蒋涛：CSDN对敏感信息不敏感 缺乏安全意识

　　中广网北京3月21日消息 据经济之声《天下公司》报道，近日，曾引发业界关注的CSDN网站用户数据泄密案宣告破获。北京警方对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄露事件做出行政警告处罚，这是国内自落实信息安全等级保护制度以来开出的第一张“罚单”。

　　不少互联网企业都存在安全隐患

　　据悉，经过细致的调查走访工作，专案组最终锁定一条关键线索，曾于2010年9月发帖自曝掌握CSDN数据库，要求与公司进行合作的一名用户进入到专案组视野，并于今年2月4日在浙江温州将嫌疑人曾某抓获。经初步审查，该男子对利用CSDN网站漏洞，非法侵入服务器获取用户数据的犯罪事实供认不讳。曾某还交代了曾经入侵过某充值平台及某股票系统的犯罪事实。

　　事件发生后，警方对CSDN网站开展了调查，发现其未落实国家信息安全等级保护制度，安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。警方向CSDN网运营公司提出了具体整改要求，并依据相关规定，对北京创新乐知信息技术有限公司作出行政警告处罚。

　　CSDN创立于1999年，是中国最大的中文IT知识服务集团。目前，网站拥有2000万注册用户、50万注册企业及合作伙伴，日访问量约2000万次。去年12月，大面积的互联网用户恐慌正是由于CSDN的安全系统遭到黑客攻击，CSDN数据库中的600万用户的登录名及密码泄露。随后，天涯社区、世纪佳缘、开心网等十余家国内知名网站近5000万用户的信息在网上被黑客公布。

　　一时间，消息真假难辨，互联网上人人自危。国家互联网应急中心数据统计称，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条。

　　杭州安恒信息技术公司给CSDN提供的审计报告显示，由于CSDN网站开源系统等第三方系统存在第三方系统漏洞、已停用的老系统、应用程序漏洞、系统后台认证等四大问题，使其网站存在安全风险，泄露了大量信息。

　　CSDN创始人蒋涛曾坦言，“CSDN对敏感信息不敏感，也缺乏安全意识。”在CSDN拥有不到100台服务器，注册信息只包括邮箱和密码的情况下，他一度认为，这些注册信息并不具备太强的隐私性，也不会引起黑客的兴趣。

　　10年前的漏洞，至今未修补

　　不止CSDN一家有这样的问题。由于对安全的不重视，不少急速发展的互联网企业在不经意间为自己埋下了安全隐患的种子。据蒋涛介绍，目前，整个互联网的安全现状极不乐观：70%以上的加密算法密码库都可以通过高频碰撞破解，80%以上的互联网公司都存在漏洞，60%以上有安全策略的公司还存在着漏洞。安全工程师张震宝表示，有些网站甚至10年前的安全漏洞至今依然存在，没有引起足够重视。

　　张震宝：根据我们检测发现，现在中国的网站有52%是存在漏洞的，而且有些漏洞可能存在了十年，十年前已经就被曝光出来的漏洞，现在依然没去修复，不重视安全问题。另外，因为这种漏洞是随时可能发生的，并不是说这次打了补丁就能一劳永逸，而是要不断更新安全措施。只要你网站重视了自身的数据安全问题，才是对用户最大的保障。

　　张震宝透露，就连CSDN当时最为人诟病的明文保存密码的不安全模式，至今仍然在被一些网站使用。

　　张震宝：比方说前阵子有一家猎头网站，用户反馈说注册之后，忘了密码要找回，网站直接给他回了一封含他密码的邮件，意味着网站肯定是明文保存了他的密码。这种明文存储密码的情况，可能在很多网站上还是存在的。

　　网站安全检测平台对随机抽取的93233个国内网站分析发现，存在高危漏洞的网站比例达36%，存在中危漏洞的网站则有16%，两者合计比例高达52%，国内网站安全防护能力仍有待完善。

　　今年1月，CSDN和阿里云结成战略合作关系，共同打造安全可信的开发者服务平台。当时蒋涛反思称，“如何让开发者信任CSDN，如何提高开发者的安全技能，如何为开发者创造价值，这是CSDN安全事件之后反思的主题。”

　　对于这一系列事件的教训，虽然网络安全工程师认为主要问题都是出在网络平台上，但还是建议网络运营公司和普通用户充分重视网络信息安全。

　　张震宝：要有专业的安全团队来维护网站的安全，要关注这种行业里面的动态信息，比如业界新出现了什么网站的漏洞等等。用户最重要的是，密码要分级管理，重要的帐号和密码要单独设置，别都用相同的密码。另外，重要的帐号，密码一定要定期更换。

　　互联网的用户信息安全问题得到应有的重视么?除了罚单，有没有更好的规范办法来防范和杜绝?经济之声评论员李光昱表示，

　　李光昱：我觉得防范的办法就是你不去登陆。我们注册的时候都要点一个“我同意”，那有个协议，其实没几个人看，但我认真的看了，那个本来就是一个完全不平等的条约，即使你所有的信息在他那丢失，也不是他的责任。所以，我只好尽量少去网站注册，或者不去拿真名注册。

　　至于罚款，我觉得起诉他的话，因为我们没有惩罚性的赔偿，你起诉他，首先你要证明你到底有什么样的损失，比如你就丢了一个用户名和密码，这种损失很难构成你的起诉标的。