”。目前在整条黑色产业链中,分工也比较明确。最核心和最难的是发掘漏洞,这对技术的要求最高,能发掘漏洞的黑客也比较少。吕延辉介绍,在地下黑客中,有人专门负责发掘漏洞,有人专门负责根据漏洞开发利用工具,有人负责漏洞利用工具的销售,有人负责刷库,有人负责洗库,有人负责数据库的销售,最后端,还有人利用数据库钓鱼、诈骗、发送垃圾邮件。网络安全已经关乎人们的生活,因而网站安全管理不得不与时俱进。国内互联网企业信息安全支出比重偏低。据相关数据显示,目前,中国互联网公司的信息安全支出,在整体IT支出中的比重不到1%,相较于国外8%~10%的投入,显得囊中羞涩。有业内专家透露,“在被泄露的用户密码中,部分互联网企业仍在沿用明文密码保存方式,,用户密码便如同‘裸奔’一样,毫无任何保护措施可言。此外,一些互联网企业还存在一个普遍问题,就是为了降低成本,而将密码存储的服务器挂到了外网上,对黑客而言,攻破网站后盗取密码便轻而易举了。
对于“葛朗台”式的的互联网安全投入,腾讯公司联席CTO熊明华对本报记者表示,腾讯目前拥有两支独立的安全团队,一支负责腾讯内网的安全体系维护,另外一支则负责外网。据记者了解,几年前,腾讯曾遭遇盗号团队的攻击,窃取用户密码用以牟利。而后腾讯与有关部门集中打击了犯罪分子,十多人因此获刑。此后,腾讯花了3年时间对密保系统部门从底层开始了彻底的重构。
 
法律才是解决问题的最有效途径
 
随着泄密事件愈演愈烈,近日工信也发布通告强烈谴责窃取和泄露用户信息的行为。并要求,发生用户信息泄露的网站,要尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其它网站使用的相同用户名和密码。工信部同时要求互联网站要开展全面的安全自查,及时发现和修复安全漏洞。加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,保障用户信息安全。
常言道“道高一尺,魔高一丈”,任何信息安全技术都不可能永保无虞。与技术升级相比更关键的,是在法律上形成对网络犯罪的强力震慑。从目前我国的信息网络安全立法来看,“不得危害计算机信息系统的安全”等大而化之的内容较多,操作性不强,一些法规之间还存在交叉和冲突,与网络应用迅猛发展的形势不相适应。日新月异的网络技术使新的安全问题不断产生,如何制定一部既能反映当前网络安全问题,又不至于很快过时的网络安全法律?如何保障法的稳定性与法的适应性、前瞻性兼备,成为摆在立法者面前的问题。目前,我国的网络安全监管仍然处在由行业主管部门监管的阶段,分别处于公安、工信、文化、人民银行等部门的管理之下。多头管理肯定会导致监管不严或监管漏洞。对此,应明确各部门之间的职责,只有权力界分清晰,才能保证监管没有漏洞。
110,本报记者从北京市公安局外宣处获悉,已有两名涉案黑客已经被抓,还有部分人员尚未落网,并有编造炒作泄密信息的不法人员同时落网。这一消息,对在网络安全危机面前无所适从的人们注入了一剂欢乐因子。然而,此次事件不是网络安全问题的开始,网络安全事件到此也不是结束。网络安全问题依然不容忽视,依然任重道远。 
 

版权所有:北京市中高盛律师事务所
北京市西城区广义街5号广益大厦9层
电话:010-83113710 传真:010-83113702
www.gaose.cn .All Rights Reserved 京ICP备05026937号-2 京公网安备110102001353-2