密碼泄露門持續(xù)發(fā)酵 黑客盜信息成本低是禍?zhǔn)?

????正逢歲末新初，持續(xù)不斷的網(wǎng)絡(luò)泄密事件震動了中國互聯(lián)網(wǎng)界。從CSDN密碼泄露開始，到天涯、當(dāng)當(dāng)、京東、卓越等很多網(wǎng)站都不能幸免于難，其中數(shù)千萬用戶密碼遭泄露。

????在“3W咖啡”與鳳凰網(wǎng)科技合作的“網(wǎng)絡(luò)泄露門”沙龍上，相關(guān)專家認(rèn)為，此次大規(guī)模密碼泄露，暴露出目前我國安全領(lǐng)域存在的問題：國內(nèi)企業(yè)安全意識差，以致黑客盜取密碼成本低。此外，國內(nèi)相關(guān)法律法規(guī)的欠缺，也在一定程度上阻礙了企業(yè)安全意識的提高。

????黑客盜取信息成本很低

????此次密碼泄露事件，規(guī)模如此之大前所未有，而受害用戶達(dá)千萬，這充分暴露出我國互聯(lián)網(wǎng)企業(yè)安全意識非常薄弱，而表現(xiàn)出來就是在網(wǎng)絡(luò)安全上投入很少，給了黑客可乘之機(jī)，黑客只要用很低的“攻擊”成本就可以大量獲得非法利益。

????“如果一個網(wǎng)站在安全上投入10元，那么黑客可能需要100塊錢去‘破解’，如果投入1萬，那么黑客的成本就是100萬”，網(wǎng)絡(luò)安全公司“知道創(chuàng)宇”創(chuàng)始人趙偉表示，目前國內(nèi)網(wǎng)站就是處于投入“10元”的階段。

????由此可見，受到黑客攻擊的企業(yè)從某方面來說其實是有著不可推卸的責(zé)任，趙偉表示，很多企業(yè)在建立之初，并沒有意識到“安全維護(hù)”這個問題，也沒有給予足夠重視。

????除此之外，此次事件發(fā)生還有兩個因素，一方面是黑客的趨利化，有利益因素在里面，同時，網(wǎng)絡(luò)安全方面的人才匱乏，“黑（黑客）白（安全領(lǐng)域）兩道”的人才博弈也是密碼泄露的原因。騰訊桌面安全事業(yè)部高級產(chǎn)品經(jīng)理張昕表示。

????張昕進(jìn)一步表示，這就需要網(wǎng)站培養(yǎng)安全意識，同時應(yīng)該聽取安全專家的建議，使網(wǎng)站安全能夠更進(jìn)一步。金山安全反病毒工程師李鐵軍也表示，企業(yè)間也應(yīng)該建立完備的安全標(biāo)準(zhǔn)，從根源上解決安全問題。

????國內(nèi)相關(guān)法律法規(guī)欠缺

????密碼泄露事件，除了暴露出網(wǎng)站安全意識差，黑客盜取信息成本低，也反映出我國互聯(lián)網(wǎng)信息保護(hù)相關(guān)法律法規(guī)并不健全。

????在討論該問題時，張昕、趙偉、李鐵軍等一致認(rèn)為，網(wǎng)站之所以安全意識差，密碼泄露成本低，也正是和國內(nèi)個人信息保護(hù)相關(guān)立法欠缺有關(guān)。在國外，如果用戶的信息被盜，那么相關(guān)網(wǎng)站要承擔(dān)更多的責(zé)任，用戶可以直接向網(wǎng)站索賠損失。而國內(nèi)則不然，密碼被盜后，相關(guān)網(wǎng)站只是對網(wǎng)民道歉或者提醒修改密碼，法律并沒有對網(wǎng)站泄露密碼的責(zé)任做過多規(guī)定。

????據(jù)了解，目前我國很多法律，比如《刑法（修正案七）》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等都有涉及個人信息法律保護(hù)的內(nèi)容。

????以《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》為例，其中第二十一條規(guī)定，未建立安全保護(hù)管理制度的；未采取安全技術(shù)保護(hù)措施的；未對網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)的……由公安機(jī)關(guān)責(zé)令限期改正，給予警告，有違法所得的，沒收違法所得；……；情節(jié)嚴(yán)重的，并可以給予六個月以內(nèi)的停止聯(lián)網(wǎng)、停機(jī)整頓的處罰……但是其中并未提到用戶因網(wǎng)站遭受黑客攻擊密碼泄露，或者用戶因此受到損失，網(wǎng)站應(yīng)該承擔(dān)怎么樣的責(zé)任。

????同時，在我國司法實踐中，也沒有真正由于密碼泄露網(wǎng)站被判罰網(wǎng)站相關(guān)案例，工信部電信研究院法律專家蔡雄山說，我國目前相關(guān)立法中還“存在個人信息內(nèi)涵不清晰、個人信息收集處理程序不完備、 執(zhí)法手段、處罰措施不足等問題?！?/p>

????對此，業(yè)內(nèi)人士呼吁，希望國內(nèi)相關(guān)部門出臺相關(guān)法律法規(guī)，先對互聯(lián)網(wǎng)企業(yè)在安全方面進(jìn)行約束，比如一定要有相關(guān)的基本網(wǎng)絡(luò)安全方案的才可以注冊，或者一旦用戶因信息泄密而造成利益損失時，被泄密的互聯(lián)網(wǎng)企業(yè)要擔(dān)責(zé)，直接對用戶進(jìn)行賠付等，希望通過法規(guī)要求，從根本上讓互聯(lián)網(wǎng)企業(yè)能夠重視起網(wǎng)絡(luò)安全，從而使整個行業(yè)的安全水準(zhǔn)有很大的提高。

????小貼士：

????1、應(yīng)每隔一段時間就定時更換所有密碼。同時，不要在多個網(wǎng)站使用同一密碼，

????2、在網(wǎng)上注冊的時候應(yīng)盡可能少地透露自己的個人資料，包括電話、住址等

????3、設(shè)置網(wǎng)站密碼時，應(yīng)至少在8位以上，數(shù)字、字母和特殊符號混合，加強密碼強度。