去年十二月，國內知名的程序員網站、IT技術社區CSDN的600多萬個注冊郵箱賬號和密碼數據庫被黑客在網上曝光，并引發一系列的連鎖影響。聯系近年國內外的許多網站信息泄露事件，網絡信息安全問題成為我們必須思考和重視的話題。

國內外的“泄密門”成為嚴重挑戰

　　此次密碼泄露事件中，有一點可怕的是，這些用戶密碼是以明文方式保存的，即網站方面未采取任何加密安全措施，從而使這些被曝光的用戶密碼數據庫在網上被公開傳播。雖然過去也有類似事件，但此次流傳的范圍超出了以往的黑客技術圈界限，普通用戶也可通過數據包下載方式獲得網站泄露的用戶資料和密碼。這無疑突破了用戶密碼這一個人數據與隱私的最基礎防線，讓心懷不軌之不法之徒有可能竊取他人的個人數據。
　　而按照許多用戶的注冊密碼使用習慣(特別是早期上網的老用戶)，他們用一個注冊賬號(電子郵箱地址或個人ID)登錄多家網站，包括門戶網站、電子郵件服務、網絡銀行、社交網站、游戲網站等，并在多家網站同時使用相同密碼。這種做法雖然簡單省事，易于操作，但是在網絡安全泄密事件頻發的今天，其風險程度令人堪憂。按竊密者操作路徑，他們會用這些公開密碼進入他人郵箱或其他網絡賬戶，并舉一反三，在獲取用戶多賬戶信息的同時進一步獲得用戶的聯系人信息，然后將這些信息轉讓、出售或直接用其謀取利益。
　　CSDN網站用戶信息被泄引發了國內多家網站的連鎖反應，許多著名門戶網站和商業網站未能幸免。不僅如此，一些政務網站也身陷“泄密門”。不久前，有網友通過新浪微博發帖稱，廣東省公安廳出入境政務服務網后臺存在漏洞，造成大范圍用戶數據泄露，暴露的用戶申請資料高達440多萬條，這些記錄包括用戶的出身年月、郵寄地址、郵編、電話、通行證件有效期、出境事由等詳細信息。
　　前段時間集中爆發的網站密碼泄密事件并非偶然，去年四月下旬，電子游戲巨頭日本索尼公司的PS3、PSP網絡平臺PSN因受到黑客攻擊而停止服務。事后索尼發出正式公告，約7700萬用戶個人數據被盜，包括用戶ID、住址、電子郵箱地址、出生日期、密碼、登錄日志、信用卡號碼等。事發后，索尼向用戶支付了7000萬美元的賠償金，但索尼對黑客的真實目的和攻擊策略仍不甚了了。
　　由于黑客攻擊導致用戶個人數據大規模泄露，曾力主實行網絡實名制的韓國不得不提出分階段逐步廢止網絡用戶實名制。此前，韓國三大門戶網站之一的Nate和社交網站賽我網分別外泄了3500萬多名用戶的個人數據。這起韓國歷史上影響最大的網絡安全事件所泄露的用戶信息非常詳盡，包括用戶名、本人姓名、生日、電話號碼、住址、網站密碼和身份證號碼，范圍之廣，幾乎涉及韓國所有網民，并很有可能引發垃圾電郵和電信詐騙等衍生犯罪活動。
　　信息技術的高速發展和互聯網的迅速普及給網絡安全帶來了日益嚴重的挑戰，也對信息安全相關法律及其監管提出了新的課題。

網站信息安全的法定等級較低

　　網絡用戶的密碼其實是一種口令(Password)，它與用戶其他個人信息組合成為個人數據，它不是專業意義上的密碼。但它的認證、保管與使用也需要相應的密碼技術與密碼產品(如網絡銀行使用的U盾)。所以二者是密不可分的。
　　目前我國關于信息系統安全的相關法律和法規有：《中華人民共和國計算機信息系統安全保護條例》、《商用密碼管理條例》、《信息安全等級保護管理辦法》，以及修改后的刑法與其他法規的相應條款。其中，《商用密碼管理條例》規定了商用密碼的科研、生產、管理和銷售具體辦法，其中第二十三規定：泄露商用密碼技術秘密、非法攻擊商用密碼或者利用商用密碼從事危害國家的安全和利益的活動，情節嚴重，構成犯罪的，依法追究刑事責任。
　　2007年，公安部、國家密碼管理局、國家保密局和國務院信息辦公布了《信息安全等級保護管理辦法》(以下簡稱辦法)，該辦法對信息安全保護的基本思路是：國家通過統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級地實行安全保護，并對等級保護工作的實施進行監督、管理。
　　信息系統的安全保護等級的確定依據主要有兩條：一是根據它在國家安全、經濟建設、社會生活中的重要程度；二是系統一旦遭到破壞，它對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權益的危害程度。據此，辦法將我國信息系統共分為五個等級。第一級是指信息系統被破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第二級指信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級、第四級分別指信息系統受破壞后，會對社會秩序和公共利益造成嚴重損害，或對國家安全造成損害；會對社會秩序和公共利益造成特別嚴重損害，或對國家安全造成嚴重損害。等級最高的第五級是信息系統受破壞后，會對國家安全造成特別嚴重損害。
　　近年來，由于智能手機、移動互聯網、社交網絡、微博、即時通訊軟件等新技術的突飛猛進，互聯網已成為一個跨平臺的超級信息系統。然而，按照傳統的等級保護管理規定，國內許多內容服務商、門戶網站、社區網站、游戲網站最多屬于第一級或第二級保護范圍，而對這兩級監管的法律規定是“依據國家有關管理規范和技術標準進行保護，國家信息安全監管部門對其安全等級保護工作進行指導。”其保護等級明顯低于第三、四、五級。

網站的安全投入嚴重不足

　　技術發展在給人們帶來便利的同時也帶來了潛在的危險。今天，黑客和其他網絡犯罪行為的門檻越來越低了，并不需要高深的計算機專業知識。有時，一個菜鳥級新手，只要稍加搜索和學習，就能從網上方便地獲得大量資源和工具，同時還能輕而易舉地找到同道和犯罪同伙。黑客的組織化、社區化、匿名化和國際化已經成為新趨勢。這些人通過社區、QQ群和各種即時通訊工具在第一時間互相切磋，破解用戶密碼并盜取資料，且用戶數據買賣銷售已成為相當具有規模的固定產業鏈。雖然黑客社區聯系松散，甚至彼此從未謀面，尚不知對方是男是女，但利益鏈條將他們捆綁在一起。與商業網站的被動安全措施相比，由于利益驅動和貪欲渴望，這些人無時無刻地在尋找網站的安全漏洞，期待從中找出發財機會。
　　相比之下，商業網站、各種社交網站的安全維護并不能給網站帶來直接經濟利益。許多網絡服務商、內容提供商對安全的投入嚴重不足，從筆者接觸的研究資料看，除排名前百名的大型網站外，國內鮮見有專門安全團隊的商業網站。政府的政務網站也存在大量安全漏洞，一些政府網站被輕易篡改或掛馬。據國家互聯網應急中心監測報告顯示，2011年6月的某一周，國內僅網頁被篡改的網站就有660個，其中政府網站105個。其中包括6個省部級網站，還有25個地市級政府網站。
　　為應對網絡安全的挑戰，可以從完善法律體系和行政監管、行業組織協調和網站加強自律責任等方面入手，當然用戶也需要提高風險防范意識。

政府要完善法律體系和行政監管

　　幾年前，國務院信息產業主管部門曾起草過《信息安全條例》，但迄今未有下文。面對日益嚴重的網絡安全威脅，應當有一部層級較高、操作性強的信息安全綜合法規，以便為信息安全的法律監管提供法律依據，同時，應強調行業組織的自律與企業自律，鼓勵企業提升安全保護措施。
　　對個人數據的保護，國外有代表性的保護模式是歐盟與美國。歐盟有統一的個人數據保護法，在電子商務、電子政務方面擁有大量標準規范，歐盟各成員國必須遵守。美國模式則強調發揮商業企業的創新精神，但政府也不是無為而治。上個月，奧巴馬行政當局就提出了網絡隱私保護準則，旨在幫助消費者控制網絡搜索對個人隱私的損害。新的隱私保護法律要求網絡企業必須為用戶提供一健式點擊或觸摸的告知程序，讓用戶決定他們是否愿意自己的個人數據被追蹤。美國國會也將起草有關個人數據搜集和使用的監控法案，一旦通過，谷歌、微軟、蘋果和其他瀏覽器制造商都必須遵守相關法律。

網站不能推卸自己的法律責任

　　從發生泄密的源頭看，近來幾大事件均發源于網站服務端。對此，處于客戶端的用戶是心有余而力不可及。因為用戶一旦與網站簽約(成為網站用戶，無論是否活躍)，他的個人數據就處于本人不可控的狀態。因此，網站的個人數據保護責任是不可推卸的。
　　按照《侵權責任法》法定侵權要件和合同法的契約精神，無論是作為企業還是作為合同簽約一方，網絡服務商都有責任保護用戶數據安全。但許多企業不是視而不見，就是在格式合同中用含糊其辭的條款弱化自己責任，這極不公平，更違反了網絡企業的法定義務。
　　在保護用戶個人數據方面，網絡服務商、運營商應當恪守以下義務：
　　一、個人數據安全風險提示義務：服務商應當向用戶說明提交個人數據的潛在風險，并做出保護個人數據的安全承諾。
　　二、個人數據用途說明義務：網站應說明用戶數據的具體用途，說明這些數據是否與第三方分享，或是否可能向第三方轉讓。
　　三、保護用戶個人數據安全的義務。
　　四、安全措施說明義務。
　　五、發生數據泄漏后的告知、救濟義務。如即時通知用戶修改密碼，損害實際發生后的補救措施等相關善后事務。

網民自身也要有所作為

　　普通網民也需要提高風險風范意識，網民自身需要做好下列事項：
　　用戶應當對自己的密碼進行分類保管。在預見損害后果的基礎上按照風險等級將密碼分類，比如網絡銀行密碼、支付網站密碼、電子郵件密碼、即時通訊密碼、社區網站密碼等。如實在有困難，可退而求其次，將網絡銀行和支付工具密碼列為首位，將娛樂網站和社交網站放在較次要地位。
　　密碼應盡量使用數字與字母組合，并力求避免生日密碼或普通排列數字密碼。
　　有些網民從不用網銀，也不用支付工具，他們覺得這樣就可以高枕無憂了，其實并不盡然。黑客可能用批量掃描方式獲取郵箱密碼和你的聯系人信息，下一步，無孔不入的營銷公司和詐騙團伙會盯上你的社交圈子和朋友。
　　網絡信息安全是一場永遠不會完結的貓捉老鼠游戲，我們每個人都置身其中，無法逃避。