● 在CSDN这次的事件中，对网站维护者而言，只有合理的对网络进行加固，以及定期邀请信誉高的技术团队对网站进行渗透测试，才可以有效保障用户数据的安全。 对用户使用密码而言，不要轻易相信你的密码是被安全存储的，并且选择一个自己记得舒服的最长密码。

● 从企业安全防护的角度来说，大多数人依靠每月或每周打打安全补丁，或大规模架设安全设备，以及登录安全工具网站下载安全工具，但往往却忽略了个人的安全意识。安全设备和工具的使用不复杂，复杂的是如何辨别社会工程学中人与人之间的信任。对此，也希望广大企业中的安全管理人员可以通过CSDN这个事件多多提高自身的安全意识，因为个人安全意识是抵御黑客攻击的最后一道防线。

更多    

● 一般情况下，网站数据库泄露是服务器被黑客入侵造成的，例如网站程序或服务器系统存在漏洞，就可能被黑客在服务器植入脚本后门，从而窃取用户数据库文件(安全术语为"拖库")。

● "拖库"是近几年来地下黑客产业非常流行的攻击方式，此前已有大批知名网站被"拖库"的传言，但一直没有被公开证实。

● 对于网站管理者，应及时修复网站和服务器系统漏洞，最大程度做好安全防护;同时，对用户数据库应采取加密保护措施。即便数据库泄露，也能保证用户帐号密码不被黑客破解。对于用户，360安全中心发布三条安全建议：分级管理密码，重要帐号(如常用邮箱、网上支付、聊天帐号等)单独设置密码。

更多    

● 近期出现大规模信息泄露事件，很大程度上说明目前我们国内的互联网公司还存在大量的安全问题。目前网上泄露的用户数据量已经超过5000万，但实际上黑客所掌握的数据量可能不止这些。据我所知，目前流传的部分数据库可能是早些时候已经泄露，只是大规模的公布还是第一次。黑客利用网站服务器的安全漏洞，侵入相关网站，盗取用户数据库等信息。

● 获取这些信息主要有几个方面用途：1. 直接通过获取的信息攻击用户，如盗取用户虚拟资产、恶意操作等;2.通过账户的相关性，攻击同一用户的其他系统;3. 将这些数据出售给竞争对手;4. 向特定用户发送垃圾广告获取利益。而本次泄露的原因可能是由于黑客的炫耀导致。

更多    

● 根据瑞星互联网攻防实验室对整个事件的追踪分析，可以肯定的是，此次出现泄漏事故的厂商，问题都出在服务器端，可能存在漏洞的地方是服务器操作系统、数据库、磁盘备份及论坛程序等，对这些环节的软硬件进行加固处理可以很好的防止再次出现泄漏事故。

● 瑞星安全专家也指出，由于密码泄漏在服务器上，用户在自己电脑上进行的防护几乎失去了意义，只有互联网厂商做好防护之后，才能谈到用户客户端的安全防护。

● 针对目前的形势，瑞星宣布：在未来的1个月内，如有大中型互联网公司怀疑自己的网站有安全问题，瑞星愿意为其提供免费技术援助。

更多    

● 无论是自己设计编写还是使用商业账户管理系统，密码保存不得使用明码，普通的可逆加密也不可靠，最好使用完全不可逆的算法并只保存结果。不可逆算法也可以杜绝内鬼作乱。MD5本来是一个不错的散列算法，但由于MD5库已经非常流行，对大多数常用密码实现解码已经非常容易。建议使用其他可选的算法，或者使用多次MD5或SHA1。

● 对于用密码验证的服务器，应该尽量专机专用，卸载所有不需的应用，封掉除验证和维护以外的所有网络端口，将验证服务器放到内网并增加双防火墙。将黑客入侵的可能性降到最低。

● 建议自己的员工，在公司的各种账户密码使用上，不得与私人账户密码相同。

更多    

● 企业还需要建立全面的信息安全内控体系，信息安全内控体系包括管理制度和技术措施两个方面。要建立专门的信息安全管理制度，层层把关，层层负责，杜绝和减少信息安全漏洞的出现，禁止威胁信息安全的行为发生。技术措施要采用内外兼防的手段，通过购买成熟的信息安全产品和服务，既要能够防止来自互联网的入侵，也要能够防止内部人员从服务系统内部的入侵泄密行为发生，缺一不可。

● 事实上，此外CSDN和天涯泄密事件发生后，陆陆续续暴露了更多真真假假的泄密信息，这些信息有些是从互联网攻击获得的，但也有部分是内部员工或者商业竞争对手从内部网络中获取并泄密出去的，后者造成的威胁损失更大。

更多    

● 纵观这两次泄密事件，发生的根本原因在于企业的意识不够强，信息安全保护不到位所致。据券商TMT研究部门的调研数据，目前，中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%。

● 而这次事件受害用户维权困难也反映了目前法律在个人信息安全保护这一方面的缺失，唯有通过法律的明确规定，企业清楚意识到其义务所在，才能更有力保障个人信息。做好信息安全，需要企业、个人、法律三方共同促进。

● 要最大限度避免此类泄密事件的发生，企业要清楚泄密事件对企业所造成的影响，形成强烈的保护意识，并投入相应的人力物力进行安全防护。做安全有如买保险，不发生事情，不觉得它管用。做好信息安全，需要内外兼修。

更多    

● 许多互联网企业在高度关注用户应用和体验时，忽视了信息安全因素，此次泄密事件就是个例子，足以引起互联网企业的高度重视，特别是一些已经采取实名制的网站，更应慎重思考如何保护用户的敏感信息，保护用户的隐私。

● 对于企业来说，应全面检查自身信息安全防护措施是否完备，不仅限于数据库自身的防护，而应全面考虑应用、主机、网络等各个层次上的防护，并高度关注安全管理：如数据库管理员、系统管理员权限控制、最小授权等。从本次事件来看，并非所有的暴库都是黑客所为，应尽快建立覆盖应用系统生命周期如软件开发、测试、上线、运维、废弃、安全管理等各方面的安全体系。

更多    

● 近年来，全球范围因网站服务器遭黑客攻击导致的隐私泄漏事件屡见不鲜，如在2008年，北美曾爆出某大型超市的网络数据库被入侵导致400万账号泄漏，2011年11月，韩国某网游的官网服务器也被黑客入侵，直接威胁千万玩家的密码安全。

● 据网秦"云安全"监测平台的数据显示，目前仅国内单日截获针对网络服务器的攻击次数便超过3万，伴随攻击事件的一再出现，账号密码安全形势严峻。目前黑客主要会采用利用服务终端漏洞植入木马，或借助其可能存在的系统"后门"实施远程攻击等行为来绕开服务器的安全屏障，而一旦潜入服务器，便会调用联网上传大批量调取数据库信息，在网络管理员未能及时察觉的情况下，可短期获取大量的用户账户和密码信息。

更多    

● 在当今的互联网时代，从获取各种资讯，到评论和发表意见，再到网络购物，似乎所有的事情都可以在各种网络应用上进行。几乎所有的这些应用都用到了最为传统的身份认证方式——"用户名+密码"组合。

● 为了记忆方便，绝大多数人会采用统一账户来管理，一个ID走天下，与之相应的是，密码也使用容易记忆的数字与字母组合。殊不知，在黑客工具面前，这些密码根本就不堪一击。

● 在很多企业中，也大量存在着弱密码，为黑客发动攻击提供了可乘之机。定期使用专业的安全工具进行密码检查应该纳入企业的常规安全制度之中。

更多