东软仝磊谈CSDN信息泄漏事件

来源：比特网

2011年底发生的以CSDN为首的众多国内知名互联网用户信息泄露事件引起了公众的极大关注，一时之间，关于网站安全、数据库安全、用户密码设置和安全意识提升等问题的讨论如火如荼。

早在年前，泄漏门事件案犯已经落网，也有国家互联网信息办发言人的澄清和公安局进行的案件调查结果，网民对于信息安全人心惶惶的态势得到了安抚。从时间上来看，泄漏门事件的讨论从2011年12月中旬到2012年1月中旬历时一个月。一个月中，从井喷的舆论效果，到相关部门出台调查结果后舆论迅速冷却，直至因为春节这个事件被彻底遗忘，我们有时候不免感慨舆论风向变化太快。

然而，众多相关的证据显示，网站用户信息安全仍是悬在网民头上的达摩斯之剑，并将因此影响网站的信誉和业务。不加密存储用户信息这样的问题仍然普遍存在。疾病是对身体健康的警报，安全事件也是对企业健康运营的警示，如何从CSDN等网站信息泄漏事件中汲取教训成为我们在事件冷却之后必须进行的工作。

为此比特网采访了东软网络安全资深咨询顾问仝磊，就该问题进行深度解析，帮助用户和企业冷静地思考网站安全的现状，改善这种现状的方法，乃至未来网站安全的走向。

　
1、CSDN等网站的用户信息泄漏事件反映了整个互联网界怎样的现状？其背后有什么样的原因和背景？

仝磊：本次互联网大规模的数据库暴漏事件充分反映出国内各大互联网公司对于信息安全的重视程度不够，从本次数据库泄漏的情况来看，安全意识不足是造成本次事件的主要原因。想起之前曾经在网络上有这么一个话题，信息安全究竟是不是靠三分技术，七分管理来做到，当时大家众说纷纭。而我认为，就目前来说，国内的信息安全依然是要三分技术、七分管理，究其根本造成这种原因的是国内对于信息安全的认识不足、重视不够，往往是在很不起眼的地方造成重大安全事故，如：制度的缺失、流程的不完善、权限分配不合理等方面。

　
2、该事件的发生使更多的人意识到网络安全形势的严峻性，这会给网络安全界带来什么样的变化？是否会意味着2012年会有某些网络安全产品走俏？

仝磊：通过这次安全事件应该能引起互联网公司对网络信息安全的重视，在2012年里，各大公司会陆续加大对信息安全部门的投入。至于产品，网站监控、应用层防护、数据库加密、访问权限控制、审计的安全产品很有可能会比较走俏，可能会有些公司趁机抓住市场，推出相应的产品。

3、目前网站的安全建设投入普遍不高？您是如何看待网站安全这块市场？

仝磊：现在大家对于网站的安全建设，绝大部分依然停留在部署几台传统的安全设备上，至于设备有没有充分的使用、是不是合适，考虑的还不够全面。而对于应用系统的建设重点依然是系统功能的满足性方面，目前严重缺乏安全功能方面的设计。

这次安全事件的发生，尤其是在国家推广网络实名制的大背景下，相信大家的信息安全意识会有极大的提升，这对国内信息安全行业来说是机遇与挑战并存的局面。机遇来自于网站安全市场的需求会在未来的一段时间内激增，对于安全行业来说是个绝好的发展机会。挑战是由于通过此次安全事件后，用户需求会更加明确、更加具备针对性，这对一些竞争力弱的安全公司来说业务开展会更加困难。

4、针对目前的现状和问题，能够从哪些方面改善这些问题？

仝磊：对于互联网公司来说，首先要提高公司内部相关人员的安全意识，充分发挥已有安全设备的作用;其次，要加强应用系统的安全，尽可能的降低被黑客攻破的可能性，可以从增加应用层的防护产品和应用系统本身的安全功能两个方面考虑;再次，加强服务器、数据库的安全，主要是考虑数据库加密存储的问题，确保即使数据库被非授权获取，也能不被黑客获取用户信息;最后要加强管理，防止内部人员泄露信息。

5、是否能为普通的网民提供一定的上网安全方面的建议？

仝磊：对于普通网民来说，属于最无辜、最弱势的一方，唯一的一点就是要设置复杂一点的口令并且经常更换，以期能尽量减少自己的损失。

6、您对互联网企业的网站安全建设有何建议？

仝磊：最关键的还是加强安全意识，建立并执行完善的安全策略，在系统建设过程中就充分考虑网络安全、应用系统自身的安全功能、应用系统开发过程安全、操作系统安全、数据库安全、管理制度等方面，从而有一个可执行且完整的安全策略和安全体系。

7、网络安全公司而言，贵公司是否有相关的产品及解决方案？这些产品和解决方案能够提供什么样的安全服务？

仝磊：关于这次的安全事件所暴露出来的问题，我个人认为很难通过一两个厂家的单一的产品来解决，应该是通过一套完整的解决方案来实现。首先，是监控方面，可以通过网站监控系统及时发现网站异常，提醒运维人员及时响应;其次，可以考虑应用层的安全防护设备，增加黑客入侵的难度;再次，内部可以通过对数据库的加密存储和严格的访问权限控制来加强对数据库的保护，类似的产品有数据库加密软件、管理平台等;最后，要加强内部管理控制，防止信息从内部泄露，如制定严格的管理制度、考虑加强服务器及终端的信息输入输出的管控技术手段等。另外，这次暴库的公司，建议在整改之前应先进行一次完整全面的风险评估，做到对系统存在的风险及问题有一个全面清晰的认识，避免补完东墙补西墙的情况发生。

在上述解决方案中所提到的内容，除了风险评估以外，目前东软可以提供基于云架构的网站监控系统，可以通过远程对网站的运行情况，可用状态，内容更改、挂马等恶意行为进行实时监控，当网站出现网站不可用，内容更改、挂马等异常状况时，该系统能够及时告警，并提供全面详细的数据支持监控人员的技术分析，支持监控人员对网站类安全事件进行处置和跟踪，从而提升监控平台对网站安全事件的可知、可控和可管理能力;另外就是管理平台，对授权人员的业务操作行为进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。