如何讓泄密事件再也不重演-CSDN及天涯社區用戶帳戶泄密事件有感

新聞背景資料：

12月22日，國家互聯網應急中心（CNCERT）發佈了《關於CSDN中文社區用戶賬號密碼泄露的安全公告》主要內容：疑似泄露的數據庫有26個，涉及賬號、密碼2.78億條。確認CSDN社區、天涯社區兩家網站發生了用戶數據泄漏事件，但泄漏緣由還有待進一步分析。詳細狀況參見公告：http://www.cert.org.cn/articles/bulletin/common/2011123025709.shtml

個人一點見解：

這起事件之因此形成了較大的社會影響，主要有如下幾個方面的緣由：

1，涉及的帳戶數據庫高達26個，帳戶信息更高達2.78億條。
2，事關CSDN和天涯兩大超人氣社區。
3，由於不少人習慣於在多個不一樣的地點使用相同的帳號，所以受影響的範圍實際遠大於以上數字。
4，泄密數據庫中的密碼被***導入到「蠻力」***工具做爲密碼字典，一旦被普遍使用，泄密形成的影響將長期存在。
5，泄密的緣由至今不明，網上流傳多種說法。能夠確定的是，相關網站沒有盡到其應盡的義務。
6，2012年將是雲計算蓬勃發展的一年，這一事件給不少企業敲響了警報，雲安全將成爲企業發展雲計算，特別是應用公有云的最大障礙。

暴露出的主要問題及如何避免相似事件再次發生：

從技術的層面來說，這一次泄密事件實在沒有什麼新意，發生這樣的事件也絲絕不用感到意外，CERT給出的「五條建議」已經很全面了，我就再也不累述了。

我只想談一談發生相似事件的必然性，以及這一事件與雲安全的關係。實際上咱們是沒有能力「避免」相似事件再次發生的，只能盡力下降泄密的風險。

讓咱們從「責權利」的角度來看看泄密事件發生的根本緣由：

1，責即責任，從互聯網誕生的那一天開始，網站對用戶信息的保護就有着不可推卸的責任，可是真正擔負起這一責任的又有幾家呢？特別是那些提供「免費服務」的網站，不只沒有責任心，不願在安全方面投入，甚至還堅守自盜，變賣用戶信息大發不義之財。

2，權即權力，網站在保護用戶信息方面有多大權力，也是不容忽視的問題，網站一方面要保護用戶的信息，另外一方面要接受政府部門的監管，若是不可以很好地界定各方的權力，監管職能也可能被濫用。

3，利即利益，商人無利不起早，在安全方面的投入能獲得什麼回報呢？這就須要政府和社會兩方面的努力了。在中國經商，違法違規的成本過低了，所以必須完善法律法規，且重點不該該放在過後懲治，而應該放在事前預防，英語裏有個「due care」，這個詞很好，政府應該對商家講清楚，什麼是你的職責，你必須盡職盡責。商家要接受審查，且在發生事故後要負有舉證責任，要提供審計日誌證實本身是盡責的，不然要遭受嚴懲，違法成本要遠高於盡責成本。另外一方面，社會要重視商家的信譽，你們一塊兒創建起誠信社會，中國人太健忘了，這極大地縱容了商家。咱們一邊高喊「道歉有用，還要警察幹什麼」，一邊很快地原諒那些靠眼淚博取同情矇混過關的商家，還自我安慰說「其實都同樣」。有句俗語叫「好了傷疤忘了疼」，有了如此寬容的政府和用戶，商家從未曾體會到「疼」的感受，又怎麼會花錢去盡責呢？

再談談雲安全吧，看看這一事件在雲安全方面給咱們的啓示，我一樣不談技術層面的東西，技術能解決的，根本就不是問題。 嚴格意義上的雲計算應該只有公有云而沒有私有云，大企業自建的私有云，實際上也是內部各個部門之間服務關係的體現。所以，雲計算是一種新的IT服務形式，雲計算服務的提供者與消費者是一種契約關係。 問題來了，雙方在簽定服務合同時，可否把一切相關內容都寫入合同之中呢？這顯然是不現實的，任何一份商業合同都不可能面面俱到。那麼服務過程當中若是產生了糾紛，而相關內容在合同中又沒有言明，該做何處理？ 這就是我要講的合規性，它是雲安全的關鍵點。我認爲當前中國發展雲計算的三大障礙是投資回報，網絡及安全性，而云安全中最重要的部分則是合規性。 爲何前一段不少雲計算項目被戲稱爲「雲地產」呢，是由於本末倒置。先把雲平臺建起來，再「挖掘」需求。或者先講故事，編造出一堆需求，爲雲計算項目的上馬鋪路。這是很可怕的。 雲計算時代，什麼是政府應該作的？第一是敦促並幫助運營商把網絡建好，第二是把相關的法律法規完善起來，當好裁判員。這兩件事情作很差，政府就拖了中國雲計算髮展的後腿。有了健全的法律法規，天然會有安全廠商開發出自動化的工具，幫助服務商實現合規性，用戶也更容易選擇好的服務提供商。 失去一部分控制力並不可怕，可怕的是服務提供商的「責權利」不明晰，服務提供商的行爲得不到監管，這樣服務質量確定得不到保證，用戶擁有再多的選擇權也是白搭，最後就真的應了前面那句話「其實都同樣」。 [完]