左手收集，右手泄密

從社區論壇，到游戲網站，再到網絡購物，我們已經耳聞了太多用戶個人信息被服務提供商泄漏的事件。這類事件一直在持續，似乎已經沒有了終結的時日。8月9日，曾開發了包括《星際爭霸》、《魔獸爭霸》以及《暗黑破壞神》等知名游戲產品的廠商美國暴雪娛樂公司（Blizzard Entertainment）發布聲明稱，“公司的安全團隊發現內部網絡遭到了非法入侵”。暴雪游戲連線對戰平臺“戰網（Battle.net）”以及其上所運營的游戲均受到了入侵事件的影響。據悉，被泄漏的信息包括用戶的郵箱地址、北美地區服務器上存儲的被加密過的密碼數據庫、加密過的手機號碼、個人安全提示問題和答案以及手機安全令牌等內容。

創業容易守業難

一直以來，數據安全都游走在一個很尷尬的位置上。談到IT建設，CIO們大多會首先考慮計算、存儲以及網絡部署。計算速度更快、存儲容量更大、網絡帶寬更高，這些需求蒙蔽了CIO們的雙眼。之所以出現這種情況，是由于在IT建設過程中，無論計算、存儲還是網絡部署，都是按照業務需求來匹配的。換句話說，業務推動了以上三個部分的增長。與之相對比的是，安全部署看起來似乎同業務增長沒有半點關系。

但是，真的是這樣嗎？如果說計算、存儲和網絡被冠以“創業先鋒”名號的話，安全則是當之無愧的“守業專家”。“創業容易守業難”，這句話用在此處非常合適。在信息安全攻擊的背后，往往涉及著不可告人的經濟、商業或者政治利益，這種以人為主導的操作，往往會令業務遭受到重創，并會讓企業聲譽受損。

從2011年年底開始，國內網站將用戶個人信息泄漏的事件頻頻見諸于報端。令人感到詫異的是，這些網站中有不少都是管理著用戶姓名、地址、電話以及錢款等重要內容的電子商務網站。當當網、京東商城、1號店等知名電子商務服務商在這場數據安全大戰中無一幸免。

在記者的采訪中，一位不愿意透露姓名的安全技術人員表示，國內很多電子商務網站都存在著這樣或那樣的安全問題。在這些安全問題中，由于部分相關代碼涉及到后臺發布、數據庫管理等核心應用，因此很難被修復，“除非真的出現了問題，服務商痛定思痛去解決，否則都是抱著得過且過的心態?！?/p>

不讓數據泄漏成常態

那么，看似能夠正常運行的信息系統，是如何遭遇到風險的呢？

RSA中國區技術顧問華丹認為，一般來說，我們所談及的數據泄漏和信息安全風險主要來自內部威脅和外部攻擊。隨著近年來高級可持續性威脅（Advanced Persistent Threat，APT）的泛濫和惡意軟件的快速發展，信息泄漏風險正在面臨越來越大的壓力和挑戰。

在這其中，內部威脅情況比較復雜，服務商需要從包括人員管理、風險策略、安全管理平臺等多個方面去考察安全狀況。“日常內部各個環節都可能造成數據泄漏等風險隱患?！比A丹表示，“包括暴雪等在內的服務提供商通常都需要搭建海量數據平臺及系統基礎架構，來為公眾提供良好的服務。因此，這些服務商不僅需要了解哪些數據是關鍵數據或高風險等級數據，而且還要確保針對這些數據信息已經有相應的技術手段實現保障。同時，服務商還需要按時按需查看這些技術手段是否在正確的位置發揮了應有的作用，并評估數據出現風險后將會對具體業務和公司運營層面產生哪些影響。”

華丹所談到的內容涉及了公司策略、制度、技術體系保障、技術實現等多個方面，統一起來的話，可以被稱為是對公司IT治理的規劃和落實。對于企業CIO而言，不僅需要對安全風險了然于胸，而且還要能夠利用工具實現風險的可視性、實時分析、安全威脅智能和合規等內容。

有句俗話叫做“羅馬不是一天建成的”，同樣，企業安全問題的處置不能夠一蹴而就。

CA Technologies亞太及日本地區安全副總裁Vic Mankotia認為:“在我們所生存的這個依靠網絡相連接的世界中，對于確保數據安全應該采取更加積極的姿態?！盫ic表示，數據安全建設需要有一個多層次的安全體系，通過保護交互的信息來實現網絡和基礎設施水平上的傳統安全。

在線業務安全解決方案一般包括了四個部分：了解身份、管理訪問、使用高級認證和數據丟失防護。

Vic認為，對于服務供應商來說，有三方面的安全要素需要特別提起注意：

首先，確保IT系統已經部署了基于內容感知的身份認證和訪問管理，并確保實施了像雙因子認證機制這樣的高級認證服務（相關文章請參見計算機世界2012年8月6日第22版文章《雙因子認證不可靠？》）。

其次，服務供應商需要了解其自身是信息的聚合器和倉庫這樣一個定位，如果沒有積極主動地進行安全防護的話，很容易成為黑客和犯罪分子的目標。

最后，如今的網絡和信息環境已經通過有線、無線和移動連接覆蓋了全球各地。因此，服務供應商需要知道如何合理安全地共享信息，這也是安全保護的關鍵。

我國個人信息保護立法尚待時日

在這次信息泄漏事件中，暴雪的做法受到了外界廣泛的質疑和批評。

根據暴雪披露的信息顯示，其早在美國當地時間8月4日就發現了此次黑客入侵。然而，這一入侵事件真正被其公之于眾卻是在5天以后。暴雪聲稱，之所以延后披露相關信息是由于其在此期間對攻擊事件進行了翔實的調查，包括此次入侵的性質及數據泄露的范圍等。然而，這一做法卻增加了用戶密碼的被盜風險。外界普遍認為，如果在攻擊事件發生后24小時內對外通報事件并提醒用戶修改密碼的話，用戶將能夠更好地保護自己的密碼不被盜取。

那么，對于互聯網服務商所保存的用戶信息，是否有相關法規限制其對這些信息內容的應用？一旦信息發生泄漏，是否存在相關的處理條款？

提到個人信息保護，就不得不提到目前在全球最早頒布的相關法規之一——1995年歐盟所公布的《數據保護指令》。其規定了個人信息的處理流程，并制定了一系列需要所有成員國實施的原則和規則。這一法規是歐盟人權和隱私法規的重要組成部分。

《數據保護指令》在內容上包括一般性規定、合法性的一般規則、司法救濟、責任與制裁及成員國貫徹措施等部分。其關于個人信息保護方面的實質性規定主要包括適用范圍、對個人數據收集加工的基本原則、數據主體的權利、數據控制者的義務及對數據控制者的監管、救濟與法律責任等內容。

盡管《數據保護指令》已經對個人信息處理有所規定，然而其并沒有在信息技術和數字通信方面有針對性的條款。2002 年，《隱私與數字通信指令》發布。作為《數據保護指令》的補充和延伸，其對數據交換、垃圾郵件等信息時代特有的內容明確規定了隱私條款。這一條款在2009年又進行了新的修正?！峨[私與數字通信指令》重點規范了服務安全、法規遵從、垃圾郵件處理、Cookies等方面的內容。

RSA中國區技術顧問華丹介紹說：“在美國，互聯網隱私是以州為單位立法，相互之間各不相同。有一些州的隱私法律禁止公司在未經用戶同意下，傳播用戶信息；有一些州為了防止信息泄露，強制進行數據保護。這些隱私保護法律在美國各州很常見，并且幾乎都在執行?！?/p>

資料顯示，美國商務部于1998年發布了《有效保護隱私權的自律規范》，要求網站從業者必須制定保護網絡上個人資料與隱私權的自律規范。同年，美國還出臺了《兒童網上隱私權保護法》，禁止網站從業者誘導未成年人填寫包括姓名、生日、住址、消費習慣、產品偏好，甚至父母年薪等在內的個人信息。

當然，這些規定并非盡善盡美。比如，很多相關法規和指令由于發布時間過久，因此并沒有對信息技術的應用具有適應性。用戶很難獲知個人信息所存儲的地方，也很難知悉個人信息何時、何地被何人收集、加工、傳播和買賣。在此背景下，用戶舉證比較困難，法規和指令很容易流于形式而無法執行。盡管如此，這些法案還是為個人信息保護奠定了基礎。

2012年年初，歐盟發布了《數據保護規則》草案，以應對日新月異的數字信息應用。未來，這一規則將取代《數據保護指令》。

在我國，隨著近年來信息技術的應用與普及，出臺相應法規的呼聲也越來越高。2008年，《個人信息保護法》草案被提交至國務院。2011年，工業和信息化部發布了《信息安全技術個人信息保護指南》。

由于我國在個人信息保護立法方面起步較晚，對此的重視程度也不夠，因此相比較而言，我國對于個人信息保護的法規條款并不完善。相應的，由信息存儲及服務商自發主動披露信息泄漏事件的案例也并不多見。8月14日，有媒體報道稱“江蘇銀行涉嫌泄露3.2萬份個人信息”，這一信息隨后被江蘇銀行方面否認。CA Technologies亞太及日本地區安全副總裁Vic Mankotia認為，信息泄漏事件會導致企業的聲譽受損，“這可能會導致更多品牌價值和信任的損失，而這些都有著深遠的影響?！?/p>

鏈接

深入了解SRP

在攻擊事件發生后，暴雪表示，其使用了Secure Remote Password（SRP）協議來對用戶的明文密碼進行了加密。那么，SRP是什么，它真的能保證用戶的數據安全嗎？

簡單地說，SRP是一種增強型的認證口令密鑰協定協議（Password-authenticated key agreement)。在客戶端與遠程服務器通信過程中，SRP協議會生成一個私有密鑰，并通過這個密鑰對通信合法性進行驗證。換句話說，在通信過程中攔截數據并不能獲得明文的傳輸信息。除此之外，SRP還能對服務器上的數據進行加密存儲。

SRP協議在應用上非常方便，其能夠讓客戶端自行向服務器發起認證，而且也不需要一個認證機構或者證書頒發機構。此外，由于SRP會生成各不相同的私有密鑰，因此，即使兩名用戶的明文密碼一致，通過密鑰加密后的數值也并不相同。這種做法有效降低了大批量數據被暴力破解的可能性。所謂暴力破解，就是將所需要的數值不斷進行比對的方法。暴力破解的快慢依賴于運算速度。

盡管SRP協議有著諸多優點，不過在硬件和軟件技術高速發展的今天，其可能已經有些“廉頗老矣”。暴雪公布信息泄漏事件并聲稱采用SRP協議后，就有黑客聲稱，這一協議其實并不像其所說的那樣難于破解。

前文已經說過，SRP自身的加密方式可以抵抗大規模的暴力破解攻擊事件。不過，以今天的運算速度來看，一個一個地破解密碼也并不需要多久的時間。有國外分析文章提出，可以利用Amazon EC2云計算的高性能進行針對SRP協議的破解。這對于一些采用簡單口令的用戶來說并不是什么好事。

同時，有新聞稱，盡管此前“密碼破解軟件如Hashcat和John the Ripper都不支持SRP協議，但在暴雪承認黑客入侵事件后不到24小時，John the Ripper的主要開發者Alexander Peslyak就表示，未來會讓程序支持破解這一協議”。