“泄密风波”后,拿什么保护个人信息安全

发布网友 发布时间：2022-04-24 21:36

我来回答

共2个回答

懂视网 时间：2022-04-15 03:18

欢迎进入网络安全论坛，与300万技术人员互动交流 >>进入 数据库密码泄露后官方对企业以及网友的一些忠告： 对企业的忠告： 一、无论是自己设计编写还是使用商业账户管理系统，密码保存不得使用明码，普通的可逆加密也不可靠，最好使用完全不可逆的算法并只保

欢迎进入网络安全论坛，与300万技术人员互动交流 >>进入

数据库密码泄露后官方对企业以及网友的一些忠告：

对企业的忠告：

一、无论是自己设计编写还是使用商业账户管理系统，密码保存不得使用明码，普通的可逆加密也不可靠，最好使用完全不可逆的算法并只保存结果。不可逆算法也可以杜绝内鬼作乱。MD5本来是一个不错的散列算法，但由于MD5库已经非常流行，对大多数常用密码实现解码已经非常容易。建议使用其他可选的算法，或者使用多次MD5或SHA1.

二、对于用密码验证的服务器，应该尽量专机专用，卸载所有不需要的应用，封掉除验证和维护以外的所有网络端口，可将验证服务器放到内网并增加双防火墙。将黑客入侵的可能性降到最低。

三、建议自己的员工，在公司的各种账户密码使用上，不得与私人账户密码相同。

对网友的忠告：

一、对需要密码的地方进行重要性分类，并使用不同的密码。不太重要的密码可以相对简单一些，便于输入，重要的密码应该复杂一些，最好字母、数字和符号混合。不太重要的密码修改频度低一些，重要的密码修改频度高一些。

1、Email信箱的密码要求的安全性更高

一般的网站注册时会要求输入一个Email邮箱作为重置密码的手段。这时候，Email邮箱的密码重要等级是高于网站注册时的密码的。因为黑客有了Email信箱密码，就可以通过重设密码的方式修改网站的密码。本次密码泄露事件中，有些人损失很大，甚至QQ、支付宝都丢了，原因就在于留的信箱的密码和网站的密码相同，黑客根据网站的密码尝试登陆信箱，成功登陆信箱之后就会看到个人私信，如果信箱中有很多重要信件没有及时删除，就会暴漏更多的信息给黑客。最终导致一系列的账号泄露的严重问题。

2、与银行、证券、各种支付账户等与资金有直接关系的账户安全性更高

3、工作和休闲用的账户密码重要性不一样。有些单位也规定了工作密码需要唯一性。这个值得赞赏。

4、保存了过多个人信息的账户，如照片、私人日记等安全性更高；

5、即时通讯类账户安全性更高；目前有相当多的钓鱼类的受骗事件大都源于QQ、MSN等通讯软件好友被盗后，然后向好友索取钱财和各种卡币道具等，最终导致好友被骗。

二、经常修改密码是个好习惯。

据说本次泄露的密码是2009年之前，2年的时间，如果养成一个及时修改密码的习惯，密码可能已经修改多次了。所以，本次密码泄露事件也证实了密码要及时修改的重要性。

热心网友 时间：2022-04-15 00:26

一时间，短信、电邮、网站弹窗纷纷发出警示，强烈建议用户修改密码，“今天你改密码了吗”俨然成为网民之间的问候语，许多网民表示“改密码改到手软”。“谁来保护我的信息安全”成为公众的揪心之问。
　　“黑客产业链”浮出水面
　　《第28次中国互联网络发展状况统计报告》显示，2011年上半年，有过账号或密码被盗经历的网民达到1.21亿人，占24.9%。中国国家信息安全工程技术研究中心主任文仲慧表示，互联*息安全是一个世界性的问题，随着网络应用环境的日趋复杂，企业核心数据被盗、用户数据丢失等事件频发。
　　值得警惕的是，此次网站“泄密门”中，一条“黑客产业链”已经浮出水面：黑客从网站盗取用户信息库后，会把这些信息倒卖、分销给黑公关或钓鱼公司。他们利用用户信息打击竞争对手或发放垃圾广告;传送木马、病毒或发布诈骗信息，甚至直接在网上支付平台自动批量发起交易，如果恰好试探出用户泄露的密码和网上支付密码相同，支付账户中的余额就可能被黑客全部盗取。
　　中国*大学知识产权研究中心特约研究员、知名网络法律人士赵占领表示，在数以亿计的网络用户面前，蕴藏的巨大商业利益可能会让互联网服务的提供者铤而走险;用户在电子商务网站的浏览痕迹、消费记录、个人信息等，对电子商务企业来说都是宝贵的数据。
　　金山网络安全专家李铁军说，用户资料等数据包刚被盗取出来时，在黑客圈子里销售，价格非常昂贵。同时，黑客还利用用户资料进行互联网诈骗，利用发送广告信息牟利。
　　乌云网负责人认为，利用数据库赚钱的方法有很多，包括钓鱼欺诈，盗取游戏账号刷装备，利用微博等生成僵尸粉，黑客几乎发展到“产业化”的地步，并逐渐和线下欺诈结合起来。数据越保密，对他们的价值越大。
　　互联网企业安全意识薄弱
　　不可否认，“泄密门”暴露出部分网民安全意识薄弱，但更折射出整个中国互联网企业自身安全的脆弱和对用户数据安全保护的轻视。
　　互联网安全企业“奇虎360”公司副总裁石晓虹表示，此番密码遭泄露“都是明文密码惹的祸”。这是最不安全的数据保存方式，一旦数据库泄露，所有密码一览无余。有些网站由于用户数据安全意识欠缺，曾经明文保存过用户密码，近期被黑客公开的密码数据库大多属于此类情况。
　　资深程序员徐湘涛认为，明文保存密码是商业网站用户信息被泄露的关键。另外，目前国内不少网站包括政务网站，系统架构水平较低，网站开发和管理人员的安全意识较差。
　　瑞星安全专家王占涛持相同观点。他认为有些公司未意识到安全的重要性，对流程设计不够重视。尽管密码加密之后可能会被破解，但如果在安全方面给予更多重视，加大投入，找好的团队，情况应该会好很多。
　　上海泛洋律师事务所高级合伙人刘春泉认为，互联网公司首先必须做好员工管理工作，坚决杜绝内部员工主动泄密的情形;其次，刑法修正案应加入“非法获取公民个人信息罪”，对此能起到警示作用;第三，应做好用户信息数据的安全防护工作，包括技术的投入和数据的管理，提升数据保密的层级。
　　个人信息安全保*律缺失
　　“泄密门”事件凸显出个人信息保护相关法规的缺失。专家呼吁，出台专门的个人信息保*，为打击网络犯罪、维护网民合法权益提供法律支撑。
　　中国社科院信息化研究所秘书长、互联网专家姜奇平表示，目前法律对于普通用户的信息安全保护还存在很大空白。除了国家相关机构有保密法外，对于企业的用户数据保护并没有相应的法律规定，甚至都没有一套成型的行业准则，各家网站都是各自为政。在没有一个权威第三方的监管之下，用户数据安全目前处在一个“没人管”的状态下，致使这次“泄密门”中的受害用户维权困难很大。他建议，*尽快立法，从权利保护、责任认定、责任追究和法律保障上对个人信息予以保护，将个人、网站和监管机构所应承担的责任、义务厘清。
　　借鉴“他山之石”完善保障
　　借鉴发达国家的“最少信息收集”理念，尽量减少对互联网用户信息的收集。刘春泉认为，我国互联网企业在收集用户信息时太过随意。韩国此前也发生过知名网站用户信息被大规模泄露的事件，此后韩国要求个人或企业使用用户身份证信息时，需事先获得批准。这不仅降低了用户信息被盗的风险，也增强了事后追责的可操作性。美国在处理类似事件时，会倾向于对互联网企业施以惩罚性赔偿，企业为了避免打官司，也会尽量减少对用户信息的收集。
　　尝试采用第三方身份认证的方式，解决用户信息的管理分散问题。上海律师协会信息网络与高新技术业务委员会主任商建刚介绍，美国从2011年起尝试推行《网络空间可信身份国家战略(草案)》，希望建立一个“允许用户在线交易时创建可信身份”的系统，保护个人信息安全。“这其实就是建立一种‘身份属性供应商’渠道，当用户在网站进行登记、注册时，不需要直接向网站提供个人身份信息，而是由第三方提供身份证明，这样就减少了网络公司对用户信息的收集和保管，无疑降低了用户信息泄露的风险。”
　　推行微博实名认证的同时，做好个人信息安全保护的配套工作格外重要。专家表示，要尽量减少网民个人信息的暴露，如对掌握大量公民信息的电信、医疗、教育等单位，严格*有权限查询公民个人信息人员的数量，建立分级查询制度、明确责任追究制度，防止个人信息外泄。(《半月谈内部版》2012年第2期)