每一年的年末都會有一些cq9电子平台意想不到的事情發生，2011年末也不例外：

係統用戶信息泄漏事件

    2011年被業界喻為中國的內網安全建設年，國家針對分級保護、密鑰管理和電子認證係統建設出台了係列政策。然而，就在2011年最後一個月的21日，自國內最大的開發者社區CSDN網站600萬用戶個人信息遭泄露後，天涯、開心網、珍愛網、走秀網、多玩、178、人人網、佳品網、當當網和支付寶等眾多網站相繼“淪陷”，均被曝出用戶信息遭到泄露消息。有消息稱，天涯社區4000萬用戶密碼遭泄露，當當網1200萬全字段用戶資料遭到泄露，支付寶泄漏總量甚至達到1500-2500萬, 相關數據已經在黑市上流通，而這些數據正在被用於網絡營銷。這場被稱為“史上最大規模”的用戶信息泄露事件波及網站越來越多，信息安全危機愈演愈烈。cq9电子平台的個人信息在信息高速公路上開始了不知什麽時候才能停下來的裸奔……業內人士預計泄露網站數據庫的行為可能會引發連鎖效應，更多網站的數據會被黑客放出。

工信部及時介入此事

    工信部及時介入此事，發布通告強烈譴責竊取和泄露用戶信息的行為，並要求企業嚴防漏洞。工信部要求，發生用戶信息泄露的網站，要盡快通過網站公告、電子郵件、電話、短信等方式向用戶發出警示，提醒用戶修改在本網站或其它網站使用的相同用戶名和密碼。未發生用戶信息泄露的網站，必要時應提醒用戶修改密碼。工信部同時要求互聯網站要開展全麵的安全自查，及時發現和修複安全漏洞。加強係統安全防護，落實相關網絡安全防護標準，提高係統防入侵、防竊取、防攻擊能力。要采用加密方式存儲用戶信息，保障用戶信息安全。一旦發生網絡安全事件，要在開展應急處置的同時，按照規定向互聯網行業主管部門及時報告。相關改密碼的信息在各大門戶網站貼出，上億網民在網上“積極”地開展了一次改密運動。

自覺環境下誰來把關係統信息安全？

    cq9电子平台深入地思考一下，此次各大互聯網企業用戶信息泄露問題出在哪裏？是網絡黑客太強還是cq9电子平台所用的係統安全堡壘太脆弱？法律法規、管理體製、技術手段等是保障信息安全的關鍵因素。據法律專家趙占領向媒體透露，關於個人信息保護的首個國家標準仍在製定階段。而現階段，網絡漏洞的監控與管理仍需靠互聯網企業的自覺。但他同時表示，《中華人民共和國侵權責任法》中明確保護公民的隱私權，《刑法》也規定了泄露個人信息可能要承擔刑事責任，用戶可以通過民事、刑事途徑維權，但關鍵是證據比較難收集。《新京報》評論認為，要想解決用戶個人信息問題，最重要的還是完善相關法規，明確各方保護互聯網個人信息的責任。用法律逼迫網站安全技術升級，同時也應讓那些不負責任的網站，依法受到懲罰。國家對互聯網企業在保存用戶信息上也沒有明文規定必須應用密文，更沒有設定用戶信息保存加密算法的的最低標準。通常來講，對於用戶的個人信息互聯網企業應該采用加密方式保存用戶密碼等關鍵數據，采用嚴格、多重的用戶注冊和登錄認證規則，甚至啟用強製性動態密碼技術機製等來保障用戶信息安全。網絡信息安全的首要任務是積極防禦，盡可能的從源頭上遏製網絡用戶信息的泄漏，這就要求互聯網企業要提高網絡係統的安全防禦能力。信息安全保障體係是實施信息安全保障的法製、組織管理和技術等層麵有機結合的整體，是信息社會國家安全的基本組成部分，是保證國家信息化順利進行的基礎。在我國對於信息係統安全技術的升級在現階段也隻是靠互聯網企業的自覺升級，應用軟件或操作係統設計時的缺陷或編碼時產生的錯誤以及業務在交互處理過程中的設計缺陷或邏輯流程上的不合理等都會對用戶的信息安全構成了很大的威脅。

    在係統開發流程中，有一個環節能夠考察出係統的穩定性和安全性能等，那就是係統測評認證。在正規合理的係統開發流程中，係統開發完成之後嚴格來說必須經過測評認證之後係統才能投入實施和使用。信息係統的測試結構必須經由被認可的獨立第三方的實驗室來執行測試。但目前在法律不健全的情況下，缺少強製性的係統信息安全強製測評認證，互聯網企業為了降低係統開發成本，很多信息係統在軟件公司開發完成後交給委托方之前，委托方基於企業成本的考慮很少會請專業的獨立第三方來對信息係統的安全性進行測評認證，就直接將委托開發的信息係統投入使用。

    另外，用戶在使用互聯網企業提供的信息係統服務時，用戶與互聯網企業之間存在著信息不對稱，對於用戶所登錄的網站和所使用的客戶端軟件以及其他服務等的係統信息安全性，用戶很難知道其安全性有多高，這給係統用戶的信息安全帶來很大的威脅。

信息係統實施須經獨立第三方“滾動式”信息安全認證評級

    我國國家質檢總局、財政部、認監委早在2009年就發布《關於調整信息安全產品強製性認證實施要求的公告》，公告規定，我國從 2010年5月1日起正式對包括邊界安全、通信安全、身份鑒別與訪問控製、數據安全、基礎平台、內容安全、評估審計與監控、應用安全8類，包括防火牆、網絡安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數據備份與恢複、安全操作係統、安全數據庫係統、反垃圾郵件、入侵檢測係統、網絡脆弱性掃描、安全審計、網站恢複等13種信息安全產品在政府采購法規定的範圍內強製實施3C認證。客觀地來說，此次互聯網信息的外泄應當歸咎於兩方麵，一是黑客技術的迅速趕進，另一方麵是互聯網企業的信息係統在安全性方麵太脆弱。當然，隨著信息技術的升級，黑客技術也緊追其後，所以這就要求“滾動式”網絡信息安全認證評級，及時發現互聯網企業所用係統的安全隱患，及時給互聯網企業所用係統貼上安全等級標簽，迫使互聯網企業“自覺”對係統進行升級和完善。

    同時，由於互聯網企業對數據防泄密、郵件安全、信息安全服務、新一代安全網關等信息安全方麵所做的工作，cq9电子平台用戶幾乎一無所知，後台的保障對用戶來說就是一個黑箱。網絡信息安全威脅的不斷更新及變化使傳統產品很難抵禦，因此有遠見的互聯網企業開始實施站外監測最新的威脅，並著手調整防護技術，從而使信息係統在被感染的初期便能及時執行防擴散保護，如切斷相關通訊以緩解數據泄露風險。在做好事前防禦的同時，也要更多關注事中控製的方法。這就要求獨立第三方信息安全測評機構對互聯網企業進行不定期的信息係統外部安全偵查測評，及時調整互聯網企業係統信息安全級別，讓互聯網企業及時了解自己的信息係統的安全邊界，注意和防禦可能存在的風險，及時對係統進行漏洞修複和升級換代。這也提醒了用戶在使用信息係統過程中根據係統信息安全級別來警惕可能存在的風險。

    同時政府需要完善信息安全監控防禦體係，加強對信息安全事件追查取證及分析定位能力，及時捕獲破壞性的信息源，形成更加全麵的安全監控防禦體係。為互聯網的健康發展創造良好的大環境。給用戶提供更為穩固的、全方位的安全保障。