2011年年底，“改密碼了嗎”成了一句網絡流行的問候語。事情的緣起是，2011年12月21日，國內最大的程序員社區網站CSDN被爆出有超過600萬用戶的註冊資料遭洩露。隨後還有消息説，有多家網站的用戶信息也被洩露，於是很多網站提醒註冊用戶，儘快修改註冊密碼，尤其是在不同網站註冊的賬戶，不要使用相同的密碼，以防被黑客破解。

　　這場密碼危機引發了IT界的大討論：那些放在互聯網虛擬世界的個人信息究竟該如何保護？在很多專家看來，此次密碼洩露事件正在拷問我國的互聯網安全。

　　1月6日召開的中國計算機學會青年計算機科技論壇上，CSDN總裁蔣濤坦言，作為一個論壇性質的社區網站，過去確實忽視了網絡安全問題。

　　國家網絡信息安全技術研究所所長杜躍進則指出，網站對互聯網安全的重視程度並沒有跟網絡日新月異的發展同步。可以説，互聯網安全一直沒有受到應有的重視。其短板問題還體現在法律法規方面。北京郵電大學教授李欲曉介紹説，根據現有的法律，網民很難就自己的信息被洩露進行維權。

　　CSDN承認對安全問題重視不夠

　　論壇上，蔣濤首次披露了該網站的安全審計報告。而在過去的10多天裏，蔣濤被反復追問的問題是，用戶的信息是怎麼被洩露出去的，哪個環節出了問題？

　　蔣濤介紹説，去年12月21日，洩露事件被披露的當天，CSDN就請了一家網絡安全技術公司對網站安全進行審計。根據安全公司提供的審計報告，此次CSDN資料洩露事件暴露出該網站的四個安全問題：第一是開源系統等第三方系統存在漏洞，導致CSDN系統存在安全風險；其次是應用程序存在跨站腳本漏洞；第三，網站存在大量系統後臺認證漏洞，如安全等級較弱的口令等；第四，一些已經停用但還在線上的老系統由於安全級別低，洩露了大量信息。

　　CSDN是一個以論壇用戶為主的社區，負責人蔣濤一直認為，這樣一個程序員討論技術問題的網站，對黑客來説沒有太多的商業利益可以挖掘，所以並沒有高度重視網站的安全問題，直到此次用戶資料被洩露。

　　蔣濤説，他們有將近100台服務器，但只有3個運維人員。運維工作包括老的系統漏洞升級、數據備份、認證管理等，3個人根本做不過來，最終導致隱患爆發。

　　在談到未來解決密碼洩露措施時，蔣濤介紹説，為了減小數據洩露的風險，提高網站系統的安全性，CSDN目前正在向安全部門申請信息系統等級保護，以接受信息安全監管部門的監督管理。

　　此外，CSDN還會強化網站核心服務的安全，把網站的非核心服務與核心業務進行隔離，以減小系統安全風險。同時，CSDN將採取相關措施，加大黑客獲得數據的成本，降低網站數據對黑客的價值。據了解，CSDN也將在網站後臺引入安全審核機制，從內部杜絕數據洩露的可能性。

　　互聯網安全警鐘早已敲響

　　有網民説，CSDN密碼洩露事件敲響了中國互聯網安全的警鐘，但在杜躍進看來，過去10年間，警鐘早已敲響多次，但互聯網安全一直沒有受到應有的重視。

　　杜躍進説，在互聯網發展的初期，網站安全可能就是個面子問題：被黑客攻擊了，網站面子上不好看。但隨著互聯網日新月異的發展，網絡成為人們日常生活的一部分，那些與百姓生活密切相關的網站一旦受到攻擊，有可能影響到社會的運轉。遺憾的是，網絡在社會生活中的地位越來越重要，但網絡的安全問題卻沒有得到足夠重視。

　　根據杜躍進的分析，過去10年來，黑客對網絡安全的攻擊水平步步提升。最早可能就是把網站黑了，或者篡改一下網站的內容；後來，就出現了趨利性的攻擊，比如釣魚設套，挂木馬盜取用戶的賬戶；再後來，就出現了竊取網站後臺數據牟利的行為。但網站的安全防守並沒有與黑客的攻擊水平同步升級。

　　在杜躍進看來，在網絡安全較量中，攻擊者屢屢得手有三方面的原因。首先是網站的安全意識淡薄。網站經營商或者是服務提供商既不重視安全問題，也不知道該怎麼做。杜躍進舉例説，不久前他曾被邀請去參加一個網絡媒體大會，輪到他講安全問題時，很多單位的負責人都走了。於是他就問：“如果發生重大網絡安全事件該怎麼辦？”因為能做決定的領導不在！

　　其次是技術上的短板。再者是制度缺陷，很多網站認為安全不是什麼大問題，以至於制度安排上沒有體現對安全的重視。

　　法律短板致用戶維權難

　　這次CSDN密碼洩露事件，個人用戶是直接受害者。李欲曉認為，此次事件中，用戶隱私權和名譽權都受到了不同程度的侵害，但要維權卻困難重重。

　　李欲曉分析此次CSDN密碼洩露事件中的法律責任時認為，在此次事件中，網絡服務提供者和黑客攻擊者顯然有責任，但由於與網絡安全相關的立法滯後，目前追究網站和黑客的法律責任較為困難，現有的法律法規對國家安全、個人權益的保護都有缺失。

　　據李欲曉介紹，目前我國很多法律條款，比如《刑法修正案（七）》、《互聯網信息服務管理辦法》、《計算機信息網絡國際聯網安全保護管理辦法》等都有涉及個人信息法律保護的內容，但是其中並未提到用戶因網站遭受黑客攻擊密碼洩露，或者用戶因此受到損失，網站應該承擔怎麼樣的責任。

　　一個嚴峻的現實是，目前的法律對黑客的破壞行為可能難有約束力。

　　早在2009年《刑法修正案（七）》新增的“侵犯公民信息安全罪”，就已經對黑客、商業網站或者其內部人員惡意洩露用戶信息牟利的行為作出追究責任的規定。因此，黑客此類行為構成犯罪，但問題的關鍵是“黑客在哪兒，他們是誰？”黑客都追不到，該如何定罪。

　　對用戶來説，可以向公安機關報案，但依據現有的法律只能尋求民事賠償，而且個人如何通過技術手段查到黑客身份，或者界定經濟損失都存在很大難度，個人用戶維權非常難。李欲曉説：“因為電子證據技術性太強，而且很容易被篡改，所以取證很難。”

　　在論壇現場有人提問李欲曉，如果因為密碼洩露導致銀行賬戶的資金被竊取，能不能起訴銀行或者網站。李欲曉直言，依據現有的法律法規可以進行這方面的訴訟。但起訴之後不一定會得到有利的判決，因為在侵權責任法和民法方面，還沒有明確的規定。

　　用戶不是計算機專家

　　杜躍進介紹説，解決互聯網安全問題，政府的推動作用非常重要。政府應該在政策、標準制定、監督、檢查等方面起作用。比如説，代碼安全不被重視，政府可以提要求，一定級別的代碼要經過第三方監測。

　　李欲曉説，目前我國網絡法律還不健全，國家應加強網絡法律建設，尤其是出臺網絡安全的相關法規，保證網民能夠在一個安全可信環境下去享受互聯網提供的便利。

　　杜躍進説，除了政府的推動，網站服務商本身也要有長遠戰略與社會責任，尤其是面對新的黑客威脅，單靠用戶安全意識不斷提高並不能解決問題。永遠不要期待用戶安全意識能提到足夠高的水平。用戶就是用戶，不是計算機專家，不能要求他們整天想著計算機有什麼毛病。

　　作為被黑客攻擊的受害者，蔣濤建議，應在業界建立共享安全技術聯盟，大家共享安全公共知識庫，共同提升開發人員的安全技術水平。

　　李欲曉則認為，網絡安全需要一個整體的網絡安全環境，“我們已經進入網絡社會，現在有5億人在使用互聯網，每個用戶的生活和財産信息、個人隱私全在網上。但是我們在各個方面似乎準備得還不充分，無論是網絡服務企業還是網絡安全企業，包括網民自己，都應該想想今後面對這樣的網絡社會該做什麼準備”。