近来，涉及网易、人人、天涯等大型网站，招商、交通等银行金融机构，平安、光大等证劵机构，甚至中国海关、广州市政府等官方组织，累计泄露的用户密码达到2.3亿之多。

　　在这场中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件中，最让人忧虑的并不是网民的隐私被暴晒，也不是黑客的猖狂，而是我们的网络安全正在面临新的威胁，这种威胁躲在“云”中，甚至身披安全警察的制服……

　　超过两亿条用户密码泄露

　　据一位黑客界人士透露，最早曝出“多家网站用户密码信息遭泄露”的是一家名为“乌云”的安全组织，时间在12月4日。随后的日子里，一些包含有密码信息的压缩包在黑客圈子地下流传——在黑客界，这种“交流”并不罕见。

　　灾难真正开始是在12月21日。这天上午，包含有600万个CSDN用户密码的压缩包被放至公开下载渠道。更恐怖的是，蜂拥而至的网友发现了一个更大的“宝藏”，在下载CSDN密码包的时候，从“相关下载”按图索骥可以下载到更多的密码包。于是这些压缩包像病毒一样被网友疯传。

　　据金山网络安全工程师对密码包的统计结果，成为众矢之的的CSDN泄露的600万密码只是沧海一粟，此次泄露事件累计泄露的用户密码总量多达2.3亿。尽管无法证实这其中有多少是重复注册的账号，但预计受影响的用户将在千万级别。

　　目前CSDN、天涯已对此公开承认事实并道歉，其他被涉及的网站一直未明确表态。近10家大型网站卷入。

　　让我们梳理这次事件爆发的过程：黑客利用网络平台的安全漏洞入侵服务器，将包含网友用户名、密码的数据库下载到黑客自己的电脑(被称为“拖库”)，黑客圈子地下传播，公开渠道下载散播。

　　这显然与大家普遍认知的网络安全威胁有明显区别。一直以来，个人网络安全防范紧盯的是“端”（用户本地端）的问题，不管是传统的杀毒技术，还是近年来流行的“云安全”技术，其本质均是防止“端”被病毒、木马等入侵，从而确保用户安全。但此次事件中，威胁并不在“端”，而在“云”中，对于用户来说，以往的任何安全举措在面对这种“云威胁”时都成为浮云，只好“躺着也中枪”了。

　　值得提及的是，“云威胁”比传统威胁危害严重得多。据安全界人士介绍，多数用户为了便捷，在多个网站使用同样的邮箱、密码注册，这意味着“一道城门被攻破，全城失守”。如果网友用公司邮箱注册，则更可进一步暴露商业机密。而在支付、网银等平台的账号信息也可能被轻易攻破。

　　据一位业内人士根据目前流传的密码包统计，与CSDN一道被“爆库”的至少包括网易、人人、天涯、猫扑、多玩等9家大众网站，还包括至少16家大型商业银行、21家证劵机构，以及至少19家政府机构网站。

　　隐私泄露事件已发生多次

　　这一泄密事件或将给国内网络界带来强烈震荡，但多位业界人士对记者断言“这绝不会是最后一次”。下如此论断的依据还得在历史中寻找——在此之前，已有多次“云威胁”案例，但均未引起足够重视。

　　据记者了解，就在泄密事件发生前的不到一个星期，包括360手机助手、豌豆颊等在内的多个Android客户端曝出“公共WiFi泄密”问题。安装360手机助手的Android用户，在公共WiFi环境中将“门户大开”，任何处于同一WiFi网络的用户，均可随意访问其手机中的隐私文件，包括个人照片、文档甚至联系人、短信等。尽管目前360已通过升级版本解决此威胁，但如果不知情的用户并未升级，将一直处于“裸奔”状态。

　　网络安全界人士向记者表示，这一事件受影响的Android用户可能在千万级别，可能是中国移动互联网历史上最严重的隐私泄密案，但并未引起足够重视。

　　如果说这两次泄密事件都源于相关网络平台的技术漏洞，可以归为“安全事件”，那么道德和操守问题则会酝酿出更严重的“云威胁”。据受访的黑客界人士透露，一些小网站出售自己的注册用户信息的情况并不鲜见，不法者利用这些信息可以确保入侵成功率的大幅提升。

　　而在2010年12月底被曝光的“360窃取用户隐私”事件中，网民的账号密码、浏览记录，甚至企业的财务数据，均被360的“云”偷偷上传，更被谷歌的搜索蜘蛛抓取，完全暴露在公众面前。遗憾的是，这一事件依然未引起警戒。

　　安全威胁从PC移向云端

　　“云威胁”来袭，一个新的网络安全时代正在降临。一位业界人士告诉记者，“云威胁”事件的层出不穷可能让“黑客”的门槛进一步降低，这可能加剧网络安全态势的恶化。

　　在此次泄密事件中，任何一个稍微懂得电脑操作的网友均可下载到密码包，在5分钟内完成一次“黑客入侵”。而在“360窃取用户隐私”事件中，网友甚至不需要下载，直接从谷歌快照中即可获取他人用户名和密码信息。而在“公共WiFi泄密”事件中，这一特征同样表现得很明显。而推动人们做一回“黑客”的可能是好奇，也可能是贪婪，或者别有用心。

　　一位业界人士的点评一语中的，当网络安全与道德缺失、人性阴暗面裹挟时，才是真正难以防范的危机。

　　随着互联网的发展，网络安全威胁也在不断发生变化。传统基于网络层的安全威胁已经转变为以应用层攻击行为为主的安全威胁。据Gartner统计表明高达3/4的网络威胁是基于应用层而非网络层的，在这一发展趋势下，基于网络层的传统防火墙显得日益先天不足和力不从心。

　　传统防火墙只能提供一般意义上的数据包转发和拦截功能，以及一些简单的包检测机制。UTM和传统防火墙相比，确实增加了很多过滤功能，包括应用层的识别和过滤。但UTM的致命缺陷是由于采用串行扫描方式，处理效率低下。即便是增加了单点解决方案，能提供对email业务、Web应用、远程接入、即时通讯软件等病毒防护，但运营成本也会大幅度提高。

　　由此可见，面对基于应用层的威胁，防火墙演进已经变得十分重要。据相关调查数据显示，如今70%以上的成功攻击均以应用程序为目标。Web、电子邮件等应用安全防护是下一代防火墙需要重点解决的问题。而下一代防火墙采用了高效的并行处理机制，并集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护能够抵御来自应用层的攻击。

　　虽然下一代防火墙目前没有一个明确的定义，但是不并妨碍由市场需求推动技术产品的发展。梭子鱼网络有限公司在Gartner的基础上对下一代防火墙做了一个更为明确的定义，即是集成了虚拟化软件和硬件架构的智能网络平台，可对各种流量实施深层探测并阻止各类攻击。

　　梭子鱼推出的下一代防火墙从TCP 7层出发，采用了高效的并行处理机制，并集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护能够抵御来自应用层的攻击，同时还包含了传统防火墙和IPS所有功能。并且提供两个维度防护：终端防护（AV、Web安全过滤等）、服务器防护（IPS、WAF、DDoS防护等）。其中WAF（web application firewall）的各种功能包括了：对弱密码的保护、对数据注入攻击的保护、服务器信息隐藏等。

　　梭子鱼下一代防火墙是一款集成了硬件和虚拟技术的综合网关产品，全面保护企业网络基础架构，提高点对点接入，简化网络运维管理流程。产品可以通过中央平台统一管理，无论企业信息管理人员身处何地——企业总部大楼、数据中心甚至远程在家或者分支机构都可以对整个企业的网络系统进行管理。信息管理人员通过梭子鱼下一代防火墙控制中心的界面轻松制定安全、内容和流量管理政策。集中化的安全管理和内容政策有以下优势：

　　1、整个企业贯彻统一的安全态势和政策执行

　　2、多重网关的即时报告

　　3、整个网络的配置和政策改变的综合历史和回顾

　　4、对反垃圾邮件、病毒防护、安全网关和网络接入管理更新的统一视图

　　值得一提的是，梭子鱼推出的下一代防火墙通过多核并行计算技术，数据包一次扫描技术，深度内容识别及快速还原等技术，在全功能开启后最高性能依然能达到8-10G。

　　除了强大的防火墙和VPN功能以外，产品还集成了一系列下一代防火墙的复杂技术，包括身份认证的7层应用控制、入侵检测、安全网关、垃圾邮件防护以及网络准入控制等。梭子鱼NGFW(下一代防火墙)突出了智能点对点流量管理功能，大大优化了广域网的性能和功能。信息管理人员可以轻松管理基于应用的路由配置，根据多链路、多通道和不同的流量情况安排链路的优先顺序。产品支持多种链接接入方式，包括专用线路、XDSL、3G/UMTS无线移动网络及支持以电口/光口为代表的以太网链路方式。不仅如此，除了上述领先的下一代防火墙的卓越性能外，产品还配备了业界领先的中央管理控制平台，提供更具弹性的VPN以及智能流量管理技术，保障用户在全面提升网络的同时缩减成本支出。

　　目前，国内的下一代防火墙市场处于起步阶段，却发展迅速。主流的安全硬件厂商都已推出了基于下一代防火墙概念的产品也恰恰验证了这一市场的广阔前景;国内用户在选择安全产品时，肯定会发现下一代防火墙产品正是能解决日益增多的企业网络安全问题，日益下降的网络性能问题，困扰网管们的网络管理问题的最佳产品。

　　在信息时代，确保我们个人信息的隐私性是非常重要的。此外，确保公司数据的安全性也很重要。本文将讨论你和你的企业应该采取怎样的步骤利用双因素身份验证来保护个人信息和公司数据。

　　信息时代让数十亿人的信息处于网络盗窃的威胁之中。数百万的用户使用社交网站，人们自愿地使用这些网站，并将各种个人信息贴在上面给大家看。突然间，我们有机会查看从未联系过的陌生人的资料，这既有其优势，更是有很多劣势，一旦这些信息落入不法分子的手中，就能够被用来窃取用户的其他重要信息，例如信用卡账户等。

　　我们(企业或个人用户)总是假设我们的信息只能被那些特定对象看到，并因此自欺欺人地认为我们的信息仍然是安全且隐秘的。但是我们应该扪心自问，真的是这样吗?将我们的信息放在公开的网站，仍然能够确保个人信息的隐私性吗?很多人仍然愿意相信这是真的。有几种方法可以帮助我们保护这些信息的安全性：使用高强度独特的密码、密码保护无线网络、激活远程锁定功能、关闭设备的GPS功能，并确保社交网站的安全设置都设置正确。

　　这说明人们愿意将他们的隐私和数据置于风险之中，认为自己能够控制这些信息，但是在很多情况下，你会发现，出于种种原因，这些信息已经不在你控制之中，那么，我们该如何避免这样的情况呢？

　　每个人都有保护个人信息的权利，每次你打开银行账户;加入一个社交网站或者预定机票，都需要输入重要个人信息。这些信息（你的姓名、地址、银行信息）都应该受到保护并确保其隐私性。然而，如果这些信息落入坏人之手会发生什么情况呢?安全技术正在迅速发展，而与此同时，不怀好意的网络罪犯也在不断加强自己的技术。从各种研究调查表明，很多用户密码可以很容易地被猜出来。

　　双因素身份验证（2FA）

　　在这种情况下，只有双因素身份验证能够提供更好的安全保护。使用密码（单因素身份验证）保护你的信息安全已经不再是可行的办法，使用密码作为唯一的安全保护方法已经成为过去时，双因素身份验证才是更好的选择。

　　双因素身份验证意味着使用两种独立的验证方法来确认一个实体。这并不是一个新概念，以前也曾被使用过。双因素身份验证的例子包括银行客户使用ATM机，第一个身份验证因素是用户插入ATM机的银行卡，第二个身份验证因素是个人密码，只有当这两个因素都存在时，才能进行身份验证。这种情况说明了基础双隐私身份验证方式，即第一个因素是物理因素（你拥有的东西），第二个因素是密码（你知道的东西）。

　　你有三种方式来验证一个人的身份，这是基于：

　　你有什么（实质性的东西）；

　　你知道什么（例如密码或PIN）；

　　生物识别。

　　从这里来看，最安全和最实用的双因素身份验证方式，是使用“你有什么”和“你知道什么”作为两个标准，因为生物识别技术有其缺点和复杂度。双因素身份验证本质上就比单因素身份验证更加安全，即使密码被破解了，用户仍然受到保护，因为还需要出示硬件令牌或者第二身份验证因素。

　　双因素身份验证及其发展方向

　　基础双因素身份验证正在迅速发展。你不再需要随身携带令牌，现在可以利用你的手机或者身份证来进行验证。双因素身份验证的最新趋势包括通过手机验证，手机变得越来越普及，可以更方便更有效地进行验证。双因素身份验证市场正在快速向前房展，出列令牌、短信和软件验证外，自适应双因素身份验证方式也开始出现。双因素身份验证既可以作为服务来提供，也可以为云环境中的特定应用程序来使用，开发人员都热衷于将双因素身份验证技术直接建在不同应用程序本身中，将身份验证整合到系统中。

　　双因素身份验证已经从最开始的硬件令牌发展到现在的各种设备。这种技术的使用将继续增长，因为人们逐渐开始意识到保护个人信息和企业数据的重要性和紧迫性。

　　当考虑在你的企业使用双因素身份验证时，应该仔细考虑所有的因素。没有任何企业或用户是相同的，因此身份验证应该满足具体用户的要求，例如：

　　普通用户可能更加适合使用每六十秒生成一个新密码的物理令牌；

　　偶尔使用的用户需要临时访问数据，最好通过手机短信进行身份验证。

　　保护企业数据安全和隐私的步骤

　　数据盗窃正在逐渐增加，企业开始意识到必须防止非公开信息的内部泄露。企业应该采取措施来保护非公开信息的隐秘性。以下这些步骤可以帮助防止数据泄露：

　　1、识别并优先保护易受攻击的信息，例如机密信息

　　保护这些信息的第一步应该是，按照价值程度和机密程度将这些信息分类，应该受到保护的信息类型包括

　　结构化信息（社会安全号码、账号、个人身份证号码、信用卡号码）

　　非结构化信息（联系方式、财务信息和客户信函）

　　2、进行风险评估并分析信息流

　　为了保护信息安全，你需要了解这些信息在企业的流动性。你需要确定信息流，然后检查可能出现潜在泄露的位置。这可以通过分析几个问题来了解：

　　谁具有访问信息的权利

　　数据是如何创建、修改、加工或者分发的？

　　数据在网络中的移动情况

　　是否符合政策要求

　　通过检查信息的流动情况，你就能够确定存在潜在泄露的位置，然后在这些位置加强预防措施。

　　3、保持政策的更新，确保对访问、使用情况和数据分配执行了严格的政策

　　不同的信息应该使用不同的政策来管理。不应该对所有公司数据执行通用的政策，分类数据或信息都应该有独特的政策来管理，例如客户数据、员工记录和知识产权信息不能采用相同的政策，每种信息都应该有自己独特的政策来管理，因为这些数据本质上不相同。这也是上一步骤信息分类的重要性。

　　部署好政策后，应该对其进行监控和执行，否则根本没有用。

　　4、身份验证

　　确定谁能够访问数据和通过身份验证。

　　使用强大的双因素身份验证，这可能涉及各种各样的产品和应用程序。通过这种方式，你就能够控制哪些人能够访问数据，而哪些人不能访问数据。

　　5、通过监控、执行和审查来控制对数据的访问权限

　　为了保护机密信息和公司资产的安全性，必须确保对政策的控制和执行力度。应当在企业内数据流的路径中建立控制点，这样可以在任何时间来验证合规性，并能够阻止未经授权流量。部署好政策后，不能就把政策丢在脑后了，应该定期进行审查，并在必要时进行修改，以确保系统始终处于最佳状况。另外，外部审计也是很有用的。

　　6、加密数据

　　确保数据在网络的所有点都进行了加密，包括传输中的数据以及存储在数据库中的数据

　　你的安全规划应该包括

　　访问、计划和设计

　　身份验证（强大的双因素身份验证）

　　访问控制（监控、审计和日志记录）

　　加密（端到端）

　　无论是保护个人信息，还是保护公司数据，都是一个漫长的旅程，而不是一次性解决的问题。你需要采取系统的方法来识别重要数据，并部署不同的措施来帮助保护数据。采用各种措施保护数据和资产，包括在各个点进行数据加密，例如流动中的数据以及存储在数据库中的数据，还有双因素身份验证。还应该采取预防措施来控制数据访问和数据的分布。黑客并不是唯一的威胁，防火墙能够阻止黑客进入网络内部，然而，这项技术却忽视了内部威胁。企业应该结合多种安全措施来保护数据安全，这比采取任何单独措施都更加有效。