安全投入不足1%
“现在泄露的用户信息都是直接保存密码原文(明文),没做任何加密。”金山快盘CTO杨钢告诉记者,如果做了不可逆加密后,即使数据库被拖走,里面的密码也解不开,只能看到用户名。
道高一尺,魔高一丈。对于常用的加密方法,黑客已经搜集到了大量的解密方法,破解起来并不是一件难事。
“互联网公司对安全性心存矛盾。”李铁军认为,对于互联网公司来说,产品的用户体验是第一位。形成好的用户体验往往是简单、易用的产品,安全往往与复杂对应,会在一定程度上影响易用性。因此,无一例外,互联网公司都优先选择了用户体验。
一位互联网安全专家告诉记者,很多网站采用明文密码的方式让用户信息“裸奔”,即便对安全性有所重视,也只是选择MD5方式(一种加密算法),一般不会选择SHA1方式。因为虽然SHA1比MD5强度高,但是MD5比SHA1快,互联网需要的就是快。但是MD5并不完全可靠,若要保证用户的安全,最好选择SHA1。
李铁军认为,安全防护不只是一个技术问题,企业也不只是安装了防火墙和杀毒软件就完成了安全防护,需要专人来实时监控。安全运维人员需要根据访问列表来及时辨别哪些是入侵,哪些是正常访问,并进行及时处理。
“目前,中国只有浏览量在前100的网站有自己专业的安全运维人员,前1000的网站有安全产品或服务的采购,大部分网站都没有专业的安全团队。”一位互联网行业人士坦言。
据该人士介绍,互联网公司建立自己的安全运维团队,需要的成本投入很大。比如,大型B2C购物网站每年的安全运维投入需要达到千万元级别,小一点的网站也需要几百万。但是目前,这些公司的安全投入不过几百万,有的只有几十万。
而从整个行业来看,据一家券商TMT研究部门的调研数据,目前,中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%,欧美的比例是8%~10%。而国内,对安全性要求比较高的金融行业,其信息安全支出在整个IT支出中占到10%。相比之下,互联网行业的安全投入有些“捉襟见肘”。
“再不注意保护用户信息,互联网公司的品牌将会受极大伤害。”李铁军认为,安全就像是大楼里的消防措施,平常看起来并没有发挥多大作用,但一旦发生问题,如果安全不到位,那么造成的损害会很大。加拿大华人网 http://www.sinoca.com/
|
SinoCa.COM All Rights Reserved.