信息系統(tǒng)實施須經(jīng)獨立第三方“滾動式”信息安全認(rèn)證評級,獨立第三方根據(jù)當(dāng)時系統(tǒng)信息安全狀況通過及時調(diào)整互聯(lián)網(wǎng)企業(yè)系統(tǒng)信息安全級別來提醒用戶警惕信息安全,提醒互聯(lián)網(wǎng)企業(yè)及時注意和防御可能存在的風(fēng)險,讓互聯(lián)網(wǎng)企業(yè)及時了解自己的信息系統(tǒng)的安全邊界,同時這也迫使互聯(lián)網(wǎng)企業(yè)“自覺”對系統(tǒng)進行漏洞修復(fù)和防御技術(shù)的升級換代。
每一年的年末都會有一些我們意想不到的事情發(fā)生,2011年末也不例外:
系統(tǒng)用戶信息泄漏事件
2011年被業(yè)界喻為中國的內(nèi)網(wǎng)安全建設(shè)年,國家針對分級保護、密鑰管理和電子認(rèn)證系統(tǒng)建設(shè)出臺了系列政策。然而,就在2011年最后一個月的21日,自國內(nèi)最大的開發(fā)者社區(qū)CSDN網(wǎng)站600萬用戶個人信息遭泄露后,天涯、開心網(wǎng)、珍愛網(wǎng)、走秀網(wǎng)、多玩、178、人人網(wǎng)、佳品網(wǎng)、當(dāng)當(dāng)網(wǎng)和支付寶等眾多網(wǎng)站相繼“淪陷”,均被曝出用戶信息遭到泄露消息。有消息稱,天涯社區(qū)4000萬用戶密碼遭泄露,當(dāng)當(dāng)網(wǎng)1200萬全字段用戶資料遭到泄露,支付寶泄漏總量甚至達到1500-2500萬, 相關(guān)數(shù)據(jù)已經(jīng)在黑市上流通,而這些數(shù)據(jù)正在被用于網(wǎng)絡(luò)營銷。這場被稱為“史上最大規(guī)模”的用戶信息泄露事件波及網(wǎng)站越來越多,信息安全危機愈演愈烈。我們的個人信息在信息高速公路上開始了不知什么時候才能停下來的裸奔……業(yè)內(nèi)人士預(yù)計泄露網(wǎng)站數(shù)據(jù)庫的行為可能會引發(fā)連鎖效應(yīng),更多網(wǎng)站的數(shù)據(jù)會被黑客放出。
工信部及時介入此事
工信部及時介入此事,發(fā)布通告強烈譴責(zé)竊取和泄露用戶信息的行為,并要求企業(yè)嚴(yán)防漏洞。工信部要求,發(fā)生用戶信息泄露的網(wǎng)站,要盡快通過網(wǎng)站公告、電子郵件、電話、短信等方式向用戶發(fā)出警示,提醒用戶修改在本網(wǎng)站或其它網(wǎng)站使用的相同用戶名和密碼。未發(fā)生用戶信息泄露的網(wǎng)站,必要時應(yīng)提醒用戶修改密碼。工信部同時要求互聯(lián)網(wǎng)站要開展全面的安全自查,及時發(fā)現(xiàn)和修復(fù)安全漏洞。加強系統(tǒng)安全防護,落實相關(guān)網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn),提高系統(tǒng)防入侵、防竊取、防攻擊能力。要采用加密方式存儲用戶信息,保障用戶信息安全。一旦發(fā)生網(wǎng)絡(luò)安全事件,要在開展應(yīng)急處置的同時,按照規(guī)定向互聯(lián)網(wǎng)行業(yè)主管部門及時報告。相關(guān)改密碼的信息在各大門戶網(wǎng)站貼出,上億網(wǎng)民在網(wǎng)上“積極”地開展了一次改密運動。
自覺環(huán)境下誰來把關(guān)系統(tǒng)信息安全?
我們深入地思考一下,此次各大互聯(lián)網(wǎng)企業(yè)用戶信息泄露問題出在哪里?是網(wǎng)絡(luò)黑客太強還是我們所用的系統(tǒng)安全堡壘太脆弱?法律法規(guī)、管理體制、技術(shù)手段等是保障信息安全的關(guān)鍵因素。據(jù)法律專家趙占領(lǐng)向媒體透露,關(guān)于個人信息保護的首個國家標(biāo)準(zhǔn)仍在制定階段。而現(xiàn)階段,網(wǎng)絡(luò)漏洞的監(jiān)控與管理仍需靠互聯(lián)網(wǎng)企業(yè)的自覺。但他同時表示,《中華人民共和國侵權(quán)責(zé)任法》中明確保護公民的隱私權(quán),《刑法》也規(guī)定了泄露個人信息可能要承擔(dān)刑事責(zé)任,用戶可以通過民事、刑事途徑維權(quán),但關(guān)鍵是證據(jù)比較難收集。《新京報》評論認(rèn)為,要想解決用戶個人信息問題,最重要的還是完善相關(guān)法規(guī),明確各方保護互聯(lián)網(wǎng)個人信息的責(zé)任。用法律逼迫網(wǎng)站安全技術(shù)升級,同時也應(yīng)讓那些不負(fù)責(zé)任的網(wǎng)站,依法受到懲罰。國家對互聯(lián)網(wǎng)企業(yè)在保存用戶信息上也沒有明文規(guī)定必須應(yīng)用密文,更沒有設(shè)定用戶信息保存加密算法的的最低標(biāo)準(zhǔn)。通常來講,對于用戶的個人信息互聯(lián)網(wǎng)企業(yè)應(yīng)該采用加密方式保存用戶密碼等關(guān)鍵數(shù)據(jù),采用嚴(yán)格、多重的用戶注冊和登錄認(rèn)證規(guī)則,甚至啟用強制性動態(tài)密碼技術(shù)機制等來保障用戶信息安全。網(wǎng)絡(luò)信息安全的首要任務(wù)是積極防御,盡可能的從源頭上遏制網(wǎng)絡(luò)用戶信息的泄漏,這就要求互聯(lián)網(wǎng)企業(yè)要提高網(wǎng)絡(luò)系統(tǒng)的安全防御能力。信息安全保障體系是實施信息安全保障的法制、組織管理和技術(shù)等層面有機結(jié)合的整體,是信息社會國家安全的基本組成部分,是保證國家信息化順利進行的基礎(chǔ)。在我國對于信息系統(tǒng)安全技術(shù)的升級在現(xiàn)階段也只是靠互聯(lián)網(wǎng)企業(yè)的自覺升級,應(yīng)用軟件或操作系統(tǒng)設(shè)計時的缺陷或編碼時產(chǎn)生的錯誤以及業(yè)務(wù)在交互處理過程中的設(shè)計缺陷或邏輯流程上的不合理等都會對用戶的信息安全構(gòu)成了很大的威脅。
在系統(tǒng)開發(fā)流程中,有一個環(huán)節(jié)能夠考察出系統(tǒng)的穩(wěn)定性和安全性能等,那就是系統(tǒng)測評認(rèn)證。在正規(guī)合理的系統(tǒng)開發(fā)流程中,系統(tǒng)開發(fā)完成之后嚴(yán)格來說必須經(jīng)過測評認(rèn)證之后系統(tǒng)才能投入實施和使用。信息系統(tǒng)的測試結(jié)構(gòu)必須經(jīng)由被認(rèn)可的獨立第三方的實驗室來執(zhí)行測試。但目前在法律不健全的情況下,缺少強制性的系統(tǒng)信息安全強制測評認(rèn)證,互聯(lián)網(wǎng)企業(yè)為了降低系統(tǒng)開發(fā)成本,很多信息系統(tǒng)在軟件公司開發(fā)完成后交給委托方之前,委托方基于企業(yè)成本的考慮很少會請專業(yè)的獨立第三方來對信息系統(tǒng)的安全性進行測評認(rèn)證,就直接將委托開發(fā)的信息系統(tǒng)投入使用。
另外,用戶在使用互聯(lián)網(wǎng)企業(yè)提供的信息系統(tǒng)服務(wù)時,用戶與互聯(lián)網(wǎng)企業(yè)之間存在著信息不對稱,對于用戶所登錄的網(wǎng)站和所使用的客戶端軟件以及其他服務(wù)等的系統(tǒng)信息安全性,用戶很難知道其安全性有多高,這給系統(tǒng)用戶的信息安全帶來很大的威脅。
信息系統(tǒng)實施須經(jīng)獨立第三方“滾動式”信息安全認(rèn)證評級
我國國家質(zhì)檢總局、財政部、認(rèn)監(jiān)委早在2009年就發(fā)布《關(guān)于調(diào)整信息安全產(chǎn)品強制性認(rèn)證實施要求的公告》,公告規(guī)定,我國從 2010年5月1日起正式對包括邊界安全、通信安全、身份鑒別與訪問控制、數(shù)據(jù)安全、基礎(chǔ)平臺、內(nèi)容安全、評估審計與監(jiān)控、應(yīng)用安全8類,包括防火墻、網(wǎng)絡(luò)安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數(shù)據(jù)備份與恢復(fù)、安全操作系統(tǒng)、安全數(shù)據(jù)庫系統(tǒng)、反垃圾郵件、入侵檢測系統(tǒng)、網(wǎng)絡(luò)脆弱性掃描、安全審計、網(wǎng)站恢復(fù)等13種信息安全產(chǎn)品在政府采購法規(guī)定的范圍內(nèi)強制實施3C認(rèn)證。客觀地來說,此次互聯(lián)網(wǎng)信息的外泄應(yīng)當(dāng)歸咎于兩方面,一是黑客技術(shù)的迅速趕進,另一方面是互聯(lián)網(wǎng)企業(yè)的信息系統(tǒng)在安全性方面太脆弱。當(dāng)然,隨著信息技術(shù)的升級,黑客技術(shù)也緊追其后,所以這就要求“滾動式”網(wǎng)絡(luò)信息安全認(rèn)證評級,及時發(fā)現(xiàn)互聯(lián)網(wǎng)企業(yè)所用系統(tǒng)的安全隱患,及時給互聯(lián)網(wǎng)企業(yè)所用系統(tǒng)貼上安全等級標(biāo)簽,迫使互聯(lián)網(wǎng)企業(yè)“自覺”對系統(tǒng)進行升級和完善。
同時,由于互聯(lián)網(wǎng)企業(yè)對數(shù)據(jù)防泄密、郵件安全、信息安全服務(wù)、新一代安全網(wǎng)關(guān)等信息安全方面所做的工作,我們用戶幾乎一無所知,后臺的保障對用戶來說就是一個黑箱。網(wǎng)絡(luò)信息安全威脅的不斷更新及變化使傳統(tǒng)產(chǎn)品很難抵御,因此有遠見的互聯(lián)網(wǎng)企業(yè)開始實施站外監(jiān)測最新的威脅,并著手調(diào)整防護技術(shù),從而使信息系統(tǒng)在被感染的初期便能及時執(zhí)行防擴散保護,如切斷相關(guān)通訊以緩解數(shù)據(jù)泄露風(fēng)險。在做好事前防御的同時,也要更多關(guān)注事中控制的方法。這就要求獨立第三方信息安全測評機構(gòu)對互聯(lián)網(wǎng)企業(yè)進行不定期的信息系統(tǒng)外部安全偵查測評,及時調(diào)整互聯(lián)網(wǎng)企業(yè)系統(tǒng)信息安全級別,讓互聯(lián)網(wǎng)企業(yè)及時了解自己的信息系統(tǒng)的安全邊界,注意和防御可能存在的風(fēng)險,及時對系統(tǒng)進行漏洞修復(fù)和升級換代。這也提醒了用戶在使用信息系統(tǒng)過程中根據(jù)系統(tǒng)信息安全級別來警惕可能存在的風(fēng)險。
同時政府需要完善信息安全監(jiān)控防御體系,加強對信息安全事件追查取證及分析定位能力,及時捕獲破壞性的信息源,形成更加全面的安全監(jiān)控防御體系。為互聯(lián)網(wǎng)的健康發(fā)展創(chuàng)造良好的大環(huán)境。給用戶提供更為穩(wěn)固的、全方位的安全保障。
