如何让泄密事件再也不重演-CSDN及天涯社区用户帐户泄密事件有感

新闻背景资料：

12月22日，国家互联网应急中心（CNCERT）发布了《关于CSDN中文社区用户账号密码泄露的安全公告》主要内容：疑似泄露的数据库有26个，涉及账号、密码2.78亿条。确认CSDN社区、天涯社区两家网站发生了用户数据泄漏事件，但泄漏缘由还有待进一步分析。详细状况参见公告：http://www.cert.org.cn/articles/bulletin/common/2011123025709.shtml

个人一点见解：

这起事件之因此形成了较大的社会影响，主要有如下几个方面的缘由：

1，涉及的帐户数据库高达26个，帐户信息更高达2.78亿条。
2，事关CSDN和天涯两大超人气社区。
3，由于不少人习惯于在多个不一样的地点使用相同的帐号，所以受影响的范围实际远大于以上数字。
4，泄密数据库中的密码被***导入到“蛮力”***工具做为密码字典，一旦被普遍使用，泄密形成的影响将长期存在。
5，泄密的缘由至今不明，网上流传多种说法。能够确定的是，相关网站没有尽到其应尽的义务。
6，2012年将是云计算蓬勃发展的一年，这一事件给不少企业敲响了警报，云安全将成为企业发展云计算，特别是应用公有云的最大障碍。

暴露出的主要问题及如何避免相似事件再次发生：

从技术的层面来说，这一次泄密事件实在没有什么新意，发生这样的事件也丝绝不用感到意外，CERT给出的“五条建议”已经很全面了，我就再也不累述了。

我只想谈一谈发生相似事件的必然性，以及这一事件与云安全的关系。实际上咱们是没有能力“避免”相似事件再次发生的，只能尽力下降泄密的风险。

让咱们从“责权利”的角度来看看泄密事件发生的根本缘由：

1，责即责任，从互联网诞生的那一天开始，网站对用户信息的保护就有着不可推卸的责任，可是真正担负起这一责任的又有几家呢？特别是那些提供“免费服务”的网站，不只没有责任心，不愿在安全方面投入，甚至还坚守自盗，变卖用户信息大发不义之财。

2，权即权力，网站在保护用户信息方面有多大权力，也是不容忽视的问题，网站一方面要保护用户的信息，另外一方面要接受政府部门的监管，若是不可以很好地界定各方的权力，监管职能也可能被滥用。

3，利即利益，商人无利不起早，在安全方面的投入能获得什么回报呢？这就须要政府和社会两方面的努力了。在中国经商，违法违规的成本过低了，所以必须完善法律法规，且重点不该该放在过后惩治，而应该放在事前预防，英语里有个“due care”，这个词很好，政府应该对商家讲清楚，什么是你的职责，你必须尽职尽责。商家要接受审查，且在发生事故后要负有举证责任，要提供审计日志证实本身是尽责的，不然要遭受严惩，违法成本要远高于尽责成本。另外一方面，社会要重视商家的信誉，你们一块儿创建起诚信社会，中国人太健忘了，这极大地纵容了商家。咱们一边高喊“道歉有用，还要警察干什么”，一边很快地原谅那些靠眼泪博取同情蒙混过关的商家，还自我安慰说“其实都同样”。有句俗语叫“好了伤疤忘了疼”，有了如此宽容的政府和用户，商家从未曾体会到“疼”的感受，又怎么会花钱去尽责呢？

再谈谈云安全吧，看看这一事件在云安全方面给咱们的启示，我一样不谈技术层面的东西，技术能解决的，根本就不是问题。 严格意义上的云计算应该只有公有云而没有私有云，大企业自建的私有云，实际上也是内部各个部门之间服务关系的体现。所以，云计算是一种新的IT服务形式，云计算服务的提供者与消费者是一种契约关系。 问题来了，双方在签定服务合同时，可否把一切相关内容都写入合同之中呢？这显然是不现实的，任何一份商业合同都不可能面面俱到。那么服务过程当中若是产生了纠纷，而相关内容在合同中又没有言明，该做何处理？ 这就是我要讲的合规性，它是云安全的关键点。我认为当前中国发展云计算的三大障碍是投资回报，网络及安全性，而云安全中最重要的部分则是合规性。 为何前一段不少云计算项目被戏称为“云地产”呢，是由于本末倒置。先把云平台建起来，再“挖掘”需求。或者先讲故事，编造出一堆需求，为云计算项目的上马铺路。这是很可怕的。 云计算时代，什么是政府应该作的？第一是敦促并帮助运营商把网络建好，第二是把相关的法律法规完善起来，当好裁判员。这两件事情作很差，政府就拖了中国云计算发展的后腿。有了健全的法律法规，天然会有安全厂商开发出自动化的工具，帮助服务商实现合规性，用户也更容易选择好的服务提供商。 失去一部分控制力并不可怕，可怕的是服务提供商的“责权利”不明晰，服务提供商的行为得不到监管，这样服务质量确定得不到保证，用户拥有再多的选择权也是白搭，最后就真的应了前面那句话“其实都同样”。 [完]