网络信息安全实验室

设为首页  |  加入收藏

 首页  实验室简介  研究方向  研究成果  研究动态 
站内搜索:
新闻动态

中国工程院院士李伯虎:三手段推动...
国务院关于积极推进“互联网+”行动...
国务院发文促进大数据发展
华云数据携手英特尔打造物联网云平台
互联网公共安全行业标准将出台
诺基亚通信推出两款信息安全产品保...
发布一体化混合云平台和软件定义IDC

研究动态
您的位置: 首页>>研究动态>>正文

互联网公共安全行业标准将出台
2015-09-08 09:08 管理员  本站原创 审核人:   (点击: )

    7月以来,加拿大婚外情网站AshleyMadison遭遇了黑客攻击,导致超过千万用户的个人信息被泄露,尽管已经过去一个多月,但是信息泄露事件的影响还在持续发酵。

    在网络安全事件频发的当下,用户几乎陷入了风声鹤唳的状态,每每爆出一个高危漏洞信息都会刺痛到用户脆弱的神经。

    8月27日,国内第三方网站漏洞报告平台乌云发布了一则有关搜房网的漏洞信息,称搜房网支付系统漏洞导致内部各种管理系统小漫游,漏洞类型为内部绝密信息泄露,危害等级高。

    这让不少关心自身信息安全的搜房网用户不禁捏了一把汗。不过,搜房网在确认了该漏洞后很快作出了回应:此站点为一个后台测试站点。设计功能用于管理日志,并不会造成用户账户损失,目前此站点已经关闭。至此,不少用户悬着的心才放了下来。

    9月6日,搜房网相关负责人告诉法治周末记者,对于测试系统中账户密码与内部系统账户一致的问题,已经安排整改,并加强内部安全培训。同时,该负责人强调,公司正式站点并不存在此问题,不存在用户信息泄露。

    业内人士指出,计算机系统不可能完全避免漏洞,企业在发现漏洞后应尽快进行修复,避免可能发生的用户信息泄露风险。从法律规范的角度讲,也要赋予互联网企业保护用户信息安全的具体义务,这样才能强化企业保护用户信息安全的义务和责任,将个人信息保护工作落到实处。

    记者了解到,目前国家相关部门正在制定适用于特定互联网企业的公共安全行业标准,其中对于互联网企业如何保护用户的个人电子信息安全提出了具体要求,目前该标准正处于报批稿阶段。

    网站漏洞不能完全杜绝

    其实这并不是搜房网首次被乌云平台爆出存有漏洞。今年6月25日晚间,乌云平台也披露过搜房网某业务账户信息泄露导致各种管理系统登录(涉及大量用户信息),漏洞类型为账户体系控制不严,危害等级为高。不过时隔十余个小时,6月26日上午搜房网就回应称已对该问题进行了处理。

    搜房网相关负责人回复法治周末记者时称,该漏洞预警并非系统存在安全漏洞,而是分公司员工安全防范意识不足,被钓鱼攻击导致个人认证信息泄露,公司已经加强员工安全意识培训,防止类似事件发生。

    搜房网的及时处理让一些绷紧了安全神经的用户长吁一口气。其实这仅仅是互联网企业被爆出漏洞的冰山一角。记者在乌云漏洞报告平台上注意到,被白帽子(白帽子是对善意的网络安全技术人员的简称)披露存有漏洞的互联网企业中,既有处于创业阶段的小型互联网公司,也有像携程、滴滴、优酷等行业内的知名企业。

    记者从国家信息安全漏洞共享平台官网上也了解到,从8月24日到8月30日一周内,该平台共收到漏洞报告215个,其中高危漏洞64个,占比29.77%;中危漏洞133个,占比61.86%。

    漏洞是计算机软硬件、协议和系统安全策略中固有的、不可避免的缺陷,不能完全杜绝。公安部第三研究所副研究员黄道丽对法治周末记者介绍,一旦被恶意利用,漏洞将给个人、企业乃至国家带来直接的安全威胁和破坏。

    就互联网企业而言,黄道丽表示,必须完善安全保护制度和技术措施,建立监测并消控漏洞的机制,在发现漏洞后进行及时修复并告知用户,避免可能发生的用户个人信息泄露。

    搜房网相关负责人告诉法治周末记者,搜房网有专门的安全部门进行漏洞监控,一旦发现有新漏洞披露,安全负责人收到漏洞通报会直接启动安全相应预案,视漏洞级别通知相关部门领导和负责人,并协调组织网络、运维、开发、第三方合作伙伴等相关人员,分析漏洞原理,确认漏洞影响、制定紧急修复方案并立即采取措施封堵漏洞。

    漏洞报告平台有助于防范风险

    普通公众之所以能够了解诸多互联网企业存在漏洞的信息,就不得不提一下国内第三方漏洞报告平台。乌云是国内较早提供白帽子提交的企业漏洞信息的平台,在白帽子提交漏洞信息后,平台会根据漏洞处理的进展依次向厂商、核心白帽子及相关领域专家、普通白帽子、实习白帽子、公众公开。

    乌云联合创始人孟卓告诉法治周末记者,乌云平台让互联网用户、技术人员和企业重新认识和理解了安全,知道了目前互联网上所发生的安全事件的原由、细节以及影响。

    孟卓表示,现在很多互联网企业非常重视网络安全,重视用户隐私,乌云的出现加快了这一进程。

    乌云一位工作人员向记者坦言,目前乌云平台披露企业存有的漏洞信息后,很多厂商都会积极、快速地跟进修复漏洞。有一些新兴的互联网公司甚至会在修复后选择立即公开详情,并不会对自身漏洞遮着掩着。

    这种无保留的公开,在让公众直观地了解到国内互联网行业的安全状况的同时,也引发了不少争议。北京中安国发信息研究院院长张胜生对法治周末记者坦言,乌云的这种模式让一些企业倍感压力,一旦企业被频繁披露存有网络漏洞,不仅影响企业声誉,而且如果披露方式、披露内容处理不当,也容易给其他黑客利用已暴露漏洞进行攻击提供便利。

    不过张胜生也认为,企业漏洞反馈机制这种模式可以在客观上督促企业更加重视在网络安全上的投入,同时通过披露漏洞也有助于督促企业及时进行修复,将可能出现的漏洞对业务的威胁降到最低。

    法治周末记者了解到,目前在网络安全市场除了像乌云、国家信息安全漏洞共享平台这种第三方漏洞报告平台外,一些大型的互联网公司也陆续建立了自己的漏洞报告平台,或安全应急响应中心。白帽子在发现其系统漏洞后,可直接向平台提交报告。同时为了鼓励这种行为,很多公司还会对提交漏洞的白帽子给予奖励。

    如前所述,张胜生也更认同这种漏洞报告方式,这种方式既可以借助外部白帽子的力量及时发现公司网络的漏洞,也可以降低对外披露漏洞信息带来的各种商业风险。

    互联网企业公共安全行业标准正在制定

    根据我国刑法第285条的规定,黑客如利用漏洞侵入企业计算机信息系统,非法获取包括用户个人信息在内的计算机信息系统数据,情节严重的行为将会被追究刑事责任,但对于企业如何进行防护则鲜有相关的法律规定。

    西安交通大学信息安全法律研究中心主任马民虎在接受法治周末记者采访时表示,如果不在如何防治上落实法制,责任规定就会形同虚设。

    不过互联网企业这种无章可循的状态有望终结。法治周末记者了解到,目前国家相关部门正在制定适用于特定互联网企业的公共安全行业标准,其中对于互联网企业如何保护用户的个人电子信息安全提出了具体要求,目前该标准正处于报批稿阶段。

    一位参与起草该标准的业内专家向法治周末记者介绍,该标准不仅明确了互联网企业在用户个人信息泄露后应当履行的义务,如立即采取补救措施、24小时内告知用户并向相关部门报告等,更重要的是还规定了互联网企业在收集和处理个人信息时应当采取的安全保护制度和技术措施。

    记者了解到,这些制度和技术措施包括:采用加密方式保存用户密码;审计内部员工对涉及个人电子信息的操作,预防内部员工故意泄露;建立程序控制对涉及个人电子信息系统和服务的访问权的分配等。

    同时,该标准还要求互联网企业系统的安全保障技术措施应覆盖个人电子信息处理的各个环节,防止网络违法犯罪活动窃取信息,降低个人电子信息泄露的风险。

    黄道丽向法治周末记者介绍,网络服务提供者的一般安全管理义务早在1997年公安部《计算机信息网络国际联网安全保护管理办法》和2005年公安部《互联网安全保护技术措施规定》中就有明确规定。但因为缺乏相应的刑事责任规定,也缺乏对网络服务提供者个人信息保护管理义务的法律指引和标准规定,企业对于自身系统存在的漏洞隐患有时也会出现不作为的情形。

    不过今年8月29日刚刚通过的刑法修正案(九)明确规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒不改正,致使用户信息泄露,造成严重后果的,单位不仅将被判处罚金,直接负责的主管人员和其他直接责任人也将会被追究刑事责任。

    这一条款从刑法角度上强化了网络服务提供者的安全管理责任,虽有待出台相应的司法解释对内涵外延进行细化,但也将适用于漏洞隐患致用户个人信息泄露而网络服务提供者不作为的情况,属重大突破。黄道丽认为,在这样的法律背景下,上述标准一旦出台,将对企业积极修复漏洞保护用户个人信息形成严厉的约束,企业不能以缺乏相关指引和标准进行推脱。

关闭窗口

版权所有:河北地质大学网络信息安全实验室  邮箱xywmail@sjzue.edu.cn

  地址:河北省石家庄槐安东路136号  邮编:050031  电话:0311-87208114(查号)