2011年底,中国互联网行业爆发了一场史上最大的信息泄露事件。在昨日举行的“2012年中国软件评测中心信息安全等保测试部产品推介会”上,中国软件评测中心信息安全等级保护测评部总经理唐刚提及此事时感慨颇多。
“泄密门”爆发后,“账户密码明文存储”首先被千夫所指,但随后专家就指出,最根本的问题是通过合法系统让黑客拿到非授权的数据,即黑客成功侵入系统,而非是账户密码明文存储。唐刚认为,“泄密门”事件的责任主要是网站运营方完全没有控制住源代码开发的安全性,导致有漏洞的系统和网站对接,黑客发现并利用漏洞进而泄密。
据了解,在CSDN信息泄露事件爆发后,北京警方就对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄露事件做出行政警告处罚,这也是我国落实信息安全等级保护制度以来的首例“罚单”。
“信息安全等级保护测评”也成为“等保测评”。据唐刚介绍,等级保护测评具体通过安全技术测评和安全管理测评两大方面实施,在以安全编码的规范和标准为前提的情况下,对开发源代码进行安全审计,以最大限度的减少信息系统自身的安全漏洞,加强信息科技风险的审计和评估。
“如果没有那次‘泄密门’,恐怕大多数公众和舆论还不能对个人信息保护提起重视。”唐刚直言,其实以CSDN泄密事故为代表的一系列信息泄密和网络入侵现象一直以来都普遍存在。在他看来,互联网从业人员的安全意识普遍偏低是“泄密门”长期积累最终爆发的诱因,同时,我国在信息安全保护上的相关规章制度还不够完善,从业人员的管理也不尽如人意。
“据调研显示,我国个人信息泄露近八成源自内部作案。”唐刚呼吁,作为信息管理者的相关机构并未有效履行自身职责,才使得技术和管理制度上存在漏洞,导致客户信息泄露。因此,如何弥补这些漏洞,是相关机构应当反思的。
