2011年是不平靜的一年，在年底曝出的知名網(wǎng)站CSDN的用戶信息泄露事件更成為網(wǎng)絡(luò)安全領(lǐng)域的最大IT新聞，大約600萬名用戶的注冊信息和密碼等資料在互聯(lián)網(wǎng)上被公開并被瘋狂轉(zhuǎn)發(fā)下載。而事情尚未平息，相繼又有其他知名網(wǎng)站同樣陷入“泄密門”風(fēng)波，比如天涯社區(qū)和新浪微博等互聯(lián)網(wǎng)服務(wù)商，其包含千萬級用戶信息的文件也出現(xiàn)在互聯(lián)網(wǎng)。一時間，所有網(wǎng)站風(fēng)聲鶴唳、人人自危，大家紛紛猜測接下來是不是會有更多的服務(wù)商卷入這次用戶密碼泄露事件。

      實際上，“泄密門”的受害者不僅僅局限在中國的互聯(lián)網(wǎng)企業(yè)。他的范圍波及海外及其他各行業(yè)。例如2011年4月，日本索尼公司已經(jīng)發(fā)生過類似的用戶信息泄露事件，約有超過1億個索尼娛樂服務(wù)的客戶資料和1200萬個沒有加密的信用卡號碼被泄露。再有就是最近披露的廣東出入境管理局用戶資料泄露的安全事故。有來自第三方機構(gòu)的調(diào)查顯示，2011年全球互聯(lián)網(wǎng)共發(fā)生了超過230多次的大規(guī)模用戶信息泄露事件。再有用戶私人信息的丟失不僅會給用戶的生活造成很大的困擾，更可怕的是由此帶來的經(jīng)濟利益方面的損失。

      對此，作為在安全領(lǐng)域耕耘多年并擁有深厚積累的廠商，H3C認為這幾次黑客攻擊行為采取的技術(shù)手段本身并不復(fù)雜，仍然屬于安全漏洞及各種0day漏洞的惡意利用，但是其將千萬級的互聯(lián)網(wǎng)用戶卷入到事件當(dāng)中，從而給社會和廣大互聯(lián)網(wǎng)用戶的個人信息安全造成了很大的困擾和威脅。通過對這次的“泄密門”進行反思，可以發(fā)現(xiàn)造成這種狀況的原因主要有以下幾點：

      首先是互聯(lián)網(wǎng)服務(wù)商缺乏安全風(fēng)險意識，關(guān)鍵服務(wù)器的安全防護不成體系，以往的同類事件發(fā)生后并沒有引發(fā)足夠的重視；其次是用戶信息存放方式不夠安全，例如CSDN核心數(shù)據(jù)庫用戶信息采用了明文存儲方式，是引發(fā)“泄露門”的關(guān)鍵；再則就是許多網(wǎng)站的內(nèi)部員工安全管理監(jiān)控不嚴，導(dǎo)致出現(xiàn)“內(nèi)鬼”；另外互聯(lián)網(wǎng)用戶不安全的上網(wǎng)行為，也會引發(fā)嚴重后果。用戶使用簡單密碼簡單，在不同網(wǎng)站ID、密碼統(tǒng)統(tǒng)一樣，一旦密碼泄露就會牽一發(fā)動全身。

      “泄密門”事件，給我們所有人敲響了警鐘。那對于我們來說應(yīng)該如何改進才能消除“泄密門”威脅呢？在長期的研發(fā)和實踐中，H3C針對網(wǎng)絡(luò)安全防御研發(fā)并建立了完備的產(chǎn)品線和解決方案。就當(dāng)前的“泄密門”事件的解決和防御辦法，H3C的安全產(chǎn)品線總工李彥賓認為可以從下面幾個方面著手。

      第一是要建立完善的信息安全防御體系，這也是互聯(lián)網(wǎng)服務(wù)商提升安全防御水平的關(guān)鍵。一方面，需要在企業(yè)互聯(lián)網(wǎng)的入口部署成熟的硬件防火墻網(wǎng)關(guān)，實現(xiàn)對網(wǎng)絡(luò)層用戶訪問的隔離和控制，允許合法的用戶訪問并拒絕不符合安全策略的非法入侵。并針對關(guān)鍵的服務(wù)器區(qū)域，部署專業(yè)的硬件IPS入侵防御設(shè)備，抵御應(yīng)用層攻擊，包括CSDN這種針對數(shù)據(jù)庫漏洞的應(yīng)用層攻擊。H3C Internet 出口安全綜合解決方案提供專業(yè)、高效的防火墻和IPS等設(shè)備來構(gòu)建L2-7層立體防護體系，在對外應(yīng)用服務(wù)器前端建立起第一道堅實的安全防線。

Internet出口綜合解決方案

      另一方面，服務(wù)商本身也需要對數(shù)據(jù)的存儲安全進行考慮；包括用戶關(guān)鍵數(shù)據(jù)的結(jié)構(gòu)分類、數(shù)據(jù)的加密存儲模式、數(shù)據(jù)的容災(zāi)備份及數(shù)據(jù)的安全查詢等進行綜合考慮；只有這樣才能從技術(shù)層面最大限度的保證用戶的數(shù)據(jù)安全。

      第二是要加強用戶數(shù)據(jù)在公司內(nèi)部的安全監(jiān)管，加強對關(guān)鍵數(shù)據(jù)庫訪問的認證、授權(quán)和審計制度。在技術(shù)方面，對于需要訪問數(shù)據(jù)庫的管理員進行嚴格的用戶認證，加強對數(shù)據(jù)庫文件的訪問權(quán)限控制，并對于訪問過數(shù)據(jù)庫的管理員行為進行詳細的日志記錄。在制度方面，需要在公司內(nèi)部建立嚴格的安全管理規(guī)章制度，確保員工在雙重約束下對用戶數(shù)據(jù)的安全保護。H3C內(nèi)網(wǎng)控制安全解決方案，從員工接入內(nèi)網(wǎng)，到訪問應(yīng)用、再到內(nèi)網(wǎng)出口，所有的信息交互可控、可視、可查、可審，達到內(nèi)部信息數(shù)據(jù)安全監(jiān)管的效果。

H3C內(nèi)網(wǎng)控制解決方案

      第三，養(yǎng)成良好的上網(wǎng)行為習(xí)慣，避免安全風(fēng)險是每個互聯(lián)網(wǎng)用戶都要遵循的原則。不使用同樣的賬號和密碼在不同網(wǎng)站進行注冊登錄，使用高強度的密碼組合，不定期的更改密碼，在有條件的情況下，網(wǎng)上支付交易可以在專門的電腦進行。這樣才能防患于未然，確保互聯(lián)網(wǎng)沖浪安全。

      我們確信，三大措施的實施和完善能有效的降低用戶的“泄密”風(fēng)險，但網(wǎng)絡(luò)中安全隱患的滋生及黑客的侵襲是永遠不會消失的。它是IT建設(shè)者無法回避的挑戰(zhàn)和責(zé)任，希望這次“泄密門事件”能為我們每個IT建設(shè)者敲響警鐘。