加固網(wǎng)絡(luò)安全 拒絕信息裸奔
互聯(lián)網(wǎng)的開放性、靈活性、交互性使人們對(duì)信息共享和交流的需求得到了滿足,隨著電子商務(wù)、即時(shí)通訊、在線游戲、交友、論壇、視頻分享等網(wǎng)絡(luò)應(yīng)用的普及,互聯(lián)網(wǎng)的應(yīng)用日益豐富龐雜。然而,在人們享用互聯(lián)網(wǎng)帶來的各種便利的同時(shí),隨之而來的卻是日趨嚴(yán)重的網(wǎng)絡(luò)安全問題,例如,病毒、非法存取、資源非法占用和控制以及網(wǎng)絡(luò)黑客攻擊等,并由此誘發(fā)的各種社會(huì)問題也日益增多,對(duì)網(wǎng)絡(luò)用戶的隱私和信息安全構(gòu)成了極大的威脅。
近期,中國(guó)軟件評(píng)測(cè)中心聯(lián)合北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室在京發(fā)布了《網(wǎng)站用戶口令處理安全性外部測(cè)評(píng)報(bào)告》。該報(bào)告指出,國(guó)內(nèi)網(wǎng)站對(duì)用戶口令的處理方式存在很大的差異,在安全性方面問題十分突出。100個(gè)流行網(wǎng)站中,僅有8個(gè)網(wǎng)站采取了充分的安全措施,有59個(gè)網(wǎng)站沒有采取任何安全措施,使得用戶口令直接暴露在傳輸網(wǎng)絡(luò)以及服務(wù)器端,即網(wǎng)民所說的裸奔狀態(tài)。更有85個(gè)網(wǎng)站直接拿到了用戶的口令原文,明顯侵犯用戶隱私權(quán),尤其是用戶經(jīng)常在不同站點(diǎn)重用口令的現(xiàn)狀下,這些網(wǎng)站的處理方式大大增加了用戶的安全風(fēng)險(xiǎn)。
由此,不免讓我們聯(lián)想到2011年底震驚中國(guó)互聯(lián)網(wǎng)的“泄密門”事件,CSDN等網(wǎng)站超過5000萬(wàn)個(gè)用戶賬號(hào)和密碼被盜取,并且在網(wǎng)上公開擴(kuò)散,造成了人們對(duì)信息安全的恐慌。國(guó)富安信息安全專家表示:隨著電子商務(wù)和社交網(wǎng)絡(luò)的興盛,用戶的個(gè)人隱私信息將成為黑客攻擊的重點(diǎn)目標(biāo),未受保護(hù)的用戶隱私信息一旦流傳于網(wǎng)絡(luò),將隨時(shí)可能成為黑客攻擊的主要對(duì)象,并引發(fā)新一輪潛在的安全危機(jī)。
面對(duì)嚴(yán)峻的信息安全和新的威脅發(fā)展形勢(shì),國(guó)富安的安全專家認(rèn)為,需要從以下幾個(gè)層面來避免用戶信息的“裸奔”。
首先,由于大部分用戶為了方便記憶,用一個(gè)密碼‘包打天下’,殊不知這種做法非常危險(xiǎn)。為了保障個(gè)人信息安全,用戶不但要在各類網(wǎng)站設(shè)置不同的密碼,還要經(jīng)常更換密碼。即便不能對(duì)每一家網(wǎng)站都單獨(dú)設(shè)定賬號(hào)和密碼,也應(yīng)根據(jù)不同的重要程度盡量細(xì)分,比如網(wǎng)銀、郵箱、普通網(wǎng)站論壇都應(yīng)設(shè)置不同的用戶名和密碼,并且一定時(shí)期后要進(jìn)行修改,從而將安全威脅降到最低。
其次,除了用戶的安全防范手段外,還需考慮網(wǎng)站的安全策略問題。各類網(wǎng)站需要提高用戶數(shù)據(jù)安全的意識(shí),加強(qiáng)對(duì)應(yīng)用安全、數(shù)據(jù)安全有效監(jiān)管。國(guó)富安電子證書安全認(rèn)證系統(tǒng)(GFA CA) 采用數(shù)字證書進(jìn)行公鑰管理,能夠通過證書認(rèn)證機(jī)構(gòu),把用戶的公鑰和用戶的標(biāo)識(shí)信息(如用戶名、電子郵件等)捆綁在一起,以在網(wǎng)絡(luò)上標(biāo)明和驗(yàn)證用戶的身份,確保信息傳輸?shù)谋C苄浴⑿畔⒌耐暾浴⑿畔⒌牟豢煞裾J(rèn)性以及身份的真實(shí)性。并且能夠滿足在多種操作系統(tǒng)下對(duì)簽名、加密、身份認(rèn)證、數(shù)字信封、密鑰管理等應(yīng)用需求,幫助客戶建立起立體的安全防御體系,提升業(yè)務(wù)價(jià)值。
此外,目前我國(guó)在網(wǎng)站用戶口令處理方面,沒有一個(gè)明確的標(biāo)準(zhǔn)或規(guī)范,如何處理用戶口令這一私密性很強(qiáng)的用戶個(gè)人信息,只能依賴網(wǎng)站開發(fā)者、運(yùn)營(yíng)者對(duì)安全常識(shí)的了解和自律性,來加強(qiáng)應(yīng)用安全監(jiān)管力度。因此我們也呼吁政府盡快建立個(gè)人信息保護(hù)體系,加強(qiáng)相關(guān)企業(yè)在技術(shù)和管理體系上對(duì)個(gè)人信息的保護(hù)力度,營(yíng)造健康的互聯(lián)網(wǎng)環(huán)境。
