自从2011年面世以来,12306网站就始终处于舆论的风口浪尖。什么“逢假必瘫”、“一票难求”、“假名购票”都能和它扯上关系。近日来,又和“信息泄露”黏在一起。很多网友大呼:“年轻可以任性,可也不能如此不省心啊!”虽说以前也和信息泄露传出绯闻,可那毕竟是轻描淡写,而这次却非同小可。据悉,此次12306网站遭遇泄露的账户数量达13万之多。用户账号、明文密码、身份证、邮箱等信息在互联网公开“裸奔”,很多旅客无奈“躺着中枪”。
无疑,12306网站已是大众心中的“眼中钉、肉中刺”,当然第三方抢票软件也难逃牵连之罪。不过,我现在倒是想提醒大家:“吐槽之际勿忘思考!”12306这名网络售票员确实存在很多缺点,但是为何一而再,再而三的暴露问题呢?究其本质,要归咎于我国的信息安全建设与网络发展速度不对称。从目前网络信息安全现状来看,不得不承认我国网络信息安全建设之路任重而道远。
网络服务商:重视利益 轻视安全
自2011年开始,我国的信息安全问题日益凸显,其明显的标志就是网络泄密事件频频发生。从CSDN 600万用户资料和天涯4000万个人信息泄露,到搜狗浏览器存在安全漏洞、腾讯7000多万个QQ群被晒于网上,再到如今的12306旅客信息大规模外泄,似乎信息外泄早已成为常态。此外,细数近几年的泄露风波,几乎所有的网络服务商都难逃噩运,如支付宝、当当网、京东等电子商务网站,开心网、人人网、珍爱网、百合网等知名社交网站曾经都被黑客光顾。
网络如此不堪一击,黑客当真是所向披靡,雄霸天下吗?网络专家指出,网络安全不仅是技术问题,更是意识问题。这一论断实在是一语破的,切中了网络安全的要害。从互联网属性来看,所有网站都会存在漏洞。其实,这一点并不可怕,可怕的是网络运营者轻视安全部署。据权威调查数据显示,国内绝对部分互联网企业将大部分资金用于竞争和业务发展,在安全部署的投入都达不到1%。这点可怜的安全投入注定网站“裸奔”的命运。试想,这么容易攻破的壁垒,黑客不来袭击岂不怪哉!相比技术问题,网络服务商只顾眼前利益,不做安全打算,才是泄密事件频频发生的重要诱因。
近期,美国恶名昭著的黑客组织“Lizard Squad”于圣诞节对微软Xbox Live和索尼PlayStation Network发动了攻击。Lizard Squad宣称,他们的目的非常简单,就是想通过此事证明微软和索尼无力保护用户信息,迫使他们各自升级安全技术,重视信息安全部署防范。此次Lizard Squad破坏行动更像是代表用户发出的一种声讨:互联网企业应该将保护用户信息安全作为己任,一旦轻视最终将失去信任,得不偿失。
网民:缺少教育 意识淡薄
随着互联网由PC端到移动端的转变发展,我国已经成为网民大国,网络生活已经触及各类人群和各种领域。以“三频”(电视、电脑、手机)儿童为例,足以证明互联网对我国居民生活的影响根深蒂固。然而,与互联网普及应用相比,互联网安全意识教育却尚不完善。目前,我国尚未建立信息安全教育体系,致使网民对互联网安全缺少正确认识:一是认为只要电脑、手机等互联网设备中安装杀毒软件就能万无一失;二是认为网络安全事不关己,黑客的攻击对象主要是国家和企业;三是对互联网互通互联的基本属性常识缺乏了解,这点集中体现在多数网民一个密码通行多家网站的做法,这种陋习在一定程度上提高了黑客攻破效率。从这点来看,网络信息安全教育和培训亟待提上日程。
黑色产业链:早已成形 不易攻破
在互联网大数据时代,信息就是资源。对于大多数互联网企业来说,掌握用户数据就如同打开了发展之门。众多互联网企业利用数据,判断分析用户行为,从而进行更具针对性的营销。这点,我们多数人应该深有体会。很多网站或者商家定期会打着服务的旗号进行信息推送,最终实现销售目的。目前,个人信息挖掘早已形成一条产业链,产业链分成了几个群体,共同支撑起了黑客帝国。据了解,黑色产业链中卖方、中间商、买方分工明确,流程清晰。卖方一般是技术人员和销售人员,或是工具制造者,他们最前接触用户信息,但是不会直接兜售,而是转交给中间商;中间商将信息归类筛选,有针对性地传输给房地产中介、广告公司、电商等企业;一般经过至少三个中间商,用户信息最终落入买方手中。可见,这条黑色产业链已经趋于成熟,并且懂得如何规避法律风险。据安全领域人士透露,这条黑色产业链一年收入可高达上百亿元。有利益就会有刺激,有刺激就会有行动。如此一来,攻陷黑客帝国绝非易事。
国家:法治迟缓 漏洞明显
自从“棱镜门”事发后,我国政府对网络信息安全空前重视。2014年2月,国家成立了以习近平主席为小组组长的“国家网络安全与信息化领导小组”;如今又对win8说不、对赛门铁克有问题产品实行“禁用”,足以证明国家对信息安全防控绝不手软。尽管如此,我国信息安全法制步伐却实则缓慢,在法律实践上,也确实存在明显漏洞。譬如,2009年的《刑法修正案(七)》虽设相关罪名,但在公民个人信息范围多大、何谓“情节严重”等关键问题上的规定相当粗略。此外,“情节严重的,处三年以下有期徒刑或者拘役”的规定,亦有偏轻之嫌,难以形成刚性约束力。只有网络安全法与网络发展实际准确同步对接,才能有力维护网络信息安全。
总而言之,网络信息安全之路任重而道远,既不能脱离实际,也不能急于求成,唯有蹄疾步稳,网站、网民、国家形成合力方能治标治本。
===============================================
央广国际连线嘉宾,江苏电视台财经评论嘉宾,反锤联盟发起人,微博号@互联网分析师于斌,微信个人号117821818,公众号jrxwzx、qiaozhong1206,欢迎交流互动。