崩溃的篱笆 密码、黑客与无奈的信息安全

奇虎360主管手机安全的副总裁李涛和乌云漏洞發布平台的创始人剑心，有着相同的癖好：从不使用信用卡、从不在网上购物、从不在手机上装任何有LBS功能的应用软件。“这个世界毫无安全可言。”这是两个多年从事信息安全工作的人的共同心声。

果真如此？还是信息安全工作带来的职业习惯？也许下面的数字会让你有些提心吊胆：CNCERT（国家互联网应急中心）发布信息称，截至2011年12月29日，通过公开渠道获得疑似泄露的数据库有26个，涉及账号、密码2.78亿条；仅2011年11月，CNCERT就监测发现我国内地1785个网站被篡改、2179个网站被植入后门、近165万个主机IP感染木马或僵尸程序以及561万余个主机IP感染飞客蠕虫，被入侵后的网站都一定程度地面临被窃取的风险；360网站安全检测平台的数据显示，目前国内约83%的网站存在各种安全漏洞，其中34%为高危漏洞。根据国际数据公司(IDC)统计，2010年全球信息安全市场的总额达到1188亿美元，同期中国信息安全市场的规模仅为12.48亿美元。

由此看来，那个你曾经自由自在地浏览信息的互联网根本就是满是漏洞且四处漏风的篱笆，你的密码、数据甚至隐私随时都有被黑客拿走的危险。去年12月份集中爆发的大规模密码泄露事件，更是让网民们领教了黑客的力量：2011年12月21日CSDN数据被泄露之后，第二天多玩网、嘟嘟牛、7k7k、178等游戏网站数据库泄露，紧接着标注为“人人网500万用户资料”的文件开始在网上流传（共超过5000万用户）；25日天涯数据库（超过4000万条信息）开始疯传；26日新浪微博的用户资料疑似被泄露，新浪微博数据下载地址（约有476万条账号信息）被公布，随后几乎所有社交网站无一幸免（包括开心网、世纪佳缘、珍爱网等）；27日，乌云漏洞报告平台披露京东商城的漏洞；28日，“当当网1200万用户信息遭泄露”的说法亦被“小部分”证实，当天乌云平台同时报告称，“支付宝用户大量泄露，被用于网络营销，泄露总量达1500万～2500万之多，泄露事件不明，里面只有支付宝用户的账号，没有密码。”

为什么会这样？

有句话在业界广为流传：互联网公司中有3人来专职负责网站安全的规模都是一种奢侈，5人以上算是豪华配制，10人以上的安全团队寥寥无几。在互联网企业忽视安全的同时，黑色产业开始崛起。据著名白帽黑客、知道创宇总裁赵伟分析，仅中国内地一年所产生的黑色产业收入就高达10亿元。这个产业有着严格的产业链分工，技术实力和收入亦是水涨船高。

有人说，这些被泄露出来的数据库可能在几年前已经就被黑客拿走了，经过反复利用之后，黑客们觉得没有价值了才像丢垃圾一样扔了出来。这对我们是恐吓、威胁还是提醒？在云计算、移动互联网越来越普及的时代，在“我们都是手机人”的时代，不管有多少密码，在黑客们看来似乎我们都是在裸泳。

我们能像前面两位信息安全专家那样远离信用卡、网络购物和手机应用吗？不用问，肯定做不到！那么该怎么办？我们需要什么样的人和企业来保护我们的信息安全，我们需要什么样的法律和制度来保障信息时代中每一个人的数据和隐私呢？