参考消息网6月3日报道 港媒称,1000多所中国大学的网站中存在的上千个高风险漏洞已被人们发现。
据香港《南华早报》网站5月21日援引《经济参考报》的一篇报道称,从2014年4月至2015年3月,1088个大学网站中存在的3495个安全漏洞已被发现。这些学校包括闻名遐迩的北京大学和清华大学。而其中将近75%的网站都面临着很高的易遭受攻击的风险。
报道说,相关漏洞有可能令黑客窃取到数百万名相关学校学生和教职员工的私人信息。
西安交通大学信息安全法律研究中心主任马民虎说,除了有暴露隐私的风险,涉及敏感科研和军事项目的信息同样有可能会被泄露,相应后果会“非常严重”。
报道称,2014年10月,教育部颁布了关于加强教育行业网络与信息安全工作的指导意见,要求所有高等院校加强信息安全工作,并采用相关国家标准。然而,尽管有关部门再三发出警告,有研究人员接受本报采访时说,将近95%的安全漏洞依然没有得到处理和解决。
不过,不仅仅只有中国大学的网站存在严重的安全缺陷。
位于美国的霍尔德网络安全公司介绍说,2014年,俄罗斯黑客从超过42万个网站盗取了大量信息,收集到12亿个用户名和密码的组合,以及5亿多个电子邮件地址。
据普华永道会计师事务所统计,2014年,被侦破的网络攻击的数量与前一年相比增加了48%。预计这一增长趋势在2015年将会继续存在,而且每天都发生着10万起网络攻击事件。(编译/王宇丹)
【延伸阅读】支付宝、携程相继瘫痪 “互联网+”背后藏网络安全危机
国际在线消息(记者 姚毅婧)近期,因各种原因导致的网络安全事故呈现频发趋势。继支付宝因“光纤被挖断”大规模服务中断之后,携程网也因故障“瘫痪”。坐拥数亿用户的大型互联网公司、移动支付企业为何接连发生故障?又如何提升应对“突发事件”能力,保障用户使用安全?业内专家对国际在线记者表示,正在兴起的“互联网+”背后亦存危机,互联网发展背离基础设施建设,一根光缆“绊倒”了互联网巨头;“法律约束力有限,监管急需加强,目前数据安全维权很难胜诉。”法律界人士也发乎相关呼吁。
5月28日11时许,携程网瘫痪,网页版和手机APP均不能正常使用,携程网回复称是服务器遭到不明攻击所致,正在紧急恢复。当日下午,携程官网在首页顶部挂出“携程网站暂时无法提供服务,正在紧急修复中,您可以访问:艺龙旅行网”的通知。5月28日17点开始,艺龙旅行首页网也无法正常访问,半小时后才恢复正常。
对于事故原因,在携程瘫痪事件发生不久之后,网上出现了内部员工离职报复、数据库被物理删除等传言。但携程官方表示,经技术排查,确认此次事件是由于员工错误操作导致,由于涉及的业务、应用及服务繁多,验证应用与服务之间的功能是否正常运营,花了较长事件,携程官网及APP已与28日23时29分全面恢复正常。
此外,5月27日下午,支付宝也出现大规模故障。据多个地区的网友用户反映,支付宝账号无法登录,更无法进行转付账。与此同时,打开余额宝后,不能显示余额,只能显示网络无法链接。随后,支付宝在新浪微博回应称:由于杭州市萧山区某地光纤被挖断,造成目前少部分用户无法使用支付宝。
“互联网+”背后藏危机
互联网发展背离基础设施建设
如今,互联网已经深深地扎根进我们的生活,很多人出行都依靠携程预订行程。事实上,像携程这样的互联网龙头企业在不断扩大自身市场份额的同时,它的社会责任也在扩大。“企业在忙于业务、忙于竞争,忙于“互联网+”的时候,千万不能忘记对安全问题的维护,因为一旦发生状况,企业自身的安全问题就将会成为全社会的问题。”中国电子商务研究中心助理分析师沈云云呼吁。
中国电子商务研究中心特约研究员王吉伟直言,此次携程以及支付宝安全事件,一方面暴露了中国互联网安全的短板,另一方面,反映了互联网企业对于企业内部运营这个工作重视度的不够。
“互联网安全不只是服务器软环境上的防黑、防毒、防DDOS攻击等手段,硬件安全同样重要。这应该引起广大互联网企业以及通讯服务商企业的重视,应该有备用的应急处理措施,否则,一旦机房、通讯电缆等基础通讯设备遭到破坏,就会让整个企业受到影响,所造成的损失是不可估量的。事实上,这是互联网行业蓬勃发展与基础设施建设滞后的矛盾表现,体现在中小型企业上不会如此受关注,但是发生在大型企业身上就会成为矛盾焦点。”王吉伟说。
王吉伟称,无论是因为运营人员的误操作还是传信那样内部的人为攻击,背后所表现出来的是运营上的不济、运维人员的技术不够、对安全的不够重视和分工不明确,出事故找不到责任人等等情况,也是当前各互联网企业的运营常态,这与广大企业对于运营工作的理解不当以及企业内部组织管理架构的适配不当也有一定的关系。
沈云云认为,在互联网企业不断发展的同时,也频繁地暴露出各种网络安全事件,归根结底,原因还是在于多数互联网企业对网络安全问题的漠视。携程此次事件的发生,无论是企业内部的原因还是外部的恶意破坏,都折射出了携程对数据安全管理上的“失职”。“企业数据管理一旦出现问题,尤其是像携程这样的领域前端企业,将会造成难以弥补的损失。”
法律约束力有限
数据安全维权难胜诉
携程数据因被删而瘫痪,支付宝因为施工挖断电缆而停运,大数据、云时代遇到简单的问题,最终却网络和信息都极其脆弱地失联了。这显示了网络安全在互联网时代至关重要,无论是技术上的安全还是法律规范上的保障,都缺一不可。
“此次携程数据库,记录了大量的客户信息,而支付宝更为严重,直接涉及到货币金融,好在是物理性断网而非数据入侵。因此,国家有必要进一步加强立法打击黑客等物理性破坏网络的行为,保障网络安全及用户权益。”北京盈科律师事务所高级合伙人吴旭华律师呼吁。
吴旭华分析,虽然网络的特性是去中心化,但是信息存储必须通过一定的物理方式进行,因此去中心化的网络形态反而成了黑客们自由驰骋、肆意破坏的挡箭牌。这在过程中,法律不能缺位,而且更加应当加强,尤其是目前网络监管侧重于内容,对技术性破坏囿于技术水平等因素尚无法进行全面惩处。
按照美国的法律,企业发生一次信息泄露事件就可能被罚得倾家荡产。“根据我国法律对用户隐私的侵权行为约束力有限,用户维权、寻求民事赔偿胜诉率不大,对损失评估难以确定金额,所以想要对隐私泄露的责任人追究还是非常困难的。虽然大规模信息泄露、数据安全事件频出,却从未见到企业负责人被问责。”辽宁亚太律师事务所董毅智律师称。
究竟该谁为用户数据安全负责?董毅智认为,按照现行法律,如果用户信息泄露,企业是需要承担一定的赔偿责任的。因为公司与用户之间具备合同关系,有保障用户信息安全的义务。如果本次事故是内部人员所为,说明携程网内部存在管理问题,没有尽到安全管理责任,应承担相应的民事责任,赔偿用户损失。如果本次事故是外部攻击造成,需要具体分析携程方面是否有采取基本的技术措施保障信息的安全来判定携程是否存在过错。
网路安全事件发生后,一个重要的问题就是,当企业发现数据泄露后该做什么,是否第一时间发出警报并采取措施直接体现了当事公司是否尽到了相关责任。在类似事件中,一些企业往往担心自身名誉受损,对数据泄露抱着遮遮掩掩的态度,这种心态正是网络攻击者所期望的局面,也是攻击者有恃无恐的原因之一。
网络安全犯罪如何定罪量刑?北京志霖律师事务所赵占领律师表示,无论是内部人员所为还是外部攻击,造成携程本次网络瘫痪的人员都涉嫌刑事犯罪。“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。”
相关事件
携程“漏洞门”
2014年3月22日,乌云安全漏洞平台公布了关于“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程由于服务器未做到严格的安全配置,包括持卡人姓名、身份证号、持卡类别、卡号、CVV码等信息存在泄露可能,所有支付过程中的 调试信息面临安全风险。该漏洞被曝出后,引发公众担忧。漏洞事件曝光后首个交易日,携程股价也一度下跌近10%。
支付宝“宕机”90分钟
2015年5月27日下午17时左右,支付宝出现在大规模故障。据多个地区的网友用户反映,支付宝账号无法登录,更无法进行转付账。与此同时,打开余额宝后,不能显示余额,只能显示网络无法链接。随后,支付宝在新浪微博回应称:由于杭州市萧山区某地光纤被挖断,造成目前少部分用户无法使用支付宝,运营商以及工程师正在修复。
相关法律/法规
——《中华人民共和国刑法》第二百八十六条:
破坏计算机信息系统罪。违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
——《网络交易管理办法》第十八条规定:
网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密,不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
——《关于加强网络信息保护的决定》:
网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
(2015-06-01 14:07:01)
【延伸阅读】国内企业网络安全事件频发 安全软件产品正备受青睐
原标题:国内企业网络安全事件频发 安全软件产品正备受青睐
国际在线报道(记者 王全文):移动支付、炒股、在云端储存个人信息,这些看似并没有太多关联的事件都被一张无形的互联网紧紧地连在了一起。随着互联网深深地嵌到人们的日常生活与工作当中,人们的衣食住行等各方面都已经离不开互联网。而近些年不断出现的互网络安全事件,却让广大百姓坐立不安。在第十九届中国国际软件博览会上,大量和保障网络安全有关的软件产品悉数亮相,引来关注。
无论是近日,支付宝、携程接连发生的企业信息安全事件,以及银行储户存款无故蒸发,还是去年好莱坞众多明星私密照在云端遭泄露,这些涉及经济利益和个人隐私的事件都与信息安全有着密不可分的关系。在互联网融入人们生活的同时,网络信息安全问题不容忽视。工业和信息化部软件服务司司长陈伟表示,“从软件信息发展服务业的角度来看,始终高度关注信息安全这样一个现实的问题。如何为广大的用户和广大的消费者,提供能够保护隐私保护商业秘密和国家安全的,产品、技术、服务和解决方案,这是我们产业的一份历史的责任。”
在第十九届中国国际软件博览会上,大量和保障网络安全有关的软件产品悉数亮相。记者在采访中发现,如今越来越多的国产软件受到国内外用户的青睐。从事商务密码制作的得安信息技术有限公司副总裁孔凡玉告诉记者,随着他们不断的研发,现在的产品不但在国内各大银行、金融机构得到了广泛认可和应用,一些国际上知名银行也都开始使用他们的产品。
“现在我们自主研发密码算法之后,国际上很多公司向我们来靠拢,主动来跟我们联系,像国外IBM等公司来跟我们联系,像国外的花旗银行、渣打银行的终端密码设备,都是我们公司的。这样的话中国和其它国家的交互会越来越多,产品的出口也会越来越多。”
在这些软件企业看来,未来他们要从国家战略的高度来提升网络信息安全,并且在技术上要对一些互联网新概念下出现的新的信息安全进行研发。孔凡玉说:“未来研发的方向,我觉得有两个方面,一个是国家战略层面看,怎么来保证国家的信息安全,第二方面,从信息技术研发层面来讲,云安全、大数据、移动互联网,物联网和智慧城市等这些概念出来之后,自然会带来新的技术应用领域,出现一些新的网络安全信息安全的问题。”
作为全球第二大经济体、世界上互联网使用人口最多的国家,网络信息安全已经成为我国面临的新的综合性挑战,在本届软博会上,工业信息化部部长苗圩表示,未来国我国要着力推进自主创新,加快安全可靠的信息系统建设。
“大力推进自主创新。瞄准国家战略和产业急需,发挥大国大市场优势,鼓励支持软件企业和工业企业跨界融合、协同创新,力争在基础软件等重点领域突破一批核心技术,加快安全可靠信息系统建设,全面提高信息安全保障综合能力。”
(2015-05-29 14:19:01)
【延伸阅读】北京网络安全反诈骗联盟发布猎网平台 防范打击网络诈骗
中新网5月12日电 “北京网络安全反诈骗联盟”今日在京发布了网络诈骗全民举报平台——猎网平台(110.360.cn),这是北京市公安局网络安全总队与360互联网安全中心共同发起“北京网络安全反诈骗联盟”一年后,针对网络诈骗的又一重要举措。
猎网平台的推出是为了进一步加强网络犯罪信息的共享与联动,更加有效地防范与打击网络诈骗活动,360公司总裁齐向东表示,“猎网平台将在反诈骗联盟平台过去一年工作的基础上,建立一个覆盖范围更广、数据案例更全面的网络诈骗举报和防范平台,通过反诈骗联盟和猎网平台,360将进一步向全社会分享其安全技术,开放其安全大数据资源。随着猎网平台的发布和推广,将进一步促进北京网络安全反诈骗联盟的社会价值最大化。”
随着互联网应用的深入和普及,当今社会已经全面进入互联网时代。4月28日,北京网络安全反诈骗联盟发布的《2015年第一季度网络犯罪数据研究报告》显示,网络诈骗已经成为中国用户上网最大的威胁之一,2015年1-3月,北京网络安全反诈骗联盟共接到网络诈骗报案4920例,报案总金额高达1772.3万元,人均损失3602元。
猎网平台是一个网络诈骗全民举报平台,平台将在公安部门的协调和指导下,结合360公司强大的网络安全技术实力和网络渠道资源,并借助中国网民和联盟各成员单位的力量,联合防范与打击网络诈骗犯罪。“北京网络安全反诈骗联盟”成立一年以来,在防范网络诈骗活动方面取得明显成效,一年来,反诈骗联盟共拦截恶意网址、钓鱼网站406亿次。用户举报受骗的起数同比去年下降了19%,新增的恶意网址数量同比下降了45%。
北京市公安局网安总队总队长叶漫青表示,猎网平台是“警、企、民”联合合作优势的具体体现,其有利于让社会各界更好的认识我们面临的网络安全形势,提高对网络诈骗的防范意识,减少因网络诈骗给网民造成财产和信息损失。
据悉,今后反诈骗联盟将通过猎网平台,进一步加强网络诈骗的大数据研究,并配合北京市公安局网安总队,分别针对不同年龄、不同性别、不同维度的网民进行更加个性化的科普传播和有针对性的预警提示。
在今天的猎网平台发布会上,“北京网络安全反诈骗联盟”还发布了《网络诈骗案例研究报告》,进一步分析了网络诈骗的典型案例和网络诈骗的典型手法,同时基于案例研究成果提供了系统的网络诈骗防范措施。
(2015-05-12 14:46:02)
【延伸阅读】中国首次“公众网络安全意识调查” 启动
国际在线消息(记者 张军勇):为配合第二届中国国家网络安全宣传周,了解中国网民的网络安全意识现状,“首次公众网络安全意识调查”于4日正式启动。
据介绍,本次调查将在网络媒体、微信、手机客户端等新媒体渠道投放调查问卷,旨在全面了解中国网民的互联网安全意识现状、上网行为以及对网络风险的预防能力。此外公众还可以通过“网络安全宣传周”官方公众号“网络安全宣传”,以及第二届国家网络安全宣传周官方网站参与。
(2015-05-04 17:22:01)
更多猛料!欢迎扫描下方二维码关注新浪新闻官方微信(xinlang-xinwen)。
