制度和技術雙管齊下 建立全面內控體系
最近受到關注的CSDN和天涯密碼泄露事件,事實上早已經發生,并且數據在黑色產業鏈中廣泛流轉,而且各種途徑泄露的數據遠遠超過媒體已經暴露的內容。從這個事件可以看出,無論是商業服務機構還是個人,安全意識依舊非常淡薄,急需提高,否則類似事件每天都會上演。
從服務機構的角度看,CSDN和天涯這次泄密事件最受詬病的是以明文方式存放用戶密碼,犯了非常低級的錯誤,這對于用戶來說是完全難以接受的。事實上,解決用戶密碼存放的技術非常成熟和簡單,只要在軟件程序里面簡單增加一小段MD5或者其他散列函數代碼即可以解決,不會給CSDN和天涯額外增加多少負擔,這樣基本的安全措施沒有采用,只能說服務商本身確實缺乏最基本的對用戶信息安全負責的態度,安全意識非常淡薄。
從互聯網個人用戶的角度看,通過這次多方分析,發現用戶使用密碼有兩個特點,一是使用簡單密碼的人非常多,二是在不同IT系統使用同一個密碼的人非常多,這都是缺乏安全基本意識的表現。由數字和字母組成的簡單密碼,可以說目前破解起來輕而易舉,使用這樣簡單的密碼是對自己賬戶安全極度不負責任的行為。多個IT使用同一個密碼的習慣更加致命,CSDN帳號安全用戶可以不在乎,但是如果CSDN獲得密碼信息能夠用于登錄個人網銀或者證券帳號,那就非常可怕了。
綜上所述,CSDN和天涯密碼泄露事件告訴我們國內互聯網服務提供商和互聯網用戶一個赤裸裸的事實:信息安全事件屢發的主要原因不在于缺乏安全技術,而在于缺乏最基本的安全意識以及負責任的態度。
要避免或者減少此類事件發生,相關企業要在安全意識培訓和安全內控體系上下功夫。
全員的安全意識培訓特別是技術開發和服務人員的安全意識是必要的,只要讓大家牢牢樹立信息安全防范意識,徹底排除僥幸心理,并融入到具體的開發和服務工作中,才能減少類似事件的發生。
企業還需要建立全面的信息安全內控體系,信息安全內控體系包括管理制度和技術措施兩個方面。要建立專門的信息安全管理制度,層層把關,層層負責,杜絕和減少信息安全漏洞的出現,禁止威脅信息安全的行為發生。技術措施要采用內外兼防的手段,通過購買成熟的信息安全產品和服務,既要能夠防止來自互聯網的入侵,也要能夠防止內部人員從服務系統內部的入侵泄密行為發生,缺一不可。
事實上,此外CSDN和天涯泄密事件發生后,陸陸續續暴露了更多真真假假的泄密信息,這些信息有些是從互聯網攻擊獲得的,但也有部分是內部員工或者商業競爭對手從內部網絡中獲取并泄密出去的,后者造成的威脅損失更大,也更加隱秘,當然一般也不會見諸媒體,但是更加需要引起重視。
【編輯推薦】
