2011年是不平靜的一年，在年底曝出的知名網(wǎng)站CSDN的用戶信息泄露事件更成為網(wǎng)絡(luò)安全領(lǐng)域的最大IT新聞，大約600萬名用戶的注冊(cè)信息和密碼等資料在互聯(lián)網(wǎng)上被公開并被瘋狂轉(zhuǎn)發(fā)下載。而事情尚未平息，相繼又有其他知名網(wǎng)站同樣陷入“泄密門”風(fēng)波，比如天涯社區(qū)和新浪微博等互聯(lián)網(wǎng)服務(wù)商，其包含千萬級(jí)用戶信息的文件也出現(xiàn)在互聯(lián)網(wǎng)。一時(shí)間，所有網(wǎng)站風(fēng)聲鶴唳、人人自危，大家紛紛猜測(cè)接下來是不是會(huì)有更多的服務(wù)商卷入這次用戶密碼泄露事件。

      實(shí)際上，“泄密門”的受害者不僅僅局限在中國的互聯(lián)網(wǎng)企業(yè)。他的范圍波及海外及其他各行業(yè)。例如2011年4月，日本索尼公司已經(jīng)發(fā)生過類似的用戶信息泄露事件，約有超過1億個(gè)索尼娛樂服務(wù)的客戶資料和1200萬個(gè)沒有加密的信用卡號(hào)碼被泄露。再有就是最近披露的廣東出入境管理局用戶資料泄露的安全事故。有來自第三方機(jī)構(gòu)的調(diào)查顯示，2011年全球互聯(lián)網(wǎng)共發(fā)生了超過230多次的大規(guī)模用戶信息泄露事件。再有用戶私人信息的丟失不僅會(huì)給用戶的生活造成很大的困擾，更可怕的是由此帶來的經(jīng)濟(jì)利益方面的損失。

      對(duì)此，作為在安全領(lǐng)域耕耘多年并擁有深厚積累的廠商，H3C認(rèn)為這幾次黑客攻擊行為采取的技術(shù)手段本身并不復(fù)雜，仍然屬于安全漏洞及各種0day漏洞的惡意利用，但是其將千萬級(jí)的互聯(lián)網(wǎng)用戶卷入到事件當(dāng)中，從而給社會(huì)和廣大互聯(lián)網(wǎng)用戶的個(gè)人信息安全造成了很大的困擾和威脅。通過對(duì)這次的“泄密門”進(jìn)行反思，可以發(fā)現(xiàn)造成這種狀況的原因主要有以下幾點(diǎn)：

      首先是互聯(lián)網(wǎng)服務(wù)商缺乏安全風(fēng)險(xiǎn)意識(shí)，關(guān)鍵服務(wù)器的安全防護(hù)不成體系，以往的同類事件發(fā)生后并沒有引發(fā)足夠的重視；其次是用戶信息存放方式不夠安全，例如CSDN核心數(shù)據(jù)庫用戶信息采用了明文存儲(chǔ)方式，是引發(fā)“泄露門”的關(guān)鍵；再則就是許多網(wǎng)站的內(nèi)部員工安全管理監(jiān)控不嚴(yán)，導(dǎo)致出現(xiàn)“內(nèi)鬼”；另外互聯(lián)網(wǎng)用戶不安全的上網(wǎng)行為，也會(huì)引發(fā)嚴(yán)重后果。用戶使用簡(jiǎn)單密碼簡(jiǎn)單，在不同網(wǎng)站ID、密碼統(tǒng)統(tǒng)一樣，一旦密碼泄露就會(huì)牽一發(fā)動(dòng)全身。

      “泄密門”事件，給我們所有人敲響了警鐘。那對(duì)于我們來說應(yīng)該如何改進(jìn)才能消除“泄密門”威脅呢？在長期的研發(fā)和實(shí)踐中，H3C針對(duì)網(wǎng)絡(luò)安全防御研發(fā)并建立了完備的產(chǎn)品線和解決方案。就當(dāng)前的“泄密門”事件的解決和防御辦法，H3C的安全產(chǎn)品線總工李彥賓認(rèn)為可以從下面幾個(gè)方面著手。

      第一是要建立完善的信息安全防御體系，這也是互聯(lián)網(wǎng)服務(wù)商提升安全防御水平的關(guān)鍵。一方面，需要在企業(yè)互聯(lián)網(wǎng)的入口部署成熟的硬件防火墻網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層用戶訪問的隔離和控制，允許合法的用戶訪問并拒絕不符合安全策略的非法入侵。并針對(duì)關(guān)鍵的服務(wù)器區(qū)域，部署專業(yè)的硬件IPS入侵防御設(shè)備，抵御應(yīng)用層攻擊，包括CSDN這種針對(duì)數(shù)據(jù)庫漏洞的應(yīng)用層攻擊。H3C Internet 出口安全綜合解決方案提供專業(yè)、高效的防火墻和IPS等設(shè)備來構(gòu)建L2-7層立體防護(hù)體系，在對(duì)外應(yīng)用服務(wù)器前端建立起第一道堅(jiān)實(shí)的安全防線。

Internet出口綜合解決方案

      另一方面，服務(wù)商本身也需要對(duì)數(shù)據(jù)的存儲(chǔ)安全進(jìn)行考慮；包括用戶關(guān)鍵數(shù)據(jù)的結(jié)構(gòu)分類、數(shù)據(jù)的加密存儲(chǔ)模式、數(shù)據(jù)的容災(zāi)備份及數(shù)據(jù)的安全查詢等進(jìn)行綜合考慮；只有這樣才能從技術(shù)層面最大限度的保證用戶的數(shù)據(jù)安全。

      第二是要加強(qiáng)用戶數(shù)據(jù)在公司內(nèi)部的安全監(jiān)管，加強(qiáng)對(duì)關(guān)鍵數(shù)據(jù)庫訪問的認(rèn)證、授權(quán)和審計(jì)制度。在技術(shù)方面，對(duì)于需要訪問數(shù)據(jù)庫的管理員進(jìn)行嚴(yán)格的用戶認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)庫文件的訪問權(quán)限控制，并對(duì)于訪問過數(shù)據(jù)庫的管理員行為進(jìn)行詳細(xì)的日志記錄。在制度方面，需要在公司內(nèi)部建立嚴(yán)格的安全管理規(guī)章制度，確保員工在雙重約束下對(duì)用戶數(shù)據(jù)的安全保護(hù)。H3C內(nèi)網(wǎng)控制安全解決方案，從員工接入內(nèi)網(wǎng)，到訪問應(yīng)用、再到內(nèi)網(wǎng)出口，所有的信息交互可控、可視、可查、可審，達(dá)到內(nèi)部信息數(shù)據(jù)安全監(jiān)管的效果。

H3C內(nèi)網(wǎng)控制解決方案

      第三，養(yǎng)成良好的上網(wǎng)行為習(xí)慣，避免安全風(fēng)險(xiǎn)是每個(gè)互聯(lián)網(wǎng)用戶都要遵循的原則。不使用同樣的賬號(hào)和密碼在不同網(wǎng)站進(jìn)行注冊(cè)登錄，使用高強(qiáng)度的密碼組合，不定期的更改密碼，在有條件的情況下，網(wǎng)上支付交易可以在專門的電腦進(jìn)行。這樣才能防患于未然，確?；ヂ?lián)網(wǎng)沖浪安全。

      我們確信，三大措施的實(shí)施和完善能有效的降低用戶的“泄密”風(fēng)險(xiǎn)，但網(wǎng)絡(luò)中安全隱患的滋生及黑客的侵襲是永遠(yuǎn)不會(huì)消失的。它是IT建設(shè)者無法回避的挑戰(zhàn)和責(zé)任，希望這次“泄密門事件”能為我們每個(gè)IT建設(shè)者敲響警鐘。