制度和技术双管齐下 建立全面内控体系

　　ZDNET至顶网安全频道  专访：（明朝万达总裁王志海）最近受到关注的CSDN和天涯密码泄露事件，事实上早已经发生，并且数据在黑色产业链中广泛流转，而且各种途径泄露的数据远远超过媒体已经暴露的内容。从这个事件可以看出，无论是商业服务机构还是个人，安全意识依旧非常淡薄，急需提高，否则类似事件每天都会上演。

　　从服务机构的角度看，CSDN和天涯这次泄密事件最受诟病的是以明文方式存放用户密码，犯了非常低级的错误，这对于用户来说是完全难以接受的。事实上，解决用户密码存放的技术非常成熟和简单，只要在软件程序里面简单增加一小段MD5或者其他散列函数代码即可以解决，不会给CSDN和天涯额外增加多少负担，这样基本的安全措施没有采用，只能说服务商本身确实缺乏最基本的对用户信息安全负责的态度，安全意识非常淡薄。

　　从互联网个人用户的角度看，通过这次多方分析，发现用户使用密码有两个特点，一是使用简单密码的人非常多，二是在不同IT系统使用同一个密码的人非常多，这都是缺乏安全基本意识的表现。由数字和字母组成的简单密码，可以说目前破解起来轻而易举，使用这样简单的密码是对自己账户安全极度不负责任的行为。多个IT使用同一个密码的习惯更加致命，CSDN帐号安全用户可以不在乎，但是如果CSDN获得密码信息能够用于登录个人网银或者证券帐号，那就非常可怕了。

　　综上所述，CSDN和天涯密码泄露事件告诉我们国内互联网服务提供商和互联网用户一个赤裸裸的事实：信息安全事件屡发的主要原因不在于缺乏安全技术，而在于缺乏最基本的安全意识以及负责任的态度。

　　要避免或者减少此类事件发生，相关企业要在安全意识培训和安全内控体系上下功夫。

　　全员的安全意识培训特别是技术开发和服务人员的安全意识是必要的，只要让大家牢牢树立信息安全防范意识，彻底排除侥幸心理，并融入到具体的开发和服务工作中，才能减少类似事件的发生。

　　企业还需要建立全面的信息安全内控体系，信息安全内控体系包括管理制度和技术措施两个方面。要建立专门的信息安全管理制度，层层把关，层层负责，杜绝和减少信息安全漏洞的出现，禁止威胁信息安全的行为发生。技术措施要采用内外兼防的手段，通过购买成熟的信息安全产品和服务，既要能够防止来自互联网的入侵，也要能够防止内部人员从服务系统内部的入侵泄密行为发生，缺一不可。

　　事实上，此外CSDN和天涯泄密事件发生后，陆陆续续暴露了更多真真假假的泄密信息，这些信息有些是从互联网攻击获得的，但也有部分是内部员工或者商业竞争对手从内部网络中获取并泄密出去的，后者造成的威胁损失更大，也更加隐秘，当然一般也不会见诸媒体，但是更加需要引起重视。