收到署名為公司技術部的郵件，說因網站受到攻擊，多數員工用戶名密碼泄露，讓你點擊鏈接重置密碼，你照做嗎？使用中移動的手機號，10086發來短信“尊敬的用戶，您當前手機積分已滿足兌換188元現金禮包，請點擊網址鏈接登錄移動商城按提示安裝領取”，你點不點？老板在QQ或微信里跟你聊完工作項目，喊你幫他轉賬，幫不幫？在飯店咖啡廳或機場火車站，你會打開手機Wi-Fi，毫不猶豫地連上免費Wi-Fi熱點嗎？

如果你對這些問題的回答都是肯定的，那么，和很多因此中招、遭受損失的人一樣，你也是信息時代里一個身處危險而不自知的網民——技術部的郵件是假的，你的賬戶和密碼將被騙走；10086短信是通過偽基站模擬的，你點入了偽裝成移動官網的釣魚網站，領取“禮包”過程中，姓名、身份證號、銀行卡號及密碼統統被套取。同時，植入手機的木馬病毒將攔截并轉發手機收到的支付驗證碼和支付通知短信，你的銀行卡被輕松盜刷；老板是冒充的，騙子研究了他的說話語氣和社交往來，用各種方式實施詐騙，例如盜號，又或在被你隨意地加為好友后，把自己的昵稱改成你老板的；一些名字像運營商或商家提供的免費公共熱點也許是黑客所設，你在手機上的操作被一覽無遺……

2014年是業內人士口中的“中國網絡安全元年”。這年年初，中央網絡安全和信息化領導小組成立，從國家到個人，網絡安全正受到前所未有的重視。那么，2015年網絡安全的情況將會如何？

你沒有想象的那么安全

“想玩個游戲嗎？告訴我你的郵箱，我可以寫出你的密碼。”360公司網站安全檢測部門總監趙武說。拿到《新華每日電訊》記者郵箱3分鐘后，他遞過來一張紙，上面寫著兩條記者曾用過的密碼，并說出了它們分別對應的網站。“你算很安全了，只有兩條記錄還是已經不用的，過去我做這個測試，找到的密碼都還在用，如果你這郵箱在很多網站上注冊過，我甚至可能找到十幾條密碼，畫出你平時都訪問哪些網站。”

這些信息是通過社工庫找到的。所謂“社工庫”是指黑客們入侵各種網站，盜走用戶數據庫——用行話講就是“拖庫”，之后將所得數據加以處理，整合搭建而成的數據庫查詢平臺。有多少網站曾被拖庫？用360副總裁譚曉生的話，“行業內開會，我幾次問過同一個問題：誰敢舉手說自家網站從來沒被拖庫？臺下那么多做互聯網的人，從沒有一個人舉手。中國網絡用戶數據泄露的情況比大家了解到的要嚴重得多。”

拖庫之后，黑客們還會嘗試拿已獲取的用戶名和密碼登錄其他網站，即“撞庫”，此前12306泄露的13萬用戶數據就是撞庫所致。愛用同一套用戶名和密碼的網民最得黑客歡心，哪怕只知道他們在某個小論壇所用的密碼，也能成功登錄他們的支付寶。去年8月，江蘇的一位網民就是這樣被人從支付寶分批轉走了32萬元。

趙武所負責的補天漏洞響應平臺上，每天都有上百個網站漏洞被提交上來，等待提請相關方注意和修補。“我們的任何信息都在泄露，我說的是任何。”趙武說這并非危言聳聽，在互聯網逐步與人們生活融合的近20年里，很多網站和應用程序搭建時沒充分考慮安全問題，致使黑客利用漏洞獲取信息的成本非常低。“你一結婚，戶籍信息就被泄露出去了；一有小孩，新生兒信息就被人知道；孩子打了疫苗，打針的信息被泄露……這些不是想象，是已經發生過、現在還在發生的事實，背后有很多血淋淋的案例。有些事你自己能避免，但這些你沒辦法控制，因為你必須結婚必須買房必須體檢必須生小孩。”

2014年9月，一名網絡工程師因故意殺人罪被判死刑。因女友旅游缺錢，該男子從網上購買了某銀行的客戶信息，隨機選取目標，冒充快遞員入室劫殺了一位七旬老人。騰訊玄武安全實驗室負責人、有“TK教主”之稱的知名安全專家于旸不無憤慨地在微博上寫道：“殺人者是抓了、判了，但出售客戶信息的人呢？信息是誰拿出去賣的？按現行法律能怎么處理？如果這樣一個惡性案件還不能促成相關立法，談什么國家信息安全？”

根據騰訊發布的《網絡黑色產業鏈年度報告》，2014年下半年，大量冒充熟人詐騙、利用被泄露的銀行卡信息進行盜刷等網絡黑產犯罪案件層出不窮，矛頭直指用戶個人隱私泄漏問題，互聯網企業應對用戶隱私數據被盜的防御措施和用戶的自我保護意識都仍然較弱。

于旸這樣感嘆：“到底有多少信息泄露了？一言難盡，但用‘無人幸免’形容，應該不會錯太多。”

意識非常非常重要，現在很低很低很低

“每天看到大量這種情景，對公眾可以做什么、國家可以做什么，我會思考很多。”讓趙武感觸頗深的是現階段公眾網絡安全意識的薄弱，比如12306的撞庫主要基于被泄露已久的17173、7k7k等游戲網站的數據庫，但距當時曝出這些網站信息泄露的新聞已隔數載，仍有十幾萬用戶繼續用著他們早被人獲取的密碼，直到此次中招，“意識非常非常重要，現在很低很低很低”。

“網絡安全的一個難題是大部分人在災難沒發生到自己身上時，都僅僅在口頭上葉公好龍地表示重視安全，沒有付諸實際行動，就好像系安全帶，人們知道應該系，但總相信自己沒那么倒霉。”360副總裁譚曉生說。

直接遭遇網絡安全攻擊、成為網絡犯罪受害者始終是件小概率的事，但這并不意味著可以因此僥幸，大量數據都沉睡在黑客的數據庫里，走在即將被利用的路上。

譚曉生認為，在網絡安全問題中存在便利與安全間的矛盾，人們有時并不真的在意自己的信息。世界著名研究機構高德納于2014年初發布的一份研究報告中預測，到2017年，將有80%的用戶愿意讓服務商收集、跟蹤和交換自己的個人信息以換取優惠、方便和個性化的服務，“安全和便利便宜的天平上，永遠是便利便宜這頭更重。”

網絡安全意識不足并不只體現在作為用戶的網民身上，公安部網絡安全保衛局總工程師郭啟全指出，一些重點部門、大型服務網站和互聯網服務商也因為安全防范意識差，沒有按國家有關要求落實安全管理措施和技術保護措施，導致公民信息大量被竊取、販賣，嚴重危害社會公共安全和公民財產安全。

出了網絡安全事件，沒人埋單也就沒人重視

2011年索尼因PS3的7700萬用戶信息遭竊，向用戶賠償245億美元；2014年，美國零售業巨頭塔吉特因4000萬條客戶信用卡信息及7000萬條其他信息失竊，為公司服務35年的CEO引咎辭職。

“即使這樣，他們也還是受到很多批評。在美國，出了網絡安全事件，股價下跌、負責人辭職等等很正常，但我們還沒有這種意識，即使發生大規模數據泄露，往往也不了了之，企業也不會有什么處罰。”趙武說。

騰訊玄武安全實驗室負責人于旸認為這或許是國內企業不愿在網絡安全上投錢的根本原因，“既然出了事情沒有那么大的影響，可能投入的欲望就不那么強烈。根據數字，美國網絡安全投入占整個IT投入的比例是國內的兩三倍，就是說投在信息技術上的每100塊錢里，他們有10塊錢是投在安全上，我們只有3塊。”

趙武對公司免責條款普遍存在的“由于黑客攻擊等不可抗原因導致信息泄露，本站不負任何責任”一條非常不滿，“就好像銀行說你來辦卡存錢我很歡迎，但你卡要是被盜了我不管。這些聲明讓人很無奈，完全是毫不負責、站不住腳的霸王條款。”

“應該呼吁國家立法，從法律上形成威懾力量。”譚曉生說。由于國內相關法律還不完善、舉證困難且維權成本高昂，很多人問責無門，只能自認倒霉。

十八屆四中全會通過了《中共中央關于全面推進依法治國若干重大問題的決定》。《決定》明確提出，要加強互聯網領域立法，完善網絡信息服務、網絡安全保護、網絡社會管理等方面的法律法規。

據網信辦最新消息，網信辦、工信部、公安部等有關部門將加快推動個人信息保護等相關法律的研究制定，加強對網絡服務提供者的監管，加大對非法收集、泄露、出售個人信息行為的打擊力度，今后5到7年，較為完善的互聯網法律體系將逐步形成。

河南億恩科技股份有限公司(www.laynepeng.cn)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900