全景网
全景网
互联网漏洞波及两亿网民 信息“防火墙”亟待提升
来源:通信信息报 发布时间:2014年04月16日 14:12 作者:田超

  本报记者  田超

  随着互联网的迅猛发展,近年来,恶意获取、非法倒卖、失职外泄个人信息等损害消费者合法权益的事件时有发生,近日曝出的互联网安全漏洞——“心脏出血”更是影响到了数亿用户的信息安全。频繁出现威胁民众个人信息数据的事件,给各网站、安全厂商,尤其是广大网民敲响了警钟。保护个人信息安全非一方之责,不管是小到一个网站、一个用户层面,还是国家立法层面,都应担起责任,切实参与其中。

  “心脏出血”震荡互联网

  本月8日,互联网安全协议OpenSSL被曝存在一个重大安全漏洞。在黑客社区,该漏洞被命名为“心脏出血”,以表明网络上出现了“致命内伤”。黑客可以利用该漏洞获取约30%的以https开头的网站的用户登录账号密码,其中包括购物、网银、社交、门户等各类型的网站。

  由于很多用户的隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。360安全专家表示,此漏洞为本年度互联网上最严重的安全漏洞,中国估计有超过3万台主机受波及,影响至少两亿中国网民。更有消息称,“心脏出血”这一漏洞不仅会影响网站安全,甚至连手机APP也难逃厄运。有50%的手机APP使用的是https安全传输协议,用户登录此类APP时与直接登录网站无异,都会受到“心脏出血”的威胁。

  “心脏出血”漏洞最大的危害是黑客获得用户的信息后并不着急发起攻击,用户和网站本身也不知道自己的资料泄露,而这一旦爆发,就将是连锁性大规模的安全事件。尽管目前我国较大的银行网站、电商及支付网站、门户网站等网民经常使用的知名网站都已修复了该漏洞,但仍有部分网站尚未修复,风险并未消除。360安全专家认为,OpenSSL漏洞的危害远远超乎人们的想象,其后遗症也将持续很长一段时间。

  互联网漏洞危害不可小觑

  “心脏出血”造成的巨大问题并不能由用户自己解决,很多网站的服务器被攻击,即便用户做好了自身的防范工作,黑客也会直接从网站服务器上获取用户的账户和密码。漏洞曝出后,各大网站与安全厂商都彻夜难眠,全力修复该漏洞,消除其对网站、网民的损害。

  尽管各大网站、安全厂商对此次漏洞反应迅速,及时进行了修复,但受此影响最大的一个群体——广大网民的表现却令人颇为惊讶。部分网民对此次漏洞事件却并不知晓,相当多的人还没有意识到这样的一个漏洞,即便是听到相关消息,也是对此一知半解。更有部分网民尽管知道了漏洞事件,却表现得极为“冷静”,表示这种事情自己也无能为力,毫不重视,甚至采取无所谓、放任自流的态度。但用户的这种心态只能给网络黑客、不法之徒制造机会,最终损害的还是网民自身的利益。

  就目前看来,该漏洞确实已被很多黑客利用。网络安全领域相关人士透露,由于OpenSSL漏洞的出现,在8日、9日地下交易市场中,各种兜售非法数据的交易显得异常火爆。如此景象,更应给各大网站尤其是广大网民敲响警钟。业内人士指出,一般来说利用漏洞获取用户信息对技术的要求越高,用户和企业受到影响也越小。但此次涉及的漏洞有两个特点,一是其涉及的都是最重要的用户信息,容易导致财产的损失;二是对技术的要求比较低,可利用性非常好,因此危机一瞬间就在世界范围内引爆。

  OpenSSL虽然出现了纰漏,但这并不代表SSL全球的安全协议标准出现漏洞,我们也不能因噎废食。不管是相关网站还是安全厂商,尤其是广大网民,应对此抱有足够的重视,切实做好防范工作。

  信息安全谁来守护?

  中国互联网络信息中心1月份发布的《第33次中国互联网络发展状况调查统计报告》显示,截至2013年12月,中国网民规模达6.18亿。互联网给我们的生活带来巨大便利的同时,也带来新的巨大的不安全感。近年来频频出现的互联网安全漏洞、用户信息泄露事件等,都给互联网的使用蒙上了一层又一层的阴影。这也将信息安全提到了民众极为关注的议题上。

  首先,对于网站及其运营者来说,不应过度搜集用户信息,特别是在用户不知情的情况下,将用户隐私信息长期保存在商业网站中,这对用户的信息存在极大的安全隐患。此外,应加强对网站的运作自查自检,及时更新或是提供预警信息或安全补丁下载。安全厂商也应参与其中,提升自身防卫技术以应对各种网络安全突发事件,以防为主,而不是亡羊补牢。

  其次,对于受影响最大的广大网民来讲,平时在上网过程中要有意识地加强个人信息保护。不要浏览不正规网站,适时更新防病毒软件,安装使用正版软件,设置软件正当权限;更不要随意登记身份信息,不轻易填写个人详细资料;分级管理个人密码,密码设置务求多变。值得注意的是,目前,一些不法人员借无线上网设备自动连接该网络之机,轻松窃取消费者个人信息。消费者如在公共场所不需要使用WiFi网络,应关闭无线数据功能。在使用个人电脑上网时,也不要轻易让陌生人远程操作自己的电脑。此外,还应定期访问第三方漏洞发布平台,了解哪些电商出现过密码疑似泄露情况,以便及时修改自己的账号密码。

  最后,应加强个人信息保护立法。目前,我国还没有专门针对个人信息数据保护的相关立法,这就让随意搜集使用个人信息的行为钻了法律的空子,也给网络黑客和不法之徒提供了可乘之机,也无法对网站及其运营者起到监督和敦促的作用。尽管,全国人大常委会出台了《关于加强网络电子信息保护的决定》,最高人民法院也出台了网络侵权司法解释等,但面对日新月异的互联网,相关法律法规亟待进一步完善,对于网络对黑客及买卖网民个人信息的不法分子应保持高压打击势态,切实保障民众的个人信息安全。