互联网安全投入不足1% 网民掀起“改密码”运动

　　企业问责

　　提供互联网服务的公司无论免费，还是付费，在法律上都有责任保护用户信息

　　此次暴露出来的CSDN、天涯等网站的用户信息都采用“明文密码”的方式编写。黑客可以轻而易举地攻击网站，拿到用户数据，而“明文密码”根本用不着破解，用户名和密码可以直接读取出来。

　　“明文方式是极不负责任的做法，企业应该对用户负全责。。”知名IT律师赵占领认为，如果企业对密码进行加密，并设有防火墙，在黑客进行攻击时给予了“抵抗”。如果做到了这些，才算尽到了基本的责任。

　　不仅如此，“这些企业没有采取有效的补救措施。”赵占领说，修改密码、取回账户的措施还是用户自己来做的。

　　本报记者采访了10多位密码被泄露的用户，有的“改密码改到手软”;有的冻结了网银，以及一切有过网上交易的银行卡、信用卡;有的“处变不惊”，逢人便说：“改密码有何用，改了还会泄露”;有的更是掷出豪言，“哥我不改了，裸奔就裸奔吧”。

　　据记者了解，泄露的网站主要通过站内信、公告、邮箱等方式来通知用户。但公告通知的范围有限，活跃用户会看到公告，但是不活跃的用户，甚至连自己的用户名与密码都忘记了。

　　对于已经是“公开库”的CSDN与天涯来说，由于用户名与密码已经泄露，会使得许多邮箱无故被盗，往邮箱里发邮件，真正的收件人是黑客，或者好事者。

　　CSDN总裁蒋涛坦承，泄露之后，补救工作不容易。信息泄露后，他立刻找到网易、QQ、263、新浪等邮件服务商进行邮箱通知，争取让真正的用户能够收到修改密码的通知。

　　马杰告诉记者，机器无法识别登录的用户是被盗用户，还是黑客。虽然可以通过访问行为的对比，来判断这个用户是不是之前那个用户，以此来追踪可疑的行为，但操作起来费时费力、可行性不大。

　　在法律上，网站的密码是被黑客窃取，虽然企业不必担负刑事责任，但也需要担负民事责任，或者受到行政处罚。”赵占领指出，用户只需要证明自己的用户名与密码被盗，并且还是网站的过错，就能够进行民事诉讼，即便密码泄露没有造成经济损失。

　　但有的用户觉得自己使用的是“免费”产品，从道德上，没有理由将这些网站对簿公堂。有的网站甚至在“注册协议”中更是借用“免费”的旗号，将一些基本的法律义务推脱干净。

　　“免费也是一种‘服务合同’关系，QQ、MSN是‘授权使用’的关系，在法律上都存在合约。”赵占领指出，提供互联网服务的公司无论免费，还是付费，在法律上都有责任保护用户信息。

　　但现实是，绝大多数网民都自认倒霉，无意维权。“用户往往损失了几十元，但如果要维权，则需要花费几百元，甚至上千元的成本。”赵占领说，这其中还不包括时间成本。

　　目前，欧美、日本对个人隐私的立法比较完备。无论是“被动”，还是“主动”，一旦网站泄漏了用户信息，网站将面临重额的经济处罚。

　　2011年4月，索尼PS3有7700万用户信息遭窃，后来索尼正式道歉并对用户做出补偿。有预计称，索尼将赔偿245亿美元。

　　2004年，日本雅虎约有460万用户的个人信息外漏，日本雅虎向每位用户“赔偿”6美元的购物券，这才息事宁人。

　　“安全厂商应该加强对员工的管理。”马杰告诉记者，一般，安全公司与员工签订合约时都有个协议，保证在任职期间，不从事任何有违反公众安全的事情，不从事黑客的行为。

　　安全支出不足1%

　　“国内公司在安全上的投入的确比较少。”一位在国内知名互联网公司负责安全的技术总监坦承。

　　从论坛、BBS到SNS、电商，各个网站对安全的IT支出都很少。在给本报的书面回复中，天涯相关负责人透露，天涯的安全支出是100万。京东、当当、多玩、CSDN等公司都对自己的安全支出讳莫如深。

　　据一家券商TMT研究部门的调研数据，目前中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%，欧美的比例是8%~10%。而国内，对安全性要求比较高的金融行业，其安全支出在整个IT支出中占到10%。

　　互联网行业的安全投入“囊中羞涩”，甚至无法跟上业务的发展步伐。据一位行业人士透露，目前大型B2C购物网站每年的安全投入不过几百万，有的甚至只有几十万。但实际上，这些公司每年的安全运维投入需要达到千万元级别，小一点的网站也需要几百万。

　　一位互联网安全工程师告诉记者：“大多数互联网网站通过外部的扫描工具就可以发现有明显的漏洞。”他戏谑道，百度这样的网站都被“黑”过，其他网站自然是惨不忍睹。

　　来自360的报告也印证了这一点。360网站安全检测平台的分析显示，“国内83%以上的网站存在各种安全漏洞，大部分网站基础防护能力薄弱;国内中小型网站普遍没有专职的安全工程师维护，光靠服务器配置防火墙和入侵检测设备，无法有效防御黑客的入侵。”

　　“目前，只有腾讯、阿里、百度有10位专职安全工程师，安全防护能力较强。其他的互联网上市公司也只有3位~5位专职工程师，有的甚至没有。”前文所述的互联网工程师告诉记者，在互联网企业有5位安全工程师，都算是豪华阵容，相当奢侈。

　　具体来看，“目前，国内只有几家网站有中高级别的专业安全防护能力、只有浏览量在前100的网站有自己专业的初级安全、运维人员，前1000的网站有安全产品或服务的采购，大部分网站都没有专业的安全团队。”这位互联网安全工程师说道。

　　“不少网站有着侥幸心理。”一位安全企业技术总监告诉记者，IT技术人才基本集中在IT圈，IT圈觉得自己不去攻击别的行业就不错了，根本没想过自己会被攻击。

　　出于这样自信的“潜意识”，在规模快速扩张的直接驱动下，网站往往将IT支出放在系统扩容上，在电商类网站尤其如此。在IT支出的硬件、软件、服务/人员三项中，目前，绝大部分支出还集中于硬件，其他两项支出比较少，有的甚至比例更低。

　　从另一方面来看，建立自己的安全运维团队，需要很大的投入，这也让互联网公司望而却步。马杰告诉记者，企业级的安全防护设备价格高，一台设备一般需要几十万，甚至几百万。并且，这些网站需要闲置出90%的资源，才能保证峰值时能够访问正常。为此投入的金钱就像个“无底洞”。此外，维护的费用支出也相当高，这其中主要人力成本，一般一位工程师年薪需要十几万元到二十万元不等，一个网站至少需要3位专业安全工程师。

　　“互联网公司对自身的安全内部结构认识有缺陷。”马杰认为，安全最基本的原则应该是假设网站被黑，黑客侵入进来，那么如何控制受损的范围。网站也应知道，哪一个区域不能放明文，而应该放到与网站服务器之外，进行物理隔离。但实际上，不少网站做安全并没有从“这个假设”出发。

　　“现在，很多网站的运维工程师也做着一部分初级安全维护的事情，但远远不够。”马杰认为，安全与运维并不相同。安全是动态的，面对的不是正常的访问、攻击、资料的窃取等活动。而运维的目的是保证服务器能够被正常访问。许多互联网公司将运维人员当作安全人员来使用，孰不知，安全需要专业团队。

　　IT支出“薄如蝉翼”，使得网站的安全性大打折扣，这才让用户信息的大规模泄漏成为可能。

　　“这一次互联网公司可以侥幸逃过，未来则不一定。”赵占领告诉记者，目前，工业和信息化部正在起草个人信息保护条例，未来从法律、法规上来保护用户的权利。事发之后，政府还可以进行行政处罚。

　　2011年12月28日，工业和信息化部发布通告称，用户信息泄露事件严重侵害了互联网用户的合法权益，危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时，要求各互联网站要开展全面的安全自查。

[编辑：蜗牛朵朵]