解碼“泄密門”

2011年已經(jīng)過去，在這一年的最后幾天，一場被媒體稱為“中國互聯(lián)網(wǎng)史上規(guī)模最大的泄密事件”突如其來。

自2011年12月21日開始，中國最大開發(fā)者技術(shù)社區(qū)CSDN的600萬用戶數(shù)據(jù)被泄露，其中包含極為敏感的用戶名、明文密碼；次日，垂直游戲網(wǎng)站多玩網(wǎng)被傳泄露800萬用戶數(shù)據(jù)；25日，號稱“最有影響力華人論壇”天涯社區(qū)4000萬用戶數(shù)據(jù)包被瘋傳；51CTO、CNZZ、eNet、UUU9、YY語音、百合網(wǎng)、開心網(wǎng)、人人網(wǎng)、美空網(wǎng)、珍愛網(wǎng)等相繼被卷入用戶數(shù)據(jù)泄露風(fēng)波；支付寶、當(dāng)當(dāng)網(wǎng)以及京東商城等電子商務(wù)網(wǎng)站亦未幸免；29日，網(wǎng)絡(luò)傳言交通銀行7000萬及民生銀行3500萬用戶卡號、姓名及密碼泄露，恐慌感被推至高點，“泄密門”達到高潮。

一時間，各種消息真假難辨，人人自危。

2011年12月28日，國家工業(yè)和信息化部（下稱工信部）發(fā)表聲明稱，已經(jīng)啟動應(yīng)急預(yù)案。其下屬國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）30日發(fā)布數(shù)據(jù)顯示，截至2011年12月29日，已通過公開渠道獲得疑似泄露數(shù)據(jù)庫26個，涉及賬號、密碼2.78億條。其中具有與網(wǎng)站、論壇相關(guān)聯(lián)信息的數(shù)據(jù)庫有12個，涉及數(shù)據(jù)1.36億條；無法判斷網(wǎng)站、論壇關(guān)聯(lián)性的數(shù)據(jù)庫有14個，涉及數(shù)據(jù)1.42億條。

2012年開年后，中國正式進入“5億網(wǎng)民”時代，網(wǎng)絡(luò)又傳出新浪7000多萬用戶信息可被攻破，網(wǎng)絡(luò)信息安全顯現(xiàn)出前所未有的脆弱。

2012年1月10日晚間，國家互聯(lián)網(wǎng)信息辦（下稱國信辦）就連環(huán)泄密事件所做的情況調(diào)查通報，卻顯得風(fēng)平浪靜。通報披露，近期查處的五起信息泄露事件中，最終確認被黑客入侵并遭泄露者僅CSDN和天涯社區(qū)兩家網(wǎng)站，被入侵均為2009年前的陳年往事；其余數(shù)據(jù)泄露或為公司內(nèi)部職員監(jiān)守自盜，或是“一些人編造或炒作網(wǎng)站用戶信息被大規(guī)模泄露的消息”。

國信辦稱，“其中既有出于個人進行炫耀或騙取錢財?shù)哪康?，也有一些網(wǎng)絡(luò)安全公司銷售人員想以此提高知名度、推銷自己的產(chǎn)品，還有個別人借機企圖干擾和貶損北京等城市正在開展的微博客用戶用真實身份信息注冊工作?！?/p>

1月11日，“泄密門”中第一個登場的CSDN在北京召開媒體發(fā)布會稱，將與阿里云計算有限公司合作，聯(lián)手為開發(fā)者打造一個安全可信的服務(wù)平臺。閃光燈頻照，頻受泄密詰問的CSDN以“受害者”形象出現(xiàn)。其余相關(guān)信息被泄露的網(wǎng)站亦作出類似反應(yīng)。

同日，一位接近工信部通信保障局的人士向《財經(jīng)》記者表示，該部門對泄密事件的調(diào)查工作已經(jīng)“告一段落”。

泄密風(fēng)暴來得迅猛，淡化也快，在這背后，國內(nèi)網(wǎng)絡(luò)信息安全現(xiàn)狀仍然脆弱，這意味著反思不夠卻刻不容緩：黑客產(chǎn)業(yè)鏈如何存在、當(dāng)如何應(yīng)對，用戶信息泄露如何追責(zé)，互聯(lián)網(wǎng)法制建設(shè)仍待健全。

哪些信息丟了：“泄密”實與虛

依據(jù)國信辦2012年1月10日的通告，此次泄密事件中，最終被判定確實發(fā)生了網(wǎng)站、論壇用戶數(shù)據(jù)泄露事件的，僅有CSDN、天涯社區(qū)以及廣東“YY”語音聊天網(wǎng)站三起。其中除后者屬公司員工利用職務(wù)之便監(jiān)守自盜外，前二者皆因2009年以前被黑客入侵致信息泄露。

事件最早披露是在2011年12月4日，黑客“臭小子”（網(wǎng)名）在烏云網(wǎng)上發(fā)帖稱CSDN等網(wǎng)站數(shù)據(jù)密碼被泄露，并公布泄露的數(shù)據(jù)包截圖。

2010年5月上線的烏云網(wǎng)，定位為“自由平等的”漏洞報告平臺，為計算機廠商和安全研究者提供技術(shù)上的各種參考以及漏洞bug的修復(fù)。截至2011年11月，已有接近4000個安全問題得到反饋和處理。

隨后半個多月內(nèi)，事情并未引發(fā)公眾關(guān)注。直到2011年12月21日，金山毒霸產(chǎn)品經(jīng)理韓正奇在微博爆料稱，CSDN網(wǎng)站的安全系統(tǒng)遭到黑客攻擊，包括600萬條用戶名和密碼泄露。一份名為 “CSDN-中文IT社區(qū)-600萬.rar”的文件在網(wǎng)上瘋傳。

四天后，12月25日，一份大小為386M的泄露文件“天涯數(shù)據(jù).kz”讓“泄密門”升級，該文件保存了天涯社區(qū)的用戶名、密碼、郵箱三個數(shù)據(jù)。經(jīng)網(wǎng)友驗證，大部分數(shù)據(jù)可登錄成功。

事后，CSDN與天涯的回應(yīng)時機、措辭如出一轍，均稱被盜并遭泄露的明文密碼數(shù)據(jù)系2009年前的備份數(shù)據(jù)，升級后已采取加密保護措施，但并未對泄露規(guī)模予以確認。兩者亦已在第一時間向當(dāng)?shù)毓簿謭蟀?。不過，有用戶質(zhì)疑，2009年后注冊的賬號也被泄露。

“此次信息泄露并無任何商業(yè)目的?！碧煅氖袌霾抗P(guān)經(jīng)理初蒙向《財經(jīng)》記者表示不解。據(jù)了解，數(shù)據(jù)為何泄露，為何在年底集中爆發(fā)，是公安機關(guān)偵查的重點。CSDN董事長蔣濤則告訴《財經(jīng)》記者，北京市公安局已抓獲涉嫌入侵CSDN的黑客。據(jù)了解，這兩名黑客或為互聯(lián)網(wǎng)公司的技術(shù)人員。

依據(jù)國信辦通報，其他多起網(wǎng)絡(luò)傳播的社交網(wǎng)站及電子商務(wù)網(wǎng)站泄密事件，公眾不必多慮：新浪微博、開心網(wǎng)、7K7K網(wǎng)站、當(dāng)當(dāng)網(wǎng)、凡客誠品等網(wǎng)站均未被入侵，網(wǎng)上公布的上述網(wǎng)站部分賬號密碼系有人利用網(wǎng)絡(luò)遠程大規(guī)模猜測密碼所破解，實施密碼破解的人員身份目前已被鎖定，公安機關(guān)正在實施抓捕。

但與上述說法矛盾的是，在2011年12月28日時，當(dāng)當(dāng)網(wǎng)官方已就“當(dāng)當(dāng)網(wǎng)1200萬用戶信息遭泄露”發(fā)出公告稱，該數(shù)據(jù)系2011年6月之前的老數(shù)據(jù)，是由于之前遭到網(wǎng)絡(luò)黑客攻擊被盜?。?012年1月4日，游俠安全網(wǎng)創(chuàng)始人張百川在其網(wǎng)站上發(fā)布了新浪微博的漏洞：新浪iask站點存在SQL注入漏洞，利用該漏洞可以讀取iask數(shù)據(jù)庫內(nèi)容，并利用該漏洞成功登錄魔術(shù)師劉謙的微博進行驗證。該帖子稱，這涉及到包括明文密碼在內(nèi)的7000多萬新浪用戶信息。新浪iask官方微博對此回應(yīng)，在發(fā)現(xiàn)該漏洞后已立即進行緊急修復(fù)，受影響的賬號在30萬左右。

國信辦通報還稱，犯罪嫌疑人要某（網(wǎng)名“我心飛翔”）入侵京東商城網(wǎng)站后，在烏云網(wǎng)發(fā)帖稱掌握京東商城漏洞，后以公布該安全漏洞要挾京東商城支付270萬元。但要某并未竊取、泄露該網(wǎng)站相關(guān)數(shù)據(jù)，因涉嫌敲詐勒索，現(xiàn)被刑事拘留。

而對于“泄密門”高潮，交通銀行、民生銀行被傳泄露數(shù)以千萬計的用戶信息，及卡號、密碼、姓名的截圖傳播，國信辦表示，這純屬24歲青年王鵬輝（網(wǎng)名“挨踢客”）憑空捏造，是為提高所在網(wǎng)站知名度的自我炒作，公安機關(guān)已對其予以訓(xùn)誡。

通報發(fā)布當(dāng)晚，王鵬輝向《財經(jīng)》記者表達了委屈，他堅持自己并非捏造者，只是從一個IT交流QQ群里看到信息，出于善意提醒發(fā)布到個人網(wǎng)站，并非信息源頭。

此外，包括支付寶賬戶信息在內(nèi)的更多在網(wǎng)絡(luò)流傳的數(shù)據(jù)包問題，國信辦并未提及。

被“忽略”的還包括廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)網(wǎng)上申請數(shù)據(jù)泄露問題：2011年6月24日至12月29日期間，在廣東申請出入境的用戶信息包括真實姓名、出生年月、電話、護照號碼、港澳通行證號碼等在內(nèi)的個人信息遭到泄露。該事件已為廣東省公安廳證實。網(wǎng)友估計泄露總信息量超過444萬條。

令人擔(dān)憂的是，即便如通報所言，僅有CSDN與天涯社區(qū)發(fā)生大規(guī)模數(shù)據(jù)泄露，這些賬號信息也會對用戶關(guān)聯(lián)賬戶產(chǎn)生巨大危害，并為惡意黑客用做建設(shè)密碼破解數(shù)據(jù)庫。

有網(wǎng)民由此認為：“CSDN明文儲存密碼，不是技術(shù)問題，而是道德問題?！?/p>

“整個事件最不可思議的地方在于，像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站，居然采用明文存儲密碼。”專業(yè)IT博客“月光博客”撰文表示，“稍微懂一點編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫里保存用戶密碼的加密信息，最簡單的MD5（密碼+隨機字符串），一般類似UCenter這樣的論壇還會將這個信息再MD5一次，這樣黑客即使下載了數(shù)據(jù)庫，破解用戶密碼也不是一件容易的事情?！?/p>

對此質(zhì)疑，CSDN與天涯社區(qū)的官方回應(yīng)表示，早就放棄明文密碼這種不負責(zé)任的存儲方式，所泄露部分只是網(wǎng)站早期賬號密碼數(shù)據(jù)庫，因歷史原因并未及時清理。

蔣濤承認，過去安全意識薄弱：“從來沒想過在安全上要做一些什么樣的工作?！彼貞洠缭?005年，CSDN與國外一家公司談投資合作，對方的第一個問題就讓他大吃一驚，“你的數(shù)據(jù)是怎么保存的，誰能獲得它？”

“因為自認為CSDN是以論壇用戶為主的社區(qū)，數(shù)據(jù)并不屬于敏感數(shù)據(jù)，技術(shù)網(wǎng)站可能也沒有太多商業(yè)利益給黑客挖掘?！笔Y濤解釋。

用戶信息泄露后，CSDN請杭州安恒信息技術(shù)有限公司對其進行安全審計，結(jié)果表明主要有四方面問題：第三方系統(tǒng)漏洞；已停用的老系統(tǒng)；應(yīng)用程序漏洞；系統(tǒng)后臺認證。蔣濤對此表示，“我們有100臺服務(wù)器，但是只有三名運維人員?！?/p>

竊密者為什么：“黑產(chǎn)業(yè)”演進

在網(wǎng)絡(luò)安全圈內(nèi)，CSDN和天涯網(wǎng)站被“拖庫”的消息早有流傳?！耙荒昵熬吐犝f過了?！睆埌俅ǜ嬖V《財經(jīng)》記者。

“拖庫”在業(yè)內(nèi)被戲稱為“脫褲”，即黑客入侵有價值的網(wǎng)絡(luò)社區(qū)，把會員資料數(shù)據(jù)庫全部盜走，之后再利用這些數(shù)據(jù)庫信息，或開展定點攻擊，或利用用戶在不同網(wǎng)站通用一套賬號和密碼的特點來“撞庫”，擴大戰(zhàn)果。

“拖庫”成功后，可以直接將數(shù)據(jù)整庫出售，如賣給被“脫褲”網(wǎng)站的競爭對手，也可以按照數(shù)據(jù)所蘊含的價值進行“洗庫”，即將各種含有虛擬貨幣、游戲裝備和QQ號等賬戶洗出來，直接或間接變現(xiàn)，幾番“洗庫”之后，數(shù)據(jù)庫還能賣給產(chǎn)業(yè)鏈的下游——利用賬號信息來發(fā)送廣告、垃圾短信和垃圾郵件的推銷公司。

其時，網(wǎng)絡(luò)信息地下黑色產(chǎn)業(yè)鏈的兩大牟利手段“掛馬”和“釣魚”正發(fā)生著截然相反的變化。

所謂“掛馬”，是指不法分子在網(wǎng)頁中嵌入惡意代碼，當(dāng)用戶訪問這些網(wǎng)頁時，會自動下載、激活木馬程序，變成受控的“肉雞”，通過彈出廣告、推廣流氓軟件等方式為遠程控制者賺錢；而“釣魚”則是不法分子模仿銀行、購物網(wǎng)站、炒股網(wǎng)站、彩票網(wǎng)站等建立網(wǎng)站，將釣魚網(wǎng)站和線下詐騙廣泛結(jié)合，使得詐騙者的犯罪成本急劇下降，跨地區(qū)、甚至跨國性犯罪呈上升趨勢。

根據(jù)瑞星互聯(lián)網(wǎng)安全報告，2011年上半年截獲的“掛馬”網(wǎng)站總數(shù)目為236萬個，比上年同期下降了91.2%，這也是連續(xù)第二年以90%以上的幅度下降。原因在于，“掛馬”受到各大網(wǎng)絡(luò)安全公司嚴重打擊，免費殺毒軟件在個人終端的普及程度也大幅上升，這種網(wǎng)絡(luò)攻擊手段越來越無利可圖。

與之相反，網(wǎng)絡(luò)“釣魚”的危害程度達到新高，2011年上半年瑞星截獲釣魚網(wǎng)站218萬個，逾1億零53萬人次網(wǎng)民遭釣魚網(wǎng)站侵襲。按照此類詐騙的平均金額計算，造成直接經(jīng)濟損失至少在百億元以上。

與此同時，“拖庫”作為一種網(wǎng)絡(luò)犯罪形式日漸流行。在國際上，“拖庫”已造成多起重大網(wǎng)絡(luò)安全事件。例如2011年4月開始，索尼旗下的多個網(wǎng)站陸續(xù)被黑客攻陷，約1億用戶個人信息被黑客盜走，該事件導(dǎo)致索尼的直接經(jīng)濟損失超過千萬美元，對其聲譽和業(yè)務(wù)的影響更是巨大。

一位不愿具名的某“網(wǎng)絡(luò)安全俱樂部”組織者透露，在國外一些需要熟人推薦才能加入的地下站點，論壇里會列出求購的網(wǎng)站及相應(yīng)懸賞報價?！霸诤诳脱壑?，庫不在大，而在于精?！痹摻M織者對《財經(jīng)》記者稱，曾有個非常小眾的國外站點——一個高爾夫球俱樂部社區(qū)，“整個庫的數(shù)據(jù)量也就幾百M，卻賣到了100多萬元人民幣”。

實際上，“很多人不敢去深度開發(fā)，將數(shù)據(jù)庫轉(zhuǎn)手賣掉是最好的獲利方式?！庇蝹b安全網(wǎng)創(chuàng)始人張百川說。

根據(jù)自2011年9月1日起生效的最高法院、最高檢察院《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》，獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的賬號、口令、密碼、數(shù)字證書等信息十組以上；獲取其他如賬號、口令等身份認證信息500組以上；非法控制計算機信息系統(tǒng)20臺以上；違法所得5000元以上或者造成經(jīng)濟損失1萬元以上，即可判處三年以下有期徒刑等刑罰。如達到上述標(biāo)準的5倍以上，可處三年以上七年以下有期徒刑。

在紐約證券交易所一家美國上市公司就職的一位企業(yè)架構(gòu)師分析，黑客憑借自身網(wǎng)絡(luò)技術(shù)，找一份體面的工作并不難，大部分人不會去實施犯罪行為，而是游走在邊緣地帶。從理論上說，黑客的入侵行為都會在網(wǎng)站日志里留下痕跡，一旦犯事，這些蛛絲馬跡就會成為破案線索。

然而，數(shù)據(jù)庫所蘊藏的價值極具誘惑，部分黑客依然會實施深度發(fā)掘，只不過會主動控制風(fēng)險。該企業(yè)架構(gòu)師透露，最常見的手法是嚴格執(zhí)行對被盜賬戶的小額操作——即使單個賬戶中的虛擬貨幣很多，也只轉(zhuǎn)出一部分，讓賬戶主人很難察覺；即使被發(fā)現(xiàn)，由于每個孤立的竊取行為被控制在立案標(biāo)準以外，賬戶主人也難以申訴。而且，要立案必然涉及跨地域問題，大大增加了追查成本。

這樣，盡管對每個賬戶攫取的價值不高，但匯集起來就是一個很大的規(guī)模。

你安全嗎：信息安全家底

安天實驗室首席架構(gòu)師肖新光（網(wǎng)名江?？停└嬖V《財經(jīng)》記者，攻擊者在此前較長的時間里，獲取了大量資源，應(yīng)是這次泄密事件的前提。而后期的心理跟隨效應(yīng)、一些廠商各有初衷的推動、一些假庫和假消息各懷目的的傳播，起到了推波助瀾的效果，這些影響也會慢慢消散。

然而，“攻擊者群體手中還有更多的庫是完全有可能的”。肖新光說。

北京神州綠盟信息安全科技股份有限公司（下稱綠盟科技）一位網(wǎng)絡(luò)安全專家甚至稱，“幾乎所有國內(nèi)互聯(lián)網(wǎng)大站都出現(xiàn)過大批量的信息泄露問題”，只是礙于聲譽不愿公開。

多位網(wǎng)絡(luò)安全專家向《財經(jīng)》記者表示，目前國內(nèi)網(wǎng)站安全整體現(xiàn)狀不容樂觀。

這背后的原因，首先是安全意識淡薄。1月6日，在中國計算機學(xué)會青年計算機科技論壇上，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副總工程師杜躍進指出，國內(nèi)很多網(wǎng)站都是“編程好了就完了，口令寫在程序里面，直接在電信運營企業(yè)那里跑”，很少有人重視代碼安全。

此外，國內(nèi)網(wǎng)站在信息安全方面的資金投入嚴重不足，中國的安全市場占全球的比例僅為個位數(shù)，安全投入在信息系統(tǒng)建設(shè)投入中的比例，與先進國家有太大差距。根據(jù)國際數(shù)據(jù)公司（IDC）數(shù)據(jù)，2010年全球信息安全市場的總額達到1188億美元，同期中國信息安全市場的規(guī)模僅為12.48億美元。IDC對12個國家2850家公司開展的一項調(diào)查結(jié)果顯示，目前國外信息安全投入占整體IT信息投入的比例為14.5%，但在中國這一數(shù)字僅為6.5%。

本已捉襟見肘的信息安全投入，還面臨著貧富不均的尷尬。在肖新光看來，“如果沒有對安全價值的共識，安全廠商一般很難和網(wǎng)站形成很緊密的合作。”互聯(lián)網(wǎng)巨頭建立了較大的安全運維團隊，甚至?xí)桶踩珡S商爭搶人才；但在多數(shù)中小型網(wǎng)站，安全投入普遍很低，甚至沒有獨立的安全人員。此外，網(wǎng)站應(yīng)用比較復(fù)雜，編程人員安全編碼能力較差，也是很普遍的現(xiàn)象。

360網(wǎng)站安全檢測平臺的數(shù)據(jù)顯示，目前國內(nèi)約83%的網(wǎng)站存在各種安全漏洞，其中34%為高危漏洞。這些漏洞導(dǎo)致最嚴重的后果就是用戶數(shù)據(jù)庫泄露。

不過，如果采取了適當(dāng)?shù)募用芊绞?，即使被“拖庫”也不等于密碼泄露，當(dāng)“拖庫”與不正確的加密方式同時發(fā)生時，才會導(dǎo)致密碼泄露。

此次泄密風(fēng)波中，最讓公眾震驚的是交通銀行等金融機構(gòu)數(shù)據(jù)泄露的網(wǎng)絡(luò)傳言。北京宇信易誠科技有限公司網(wǎng)銀產(chǎn)品部副總經(jīng)理梁強認為：“對網(wǎng)銀用戶，傳言造成的主要是心理上的影響?！?/p>

與其他互聯(lián)網(wǎng)服務(wù)將用戶體驗放在第一位不同，網(wǎng)銀和第三方支付平臺如支付寶等，在網(wǎng)站架構(gòu)時就把安全性放在首位，寧可犧牲一些用戶體驗。

網(wǎng)銀系統(tǒng)的安全保障大致來自三個方面。在客戶端，通過增加專用密碼輸入鍵盤、U盾等措施，降低安全風(fēng)險。

而在通信網(wǎng)絡(luò)上，目前所有網(wǎng)銀都是使用HTTPS通道。與網(wǎng)絡(luò)常用的HTTP通道的直觀區(qū)別在于，網(wǎng)絡(luò)地址欄的開頭顯示為“https://”，而非“http://”。它相當(dāng)于在HTTP通道構(gòu)建了一個秘密安全通道，保證了用戶與銀行終端間信息傳輸?shù)陌踩?，提高侵入難度。

為什么大多數(shù)網(wǎng)絡(luò)社區(qū)不用這種更安全的傳輸方式呢？一個最關(guān)鍵的問題是成本的增加，如購買設(shè)備、后期維護及證書等，證書還要數(shù)年更換一次。同時，這也不利于有關(guān)機構(gòu)對網(wǎng)絡(luò)信息的監(jiān)管。

功夫下得最多的還是在銀行的服務(wù)器端，包括網(wǎng)絡(luò)架構(gòu)安全、系統(tǒng)設(shè)計安全、Web應(yīng)用安全、數(shù)據(jù)安全等方面，都有遠勝普通網(wǎng)站的嚴格規(guī)范。僅以防火墻為例，一般網(wǎng)銀系統(tǒng)至少設(shè)置三道防火墻，且在采購時，一定會選擇不是同一家同一型號的產(chǎn)品。

據(jù)梁強所知，在業(yè)內(nèi)，網(wǎng)銀安全事件曾有發(fā)生，但整體比例很小?！岸鄶?shù)原因是內(nèi)部的管理疏忽和內(nèi)部程序邏輯等，外部攻擊的案例極少；直接攻破服務(wù)器的案例，則幾乎沒有?！?/p>

2010年1月28日，中國人民銀行發(fā)布《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》，對網(wǎng)銀業(yè)務(wù)的發(fā)展提出了更多具體的保障要求，如明確規(guī)定禁止僅使用文件證書或文件證書加靜態(tài)密碼的方式進行轉(zhuǎn)賬類操作；強調(diào)客戶端的安全性；對硬件數(shù)字證書的應(yīng)用提出規(guī)范要求；交易機制的規(guī)范化基于客戶計算機終端不安全的假定；關(guān)注Web應(yīng)用安全等。

梁強認為，對普通用戶來說，過分擔(dān)心網(wǎng)銀和支付寶的安全問題意義不大，更應(yīng)該注意的是，將在網(wǎng)銀使用的用戶名和密碼與在普通論壇、網(wǎng)站使用的加以嚴格區(qū)分。

實際上，多位受訪專家均表示，此次泄露出的數(shù)據(jù)，受傷最重的是網(wǎng)民的隱私。一個直接的后果就是，你可能會接到更多的垃圾郵件、垃圾廣告和推銷電話。

泄密的成本：無奈的用戶

黑客入侵的刑事案件進展備受關(guān)注。據(jù)國信辦披露，截至目前，公安機關(guān)此次已查處入侵、竊取、倒賣數(shù)據(jù)案件九起，編造并炒作信息泄露案件三起，刑事拘留四人，予以治安處罰八人。

在現(xiàn)有法律框架內(nèi)，《刑法修正案（七）》規(guī)定，“違反國家規(guī)定，侵入計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金”，并增加了出售公民個人信息、非法提供公民個人信息以及非法獲取公民個人信息等三項罪名。

“信息泄露要制源頭，要打‘老虎’，而不是打‘蒼蠅’?！敝袊鐣茖W(xué)院法學(xué)研究所研究員周漢華表示。

為何“蒼蠅”難打？廣東佛山網(wǎng)監(jiān)支隊一位警察向《財經(jīng)》記者解釋，黑客操作會被記錄在被入侵方服務(wù)器日志上，網(wǎng)警通過電信部門查看路由日志查找入侵者IP地址。但很多時候，黑客往往幾經(jīng)兜轉(zhuǎn)，連到國外服務(wù)器上去了，給其查找工作帶來困難。

CSDN等網(wǎng)絡(luò)服務(wù)提供者，既是黑客入侵受害者，對用戶而言，也是密碼泄露責(zé)任者之一，用戶能否追責(zé)？在國外，2011年4月索尼PlayStation游戲網(wǎng)絡(luò)遭黑客入侵事件中，索尼PS3和音樂、動畫云服務(wù)網(wǎng)絡(luò)Qriocity用戶登錄的個人信息被竊取，包括姓名、住址、生日、登錄名和密碼等，受影響用戶多達7700萬人，涉及57個國家和地區(qū)。之后一個月內(nèi)，美國各級聯(lián)邦法院就收到至少40起集團訴訟，指控索尼未能充分保護玩家個人數(shù)據(jù)和信用卡信息。

這類案件通常遵循統(tǒng)一的模式：用戶隱私信息被泄露引發(fā)大規(guī)模訴訟，企業(yè)為了維護信譽支付巨額賠償金。最終索尼正式道歉并對用戶做出補償。2004年，日本雅虎約有460萬用戶的個人信息外露，日本雅虎向每位用戶“賠償”6美元購物券。

中國網(wǎng)絡(luò)法律網(wǎng)首席法律顧問趙占領(lǐng)認為，國內(nèi)用戶也可以依據(jù)侵權(quán)責(zé)任法和民法，起訴泄密網(wǎng)站；但最大的操作難點在于，用戶如何證明自己曾注冊該網(wǎng)站，且擁有被泄露的賬戶信息；經(jīng)濟損失界定亦是難點。

接近工信部通信保障局的人士向《財經(jīng)》記者表示，目前并沒有計劃也缺乏明文依據(jù)對此次泄密的網(wǎng)站做出懲罰。

上述接近工信部通信保障局的人士稱，下一階段的工作重點是，依據(jù)工信部2009年12月發(fā)布的《通信網(wǎng)絡(luò)安全防護管理辦法》（下稱11號令）通知各企業(yè)加強網(wǎng)絡(luò)信息安全保障。

11號令是目前監(jiān)管部門針對網(wǎng)絡(luò)安全問題的主要處理依據(jù)，根據(jù)各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利益的危害程度，由低到高劃分為五級，實行分級管理。

杜躍進向《財經(jīng)》記者解釋，自11號令實施以來，依照定級結(jié)果，工信部對通信行業(yè)網(wǎng)絡(luò)單元展開了大量的安全評測和檢查工作。2011年8月又啟動了包括網(wǎng)站、論壇等在內(nèi)的增值電信業(yè)務(wù)的安全防護試點工作。

“本次用戶數(shù)據(jù)泄露事件后，工信部加快了這方面的工作，目前已經(jīng)完成了對一些試點網(wǎng)站業(yè)務(wù)的定級工作，下一步就需要進一步完善標(biāo)準和實施安全評估、符合性評測以及安全檢查等工作了?！笔Y濤向記者表示，CSDN正在申請第二級等級保護。

網(wǎng)絡(luò)“裸奔”隱憂：法制待健全

“網(wǎng)站的安全是不可信任的，無論是國內(nèi)的還是國外的，你只能盡量控制信息的源頭，一旦流出去了就基本脫離了你的控制?！本G盟科技上述網(wǎng)絡(luò)安全專家說。

用戶名、密碼及其他用戶信息，是網(wǎng)站最大的價值所在。前述企業(yè)架構(gòu)師說，做網(wǎng)站安全體系架構(gòu)時，有一個重要原則，“永遠不要保存無法保證安全的數(shù)據(jù)”。

在這方面，韓國推行了四年有余的網(wǎng)絡(luò)實名制面臨尷尬。

2007年7月，韓國正式開始實施網(wǎng)絡(luò)實名制，成為世界上當(dāng)時唯一實行這一監(jiān)管政策的國家。該政策最初要求，每天訪問人數(shù)超過30萬的35家主要網(wǎng)站實行真實姓名和身份證號注冊，網(wǎng)民只有通過網(wǎng)站的身份驗證后才能進行留言。從2009年4月起，這項制度進一步擴大，每天訪問人數(shù)超過10萬的153家主要網(wǎng)站亦被劃入。

但是，隨著時間的推移，網(wǎng)民個人信息遭泄露的情況時有發(fā)生。2011年7月，韓國SK通訊公司承認，旗下門戶網(wǎng)站Nate和社交網(wǎng)站Cyworld被黑客攻擊，不計算兩家網(wǎng)站的用戶重合部分，被盜取信息的用戶數(shù)達3500萬，而韓國總?cè)丝跀?shù)為4900萬。由于實行實名制，被盜取的用戶信息非常詳盡，包括電話號碼、身份證號、生日、電子郵箱地址，甚至血型。

在向韓國總統(tǒng)李明博提交的2012年業(yè)務(wù)計劃中，韓國互聯(lián)網(wǎng)監(jiān)管機構(gòu)廣播通信委員會提出了有關(guān)重新檢討網(wǎng)絡(luò)實名制的方案。韓國部分媒體認為，雖然該方案是“重新檢討”，但事實上更側(cè)重于取消這一制度。

“泄密門”發(fā)生后一周內(nèi)，2011年12月29日，工信部發(fā)布調(diào)研一年之久的《互聯(lián)網(wǎng)信息服務(wù)市場秩序管理若干規(guī)定》，以部門規(guī)章的形式強調(diào)“互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)妥善保管用戶個人信息”。

《財經(jīng)》記者獲得的一份由工信部信息安全協(xié)調(diào)司指導(dǎo)、全國信息安全標(biāo)準化技術(shù)委員會秘書處組織起草的《信息安全技術(shù)信息系統(tǒng)個人信息保護指南》（送審稿）中，對上述“妥善保管義務(wù)”作出解讀，即“保護個人信息不為處理目的之外的任何個人或機構(gòu)所知，采取門禁、數(shù)據(jù)加密、數(shù)據(jù)完整性檢驗等方式防止對個人信息處理場所和個人信息存儲介質(zhì)的未授權(quán)訪問、損害和干擾”。

該指南何時最終出臺尚未可知，而且，“這只是一個推薦實施的國家標(biāo)準，違反了也沒有后果”。周漢華并不樂觀。

工信部電信研究院法律專家蔡雄山指出，在國內(nèi)立法上，對個人數(shù)據(jù)控制者未盡妥善保管義務(wù)的法律后果規(guī)定得并不完善，懲罰力度也不夠。

關(guān)于個人信息保護條款散見于《刑法修正案（七）》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等法律法規(guī)中；在監(jiān)管機關(guān)層面，國內(nèi)也缺乏明確的專職的個人信息保護機構(gòu)，而以歐盟為例，27個成員國每個國家都有一個專門的信息保護機構(gòu)。

據(jù)了解，《個人信息保護法》的立法工作在2003年曾一度啟動，如今仍處于擱置中。

在網(wǎng)絡(luò)信息安全監(jiān)管層面，中國已有相關(guān)法律規(guī)范有百余部，除去《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等專門立法外，還散見于《憲法》、《刑法》、《國家安全法》、《保守國家秘密法》、《治安管理處罰法》等中。承擔(dān)信息安全監(jiān)管工作的工信部、公安部、國家保密局以及國家密碼管理局等都曾發(fā)布部門規(guī)章或相關(guān)規(guī)范性文件；而國家食品藥品監(jiān)督管理局、衛(wèi)生部、銀監(jiān)會、證監(jiān)會以及鐵道部等也曾就各自主管領(lǐng)域發(fā)布規(guī)章文件。

現(xiàn)狀是，法律規(guī)定分散交叉、立法層級不高，缺乏一部專門的綜合性信息安全法律來規(guī)范網(wǎng)絡(luò)行為，明確用戶、企業(yè)等相關(guān)方面責(zé)任義務(wù)的法律。

2010年，工信部曾力推《信息安全條例》的出臺，條例報送稿中對信息網(wǎng)絡(luò)環(huán)境下法律主體的權(quán)利、義務(wù)，各種危害網(wǎng)絡(luò)與信息系統(tǒng)安全行為等內(nèi)容作出規(guī)定，迄今也并無新的消息。