泄密门曾有预警 在密码泄漏事件中,一个叫做乌云漏洞平台(Wooyun.org)从不为人熟知的专业平台一下跃入大众视野。乌云吸引了一大批黑客,他们在发现企业漏洞时,便将这些漏洞与补丁传到这些网站上去。 但是,这个平台一直不受企业待见。蒋涛亦坦承,事发之前,乌云漏洞平台把大部分漏洞做出了预警,告诉了相关企业,但各个企业并没有引起足够重视,没有及时提醒用户修改密码,导致后来一发不可收拾。 缘何企业对预警如此忽视? 这缘于黑客与企业之间多年形成的微妙关系。这些企业对黑客往往是又气又恼。在黑客面前,企业就像一个学生。黑客老师天天挑学生的毛病,刚开始可能觉得是正向激励,日子久了,自然对黑客没好脸色。 更有一些公司极端地认为,没有黑客,企业的漏洞在某种程度上来说就不存在,“即便存在,也不打紧。只要不暴露,就可以视而不见”。 但是,企业又无法“忽视”黑客。因为,黑客冷不防就会给上“温柔一刀”。一些大的互联网企业甚至直接“招安”黑客,纳入麾下。有的小网站每月给黑客上交1万元到2万元的“保护费”。 “其实,黑客需要的是肯定。”上述安全行业工程师告诉记者,在乌云的平台上,企业会给提交漏洞的黑客以积分,用作鼓励。黑客也愿意无私提交发现的漏洞,如此形成了一个良性循环。 应对之策 “未来,各个网站应该和类似乌云漏洞的平台合作。”蒋涛倡议,未来,国内安全界和技术界不应该再有隔离。 CSDN开始全方位亡羊补牢。1月11日,CSDN与阿里云展开针对网站安全的战略合作。据蒋涛介绍, CSDN将采用阿里云邮箱,并把该邮箱与其他邮箱隔离,避免一个邮箱泄漏,“全城皆失”的情况。并且,还将接受阿里云提供的其他服务。 “我们应该和那些安全做得好的企业合作。”蒋涛称,除百度、阿里、腾讯等大公司,以及某些游戏厂商外,许多国内的互联网公司,包括CSDN在内,并没有太多实力去成立一个专门的安全工程师团队。 蒋涛告诉记者,CSDN会加强自身的安全策略,把网站的非核心数据与核心数据进行隔离,减少有价值数据的接口;并且正在向安全部门申请信息系统的等级保护,接受信息安全监管部门的相关管理。并且,CSDN还会引入相应的安全审核机制,防止数据信息从内部泄漏。 |