专家谈网络安全审查：不重视安全的企业是短视的

　　国家互联网信息办公室22日发布消息称，我国将于近期推出针对企业技术产品和服务的网络安全审查制度。然而，近期我国企业大规模信息泄露事故频发，小米手机800万用户信息泄露、携程网大量信用卡信息“裸奔”等，不仅关系到公共利益，甚至威胁国家安全。

　　专家表示，我国互联网企业普遍片面追求发展速度，安全防护水平“瘸腿”严重，网络安全审查制度将成为倒逼企业提升安全防护水平的重大利好，不重视安全的企业是短视的。

　　企业大规模信息泄露事故“轮番上演”

　　22日，国家互联网信息办公室发布消息，为维护国家网络安全、保障中国用户合法利益，我国即将推出网络安全审查制度。该制度规定，关系国家安全和公共利益的重要技术产品和服务，应通过网络安全审查。

　　作为提供产品和服务的主体，我国互联网企业近期频发大规模信息泄露事故。

　　5月14日，国内手机厂商小米发生用户信息泄露事故，其中涉及800万用户的短信、通讯录、精确位置等私密信息；今年3月，携程网大量用户信用卡账号、姓名、身份证号等敏感信息泄露；2013年10月，多家酒店的开房信息因系统漏洞发生泄露，2000万条开房信息在网上“裸奔”。

　　“大规模信息泄露事故高发期已经到来。”国际关系学院信息科技系副主任王标说，随着云计算、大数据技术的广泛应用，企业保存的用户数据量越来越大，大规模数据泄露的风险也越来越大。

　　频发的大规模信息泄露事故将给公民个人带来巨大危险。信息安全专家、南京瀚海源信息科技有限公司CEO方兴表示，个人的账号密码、联系方式、身份证号等敏感信息会被不法分子轻易获取，为账户盗刷、诈骗等犯罪活动打开方便之门。例如，不法分子不仅掌握一个人的全部隐私信息，还能通过关联分析获取其家人、朋友的隐私信息，诈骗得手的概率将大幅提高。

　　同时，国家安全也将因此受到威胁。王标指出，大规模个人信息泄露后，敌对势力可通过大数据分析，获取与国家安全有关人员的信息，还能摸清我国经济社会脉搏等。

　　企业：“如果泄露的信息只是拿去卖钱，那我们不管”

　　受访专家表示，国内互联网企业普遍片面追求发展速度，不愿加大安全投入，在黑客面前不堪一击，与安全审查要求存在较大差距。安全审查制度无疑将成为倒逼企业加大安全投入的重大利好。

　　“实践证明，多年前用来入侵企业网站的老技术，现在还继续好用。”上海碁震云计算科技有限公司CEO王琦告诉记者，“并不是黑客的技术有多高，而是多年来我国企业的安全防护水平没太大进步，不少企业连一个低级入侵都防不住。”

　　王标说，企业往往将安全当做成本，且是无法产生直接效益的成本，企业都在追求发展速度，而不愿意加大安全方面的投入。“前几天发生的小米信息泄露就是一个典型事件，如果不是发生泄露事故，恐怕小米也没有动力加强安全防护。”

　　方兴长期为互联网企业做安全防护服务。他讲了一个真实的故事：国内某著名互联网企业被黑客窃取了大量用户信息，企业就去找黑客谈判：“你如果在网上公布，那是毁我们名誉，我们跟你‘死磕’，如果你只是拿去卖钱，那我们不管。”他说，“这是目前国内企业的真实状态，只要与自身利益无关，企业就不会重视安全问题。”

　　“即将出台的网络安全审查制度无疑是重大利好，将对企业产生倒逼效应。”上海理工大学电子商务与计算机法研究所所长杨坚争说，由于无法可依，此前发生信息泄露事故的企业均未受到任何处罚，企业没有动力重视安全防护，而安全审查制度的事前审查、事中监测和事后惩处机制将倒逼企业加大安全投入。

　　安全审查、完善法规、行业自律一个都不能少

　　专家表示，应对企业大规模信息泄露事件频发的情况，参照发达国家经验，除了不断完善相关法律法规，推进企业层面的行业自律必不可少。

　　杨坚争表示，在国家层面，除了网络安全审查制度外，还应继续完善相关法律法规。例如出台专门针对个人信息安全的法律，对企业搜集、存储用户信息的规范和责任做出明确细致的规定，在打击黑客的同时，严厉处罚发生信息泄露事故的企业。

　　实际上，不少国家都已出台关于个人信息保护的“严刑峻法”。今年3月，韩国专门出台防止金融领域个人信息泄露的综合法案。根据该法案，一旦发生用户信息泄露，金融机构和电商需要缴纳的罚金是以往的3倍，且没有上限，相关刑事处罚也加重至10年以下有期徒刑。

　　同时，企业应加强对安全的重视程度，推动行业自律。王标说，不重视安全的企业是短视的。例如携程网发生信息泄露事件后，其流量排名已从全球1000名左右狂跌至4000名开外。“企业要有清醒认识，加大在安全方面的投入，并定期进行安全测评、认证。”

　　复旦大学国际政治系副教授沈逸建议，应改变整个行业在面对安全威胁时的“一盘散沙”状态，可以采取“产业联盟”“安全联盟”的方式形成企业间的合作机制，出台安全标准，推动企业自律，提升行业安全防护水平。(记者 赵宇飞、叶健)