12306网站自2011年面世以来,就始终处于舆论的风口浪尖。什么“逢假必瘫”、“一票难求”、“假名购票”都能和它扯上关系。近日,其又和“信息泄露”黏在一起。网友大呼:年轻可以任性,可也不能如此不省心啊!虽说以前它也和信息泄露传出过绯闻,可那毕竟是轻描淡写,但这次却非同小可。据悉,此次12306网站遭遇泄露的账户数量达13万之多。用户账号、密码、身份证、邮箱等信息在互联网公开“裸奔”,很多旅客无奈“躺着中枪”。
无疑,12306网站已成为大众的“眼中钉、肉中刺”,当然第三方抢票软件也难逃牵连之罪。不过,笔者现在倒是想提醒大家:“吐槽之际勿忘思考。”12306网络售票确实存在很多缺点,但是为何一而再再而三地暴露问题呢?究其根本,要归咎于我国的信息安全建设与网络发展速度不对称。从目前网络信息安全现状来看,不得不承认我国网络信息安全建设之路任重而道远。
网络服务商重利益轻安全
自2011年开始,我国的信息安全问题日益凸显,其明显的标志就是网络泄密事件频频发生。从CSDN 600万用户资料和天涯4000万个人信息泄露,到搜狗浏览器存在安全漏洞、腾讯7000多万个QQ群被晒于网上,再到如今的12306旅客信息大规模外泄,似乎信息外泄早已成为常态。此外,细数近几年的泄露风波,几乎所有的网络服务商都难逃噩运,支付宝、当当网、京东等电子商务网站,开心网、人人网、珍爱网、百合网等知名社交网站曾经都被黑客光顾。
网络如此不堪一击,黑客当真是所向披靡、雄霸天下吗?有网络专家指出,网络安全不仅是技术问题,更是意识问题。这一论断实在是一语破的,切中了网络安全的要害。从互联网属性来看,所有网站都会存在漏洞,也就是说这一点并不可怕,可怕的是网络运营者轻视安全部署。据权威调查数据显示,国内绝大部分互联网企业将大部分资金用于竞争和业务发展,在安全部署的投入上甚至达不到1%。这点可怜的安全投入注定了网站“裸奔”的命运。试想,这么容易攻破的壁垒,黑客不来袭击岂不怪哉?相比技术问题,网络服务商只顾眼前利益,不做安全打算,才是泄密事件频频发生的重要诱因。
近期,美国恶名昭著的黑客组织Lizard Squad于圣诞节对微软Xbox Live和索尼PlayStation Network发动了攻击。Lizard Squad宣称,他们的目的非常简单,就是想通过此事证明微软和索尼无力保护用户信息,迫使他们各自升级安全技术,重视信息安全部署防范。此次Lizard Squad的破坏行动更像是代表用户发出的一种声讨:互联网企业应该将保护用户信息安全作为己任,一旦轻视最终将失去信任,得不偿失。
网民缺少教育安全意识淡薄
随着互联网由PC端向移动端的转变和发展,我国已经成为网民大国,网络生活已经触及各类人群和各种领域。以“三屏”(电视、电脑、手机)为例,足以证明互联网对我国居民生活的影响已根深蒂固。然而,与互联网普及应用相比,互联网安全意识教育却尚不完善。
目前,我国尚未建立信息安全教育体系,致使网民对互联网安全缺少正确认识:一是认为只要电脑、手机等互联网设备中安装杀毒软件就能万无一失;二是认为网络安全事不关己,黑客的攻击对象主要是国家和企业;三是对互联网互通互联的基本属性常识缺乏了解,这点集中体现在多数网民一个密码通行多家网站的做法,这种陋习在一定程度上提高了黑客攻破效率。从这点来看,网络信息安全教育和培训亟待提上日程。
产业链早已成形难攻破
在互联网大数据时代,信息就是资源。对大多数互联网企业来说,掌握用户数据就如同打开了发展之门。众多互联网企业利用数据,判断分析用户行为,从而进行更具针对性的营销。这点,我们多数人应该深有体会。很多网站或者商家定期都会打着服务的旗号进行信息推送,最终实现销售目的。
目前,个人信息挖掘早已形成一条产业链,产业链分成了几个群体,共同支撑起了黑客帝国。据了解,黑色产业链中卖方、中间商、买方分工明确,流程清晰。卖方一般是技术人员和销售人员,或是工具制造者,他们处于前端,便于接触用户信息,但不会直接兜售,而是转交给中间商;中间商则将信息归类筛选,有针对性地传输给房地产中介、广告公司、电商等企业。一般经过至少三个中间商,用户信息才最终落入买方手中。可见,这条黑色产业链已经趋于成熟,并且懂得如何规避法律风险。据安全领域人士透露,这条黑色产业链一年收入达上百亿元。有利益就会有刺激,有刺激就会有行动。如此一来,攻陷黑客帝国绝非易事。
国家法治迟缓漏洞明显
“棱镜门”事件发生后,我国政府对网络信息安全空前重视。2014年2月,国家成立了以习近平主席为组长的“中央网络安全与信息化领导小组”。如今又对win8说不、对赛门铁克有问题产品实行禁用,足以证明国家对信息安全防控决不手软。
尽管如此,我国信息安全法制步伐却有些缓慢。在法律实践上也确实存在明显漏洞。譬如,2009年的《刑法修正案(七)》虽设相关罪名,但在公民个人信息范围多大、何谓“情节严重”等关键问题上的规定相当粗略。此外,“情节严重的,处三年以下有期徒刑或者拘役”的规定,亦有偏轻之嫌,难以形成刚性约束力。只有网络安全法与网络发展实际准确同步对接,才能有力维护网络信息安全。
总而言之,网络信息安全工作任重而道远,既不能脱离实际也不能急于求成,唯有蹄疾步稳,网站、网民、国家形成合力,方能标本兼治。