信息系统实施须经独立第三方“滚动式”信息安全认证评级,独立第三方根据当时系统信息安全状况通过及时调整互联网企业系统信息安全级别来提醒用户警惕信息安全,提醒互联网企业及时注意和防御可能存在的风险,让互联网企业及时了解自己的信息系统的安全边界,同时这也迫使互联网企业“自觉”对系统进行漏洞修复和防御技术的升级换代。
每一年的年末都会有一些我们意想不到的事情发生,2011年末也不例外:
系统用户信息泄漏事件
2011年被业界喻为中国的内网安全建设年,国家针对分级保护、密钥管理和电子认证系统建设出台了系列政策。然而,就在2011年最后一个月的21日,自国内最大的开发者社区CSDN网站600万用户个人信息遭泄露后,天涯、开心网、珍爱网、走秀网、多玩、178、人人网、佳品网、当当网和支付宝等众多网站相继“沦陷”,均被曝出用户信息遭到泄露消息。有消息称,天涯社区4000万用户密码遭泄露,当当网1200万全字段用户资料遭到泄露,支付宝泄漏总量甚至达到1500-2500万, 相关数据已经在黑市上流通,而这些数据正在被用于网络营销。这场被称为“史上最大规模”的用户信息泄露事件波及网站越来越多,信息安全危机愈演愈烈。我们的个人信息在信息高速公路上开始了不知什么时候才能停下来的裸奔……业内人士预计泄露网站数据库的行为可能会引发连锁效应,更多网站的数据会被黑客放出。
工信部及时介入此事
工信部及时介入此事,发布通告强烈谴责窃取和泄露用户信息的行为,并要求企业严防漏洞。工信部要求,发生用户信息泄露的网站,要尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其它网站使用的相同用户名和密码。未发生用户信息泄露的网站,必要时应提醒用户修改密码。工信部同时要求互联网站要开展全面的安全自查,及时发现和修复安全漏洞。加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,保障用户信息安全。一旦发生网络安全事件,要在开展应急处置的同时,按照规定向互联网行业主管部门及时报告。相关改密码的信息在各大门户网站贴出,上亿网民在网上“积极”地开展了一次改密运动。
自觉环境下谁来把关系统信息安全?
我们深入地思考一下,此次各大互联网企业用户信息泄露问题出在哪里?是网络黑客太强还是我们所用的系统安全堡垒太脆弱?法律法规、管理体制、技术手段等是保障信息安全的关键因素。据法律专家赵占领向媒体透露,关于个人信息保护的首个国家标准仍在制定阶段。而现阶段,网络漏洞的监控与管理仍需靠互联网企业的自觉。但他同时表示,《中华人民共和国侵权责任法》中明确保护公民的隐私权,《刑法》也规定了泄露个人信息可能要承担刑事责任,用户可以通过民事、刑事途径维权,但关键是证据比较难收集。《新京报》评论认为,要想解决用户个人信息问题,最重要的还是完善相关法规,明确各方保护互联网个人信息的责任。用法律逼迫网站安全技术升级,同时也应让那些不负责任的网站,依法受到惩罚。国家对互联网企业在保存用户信息上也没有明文规定必须应用密文,更没有设定用户信息保存加密算法的的最低标准。通常来讲,对于用户的个人信息互联网企业应该采用加密方式保存用户密码等关键数据,采用严格、多重的用户注册和登录认证规则,甚至启用强制性动态密码技术机制等来保障用户信息安全。网络信息安全的首要任务是积极防御,尽可能的从源头上遏制网络用户信息的泄漏,这就要求互联网企业要提高网络系统的安全防御能力。信息安全保障体系是实施信息安全保障的法制、组织管理和技术等层面有机结合的整体,是信息社会国家安全的基本组成部分,是保证国家信息化顺利进行的基础。在我国对于信息系统安全技术的升级在现阶段也只是靠互联网企业的自觉升级,应用软件或操作系统设计时的缺陷或编码时产生的错误以及业务在交互处理过程中的设计缺陷或逻辑流程上的不合理等都会对用户的信息安全构成了很大的威胁。
在系统开发流程中,有一个环节能够考察出系统的稳定性和安全性能等,那就是系统测评认证。在正规合理的系统开发流程中,系统开发完成之后严格来说必须经过测评认证之后系统才能投入实施和使用。信息系统的测试结构必须经由被认可的独立第三方的实验室来执行测试。但目前在法律不健全的情况下,缺少强制性的系统信息安全强制测评认证,互联网企业为了降低系统开发成本,很多信息系统在软件公司开发完成后交给委托方之前,委托方基于企业成本的考虑很少会请专业的独立第三方来对信息系统的安全性进行测评认证,就直接将委托开发的信息系统投入使用。
另外,用户在使用互联网企业提供的信息系统服务时,用户与互联网企业之间存在着信息不对称,对于用户所登录的网站和所使用的客户端软件以及其他服务等的系统信息安全性,用户很难知道其安全性有多高,这给系统用户的信息安全带来很大的威胁。
信息系统实施须经独立第三方“滚动式”信息安全认证评级
我国国家质检总局、财政部、认监委早在2009年就发布《关于调整信息安全产品强制性认证实施要求的公告》,公告规定,我国从 2010年5月1日起正式对包括边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、应用安全8类,包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复等13种信息安全产品在政府采购法规定的范围内强制实施3C认证。客观地来说,此次互联网信息的外泄应当归咎于两方面,一是黑客技术的迅速赶进,另一方面是互联网企业的信息系统在安全性方面太脆弱。当然,随着信息技术的升级,黑客技术也紧追其后,所以这就要求“滚动式”网络信息安全认证评级,及时发现互联网企业所用系统的安全隐患,及时给互联网企业所用系统贴上安全等级标签,迫使互联网企业“自觉”对系统进行升级和完善。
同时,由于互联网企业对数据防泄密、邮件安全、信息安全服务、新一代安全网关等信息安全方面所做的工作,我们用户几乎一无所知,后台的保障对用户来说就是一个黑箱。网络信息安全威胁的不断更新及变化使传统产品很难抵御,因此有远见的互联网企业开始实施站外监测最新的威胁,并着手调整防护技术,从而使信息系统在被感染的初期便能及时执行防扩散保护,如切断相关通讯以缓解数据泄露风险。在做好事前防御的同时,也要更多关注事中控制的方法。这就要求独立第三方信息安全测评机构对互联网企业进行不定期的信息系统外部安全侦查测评,及时调整互联网企业系统信息安全级别,让互联网企业及时了解自己的信息系统的安全边界,注意和防御可能存在的风险,及时对系统进行漏洞修复和升级换代。这也提醒了用户在使用信息系统过程中根据系统信息安全级别来警惕可能存在的风险。
同时政府需要完善信息安全监控防御体系,加强对信息安全事件追查取证及分析定位能力,及时捕获破坏性的信息源,形成更加全面的安全监控防御体系。为互联网的健康发展创造良好的大环境。给用户提供更为稳固的、全方位的安全保障。