企业中的防范核心——安全意识

　　ZDNET至顶网安全频道  专访：（天融信安全专家徐少培）2011年12月，中国IT界可以说是惊涛骇浪。继CSDN于12月21日被曝600多万用户密码数据库遭到泄露后，网上又陆续爆出天涯网，猫扑网、人人网、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等在内的网站用户密码数据库遭到黑客提供公开链接下载。在被曝光的数据库中用户密码大都采用明文保存。预计全部用户密码数据超过5000万条目。

　　就2011年全球范围内大规模用户信息泄漏事件来说,CSDN密码泄漏事件只是其中的一例。例如今年6月国际著名黑客组织LulzSec攻击SONY电影，超过百万用户的“名称，密码，电子邮件，家庭住址，出生年月”信息被泄漏，而这些信息也都明文存储。LulzSec在描述这段攻击的时候说：“SonyPictures.com存在一个最简单的，最原始的SQL注入，我们通过这个漏洞获取了网站的一切。为什么你们这么有信心让这样的攻击存在呢?”。LulzSec这句话或许可以给我们一些提示。

　　在CSDN这次的事件中，对网站维护者而言，只有合理的对网络进行加固，以及定期邀请信誉高的技术团队对网站进行渗透测试，才可以有效保障用户数据的安全。 对用户使用密码而言，不要轻易相信你的密码是被安全存储的，并且选择一个自己记得舒服的最长密码。

　　从企业安全防护的角度来说，大多数人依靠每月或每周打打安全补丁，或大规模架设安全设备，以及登录类似http://sectools.org/这样的安全工具网站下载安全工具，但往往却忽略了个人的安全意识。网站中的补丁程序好打，但难点是人们薄弱的安全意识;安全设备和工具的使用也不复杂，复杂的是如何辨别社会工程学中人与人之间的信任。对此，也希望广大企业中的安全管理人员可以通过CSDN这个事件多多提高自身的安全意识，因为个人安全意识是抵御黑客攻击的最后一道防线。