为网络信息安全装上防盗门

　　3月22日晚间，乌云漏洞平台发布消息称，知名在线旅游服务企业携程网存在安全漏洞，可能导致包括用户姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)等核心信息泄露。有网友因此引用携程网的宣传口号调侃这一安全漏洞：“携程在手，说走就走……但走得最快的是密码。”

　　好在只是虚惊一场。携程网在两小时内已经修复安全漏洞，期间既没有出现信息泄露的情况，也没有出现用户信用卡被盗刷的情况，并已安排存在风险的93名用户更换信用卡，且承诺未来如果发生因安全漏洞引起用户损失，携程网将承担全部责任并给予赔付。但相比较漏洞修复，更需深究的是漏洞何以产生。作为在线第三方支付企业，无论是根据国内《银联卡收单机构账户信息安全管理标准》，还是按照国际《第三方支付行业数据安全标准》，携程网都是不允许存储用户银行卡信息的，尤其是CVV码等敏感数据，然而，还是以“为了降低用户费力度与协助用户便捷支付”为由，将未扣款成功的用户CVV信息暂存7天。同时，由于存在遍历用户日志的漏洞，加之采取明文记录用户日志，客观上必然会增加用户银行卡信息泄露的风险，这才是携程网需要直面的核心问题。

　　携程网暴露出的安全漏洞并非孤例。网络正融入人们的日常生活，用户包括身份、银行卡等信息和互联网应用绑定越来越紧密，而企业为了提高用户操作和消费的便捷性，或者为了加快产品开发流程，往往忽略了互联网应用的安全性。去年12月，中国互联网络信息中心发布的《2013年中国网民信息安全状况研究报告》显示，我国网络信息安全环境整体上不容乐观，有74.1%的网民在此前半年遇到过安全问题，影响总人数达到了4.38亿。层出不穷的网络信息安全事件，不仅直接影响广大网民的上网体验，而且关系到互联网行业的健康发展。这是一个亟待解决的重大网络安全问题，此次携程网事件理应成为一次“亡羊补牢”的契机，所有互联网企业都应该借机排查安全隐患。否则，下一次就可能不只是虚惊一场了。

　　网络信息安全，除了把安全漏洞堵上之外，更重要的是厘清安全责任。从某种意义上说，目前缺乏严格的责任界定才是最大的安全隐患。一方面，我国个人信息保护立法进展比较缓慢，而现行民法、刑法中虽有个人信息保护的条文，但说法不具体、不明确，界定范围不清晰，无法打击信息安全领域的违法犯罪行为，难以发挥足够有力的信息保护作用；另一方面，由于工信部、公安部、国家保密局、国家密码管理局、银监会、证监会等部门都有规章文件涉及个人信息保护，但分散的管理主体不仅降低了监管效率，也容易逃避责任。因此，在技术堵漏之外更需要制度堵漏，要尽快出台保护个人信息的法律法规，同时加强对互联网企业的监管力度，以及对泄露用户信息企业的处罚力度。此外，网民也要提高保护信息安全的意识，不同账户最好使用不同的用户名和密码，也不要用简单的数字或者自己的名字、电话号码、手机号码等作为密码。

　　互联网时代没有绝对的安全，永远都是便捷与风险并存。这是一场网络安全攻防战，我们能做的就是为网络信息安全装上防盗门，把安全漏洞和隐患尽可能地排除掉。这不仅需要互联网企业加强自律，还需要尽快出台统一的法律法规，需要监管部门的大力有效监管，需要网民养成良好的信息安全习惯。（丁建庭）