2011信息安全大事件盘点（下篇） 推荐

原文再续，书接上一回。上一回为大家盘点了十大信息安全大事件中的6—10名，接下来，与大家一起盘点1—5名大事件。

5. 坚实的法律后盾——两高联合制定《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》开始施行

事件回放：

2011年8月29日，最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》。这个共有十一条的司法解释从2011年9月1日起开始正式执行。

2012年1月，国内知名黑客，“黑基网”实际控制人王献冰，因为提供侵入、非法控制计算机信息系统的程序、工具罪，被判处有期徒刑5年，罚金人民币60万元；被告人周林亮被判处有期徒刑4年，罚金人民币10万元。这是上述司法解释出台后审结的第一起有显著影响力的黑客案件。可以说，有关信息安全犯罪行为，真正“有法可依”。

评论：

目前我国现行法律法规及规章中，与信息安全直接相关的是65部，它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域。从数量上来看，确实很多，但也还有很多不足。

目前国内有关信息安全的法规，大多都是规章制度，立法法律层面的明显不足，如果发生类似的信息安全事件或犯罪行为，执法的威慑力与执行力，都不如其他领域的法律有保障，从根本上不能震慑犯罪行为。目前个人隐私信息泄漏事件频发，其根源一定程度上也在于此。国外在这一方面做的就比较好，例如，美国2002年的《联邦信息安全管理法》、87年的《计算机安全法案》、俄罗斯95年的《联邦信息、信息化和信息保护法》等。

此次两高解释的出台，算是为国内的信息安全法律开了一个好头，但仍有许多相关法律亟待完善。例如信息安全中涉及的个人权利主要包括通信秘密、言论自由、隐私权、著作权及相关知识产权，而与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法，与隐私权相关的法律是民法通则，与著作权及相关知识产权相关的法律是著作权法、合同法，信息安全中涉及的单位的权利主要包括商业秘密、技术秘密、著作权及相关知识产权等，而与商业秘密、技术秘密相关的法律有反不正当竞争法、技术合同法，与著作权及相关知识产权相关的法律有著作权法、合同法。如何提高这些法律法规的整体性，使其相互配合，并尽量不产生冲突，让各大企业以及个人都能依法办事，有法可依。

好的开头已开启，希望下文更精彩。

4. 人云亦云，不知所云——亚马逊云服务宕机，服务终端，部分客户数据丢失

事件回放：

（美国时间）11年4月21日上午01：30分，北弗吉尼亚州的数据中心出现故障，造成了Amazon公司旗舰数据中心EBS服务无法正常使用。在大约12小时后，AWS表示，在除一个区域以外，所有可用区域的功能均已恢复并运行正常。4月24日晚上7:00,AWS表示，该服务运行稳定，恢复过程仍在进行中，但是直至4月25日AWS才将美国东部地区的运行状态标为正常。

服务宕机事件导致包括问答网站Quora、手机地理位置社交网络服务商Foursquare及社交媒体Reddit等创业公司均受到不同程度影响。

评论：

过去的一两年，“云”似乎成为了一个大热的话题，“云存储”、“云计算”甚至是“云杀毒”，云的触角似乎蔓延到了每一个角落，言必称“云”，是很多展会上的常见风景。然而，“云”是什么？至今尚无人能说得清。

此次亚马逊云服务宕机事件，为我们提了一个醒，在你兴奋的想要应用这些先进的技术之前，应该问自己几个问题：云计算是什么？我需要的是哪种云计算，平台即服务（PaaS），软件即服务（SaaS），还是基础设施即服务（IaaS）？ 我是应该选择公有云，还是私有云？ 如果把我的业务转移到云平台中，无论是公有云，还是私有云，目前有相对应的信息安全保护解决方案么？换句话说，连我都不知道在云中何处的信息，它安全么？

3. 免费安全时代来临？——360成功上市

事件回放：

2011年3月30日，奇虎360在美国纽交所上市，这是2011年第一家在美国成功上市的中国互联网公司，也是迄今为止第一个独立上市的中国互联网安全公司。上市当日收盘价为34美元，首日涨幅达134.48%，首日总市值达38.5亿美元，以当日计算位居中国十大互联网公司行列。

2011年，360还低调推出了企业版360安全卫士，进军企业市场。通过与国内的部分企业级IT厂商合作，360免费企业安全产品也在低调推进中。

评论：

我们姑且不评论360所推行的免费安全的质量如何，只讨论企业级的免费安全是否可行？我想，恐怕有待商榷。

很关键的一点，企业级产品对于服务的要求是免费安全无法给予的。免费安全产品，说白了就是用“免费”来换取市场份额，并在后期通过增值业务收费。用户接受了免费，换来的就是一句“一切解释权均为本企业所有”。而安全对于企业来说，恰恰是最要求拥有自主权和实际保证的。如果出了安全事故，免费产品的用户显然不可能凭着一份当初直接按下下一步的“用户协议”来维护自己的权益。

企业免费安全，看上去很美，但接下来的路如何走，前方是康庄大道还是断头崖，我们拭目以待。

2. 老大哥在看着你——运营商Carrier IQ跟踪用户手机使用信息事件

事件回放：

2011年12月，一位 25 岁的黑客 Trevor Eckhart，发现 Android、Nokia、HTC 等手机内置的 Carrier IQ 服务会不断上传用户的操作数据，并发布了一段视频作为佐证。

此后，涉及此次事件的几大手机厂商与运营商大部分都出面承认了事件的真实性。尽管CIQ的开发商辩称，他们的产品并不收集用户隐私信息，只是为了运营商改进产品与服务，用户对此仍有重大疑虑，美国部分议员也表示了对此的关切。目前，部分手机厂商和运营商已经公布了补救措施，包括如何移除手机内置的Carrier IQ产品，以及不再在产品内预先安装此软件。

评论：

这是继之前苹果与Android跟踪用户地理位置之后爆出的又一牵涉用户隐私信息保护的重大安全事件。

随着基于i-OS、Android等系统的只能移动设备的爆发性增长，智能设备迎来了前所未有的春天，随之而来的安全威胁也不得不让人正视。

作为智能操作系统，这些产品能实现更多的应用，但是越来越频繁的个人信息泄漏事件，让用户对于个人隐私泄漏的焦虑越来越严重。

另外，企业层面，智能设备的普及，也让IT部门面临着两难。员工利用私人设备，能够方便的处理工作任务，加快工作进程，但不断爆出的安全事件，却让IT管理人员对于私人设备进入企业IT系统充满了警惕，因为一旦企业的机密信息通过私人设备泄露，造成的经济及其他非经济损失更加直接，影响也更大。

智能设备的狂潮肯定是不可阻挡的，粗暴的禁止无异于因噎废食。IT管理人员应该做的，是开始考虑对于智能设备应该采用怎样的安全策略，在享受科技便利的同时保障信息安全。

1. 当密码不再是秘密——CSDN、天涯等遭遇最大用户密码泄漏事件

事件回放：

11年12月21日，知名程序员网站CSDN被曝600万用户帐户密码泄漏。黑客在网上公布了用户数据库，此数据库在网络上广泛传播，并被制作成网页供网友查询。更为惊人的是，此次泄漏的用户数据库中，密码竟然是明文存储的。CSDN随后承认用户密码失窃，但强调这些密码都是在2009年之前注册用户的，现在已经不再明文存储密码。

此后又有多家知名网站包括天涯、人人网、开心网等爆出了用户密码数据库泄漏。一时间人人自危，“改密码”成了热词。

评论：

本次事件充分暴露了互联网上脆弱的安全生态，企业防范不到位，法规缺失，黑客产业链，用户安全意识不足。种种负面因素的累加，使得类似事件的发生也就有了其必然性。

盘点结语：

2011年发生的信息安全事件，远远不止以上10起，其影响力，实在难以一语概之。希望通过对过往这一年影响较大的安全事件的回顾，让更多企业、个人真正意识到信息安全的重要性，并行动起来。古语有云“空谈误国，实干兴邦”，唯有用行动才能迎接已经到来的、形势汹涌的2012。未来一年的信息安全行业将如何收官，我们静观其变。