查字典图书网
查字典图书网
为什么存在安全隐患会有问题,这是个越思考就越深入的课题。接下来,就让我们从几个方面来探讨一下必须杜绝安全隐患的原因。 ◆经济损失 应杜绝安全隐患的原因之一为,假如网站的安全隐患被恶意利用,网站的经营者将会蒙受经济损失。典型的损失为以下几项。 赔偿用户的经济损失 给用户寄送代金券作为补偿时的花销 网站暂停运营造成的机会损失 信誉度下降造成的营业额减少 此类经济损失的总额有时会高达数十亿日元。 然而,或许有人会有这样的疑问。如果网站的营销规模并不大,上述列举的各项经济损失就会变得相对较小。所以可能有些网站运营方就会采取这种思路:事前不做相应对策,万一出事了就赔偿用户的损失。A 但是,实际的损失并不仅限于经济损失。 ◆法律要求B 《个人信息保护法》是规定网站实施安全性措施的法律。该法第20条规定,拥有超过5000名用户的网站运营方,作为个人信息经营者,有义务实施网站的安全管理措施。 (安全管理措施) 第二十条 个人信息经营者,为了安全管理其用户的个人信息,必须采取必要且恰当的措施,防止用户的个人信息被泄漏、删除或损坏。 安全管理措施的具体内容,由各省厅分别制定规章。其中,“经济产业领域关于个人信息保护法的指导方针”中,“技术性安全管理措施”中的“‘个人数据访问控制’的实践方法示例”一节中有如下记载。 A 这种策略被称为“风险自留”。 B 本节阐述的是日本的相关法律,供中国读者参考。遗憾的是,截至译稿时(2013年9月),中国在网络安全隐患方面还没有推出相应的法律法规。 ——译者注 检验处理个人信息的系统中引入的访问控制功能的有效性。 (例如,检验网络应用是否存在安全隐患。) 也就是说,通过Web系统管理个人信息的运营者受到《个人信息保护法》以及相关规章的约束,承担着对Web应用的安全隐患采取安全管理措施的法律义务。 ◆对用户造成不可逆的伤害 应该意识到,安全隐患造成的事故会给用户带来很多不可逆的伤害。个人信息一旦泄漏,就不可能再回收。账号被盗而导致用户的名誉受损之后,就再也回不到以前的状态了。另外,如果用户的信用卡账号被泄漏,即使赔偿了用户的金钱损失,也不可能完全平抚用户受到的恐慌、不安等精神上的痛苦。换言之,一旦发生了安全事故,就会出现很多金钱无法解决的问题。 ◆欺骗用户 大多数网站都会夸耀自身有多么安全。没有网站会表示“本站完全不保证安全性,对于可能出现的安全问题概不负责”。假如网站强调了自己的安全性,就最好将安全隐患消除干净。安全隐患的存在会极大地影响网站的信誉度与可信任性。 ◆被用于构建僵尸网络 僵尸网络(Botnet)的存在,是威胁互联网安全的主要因素之一。僵尸病毒(Bot)是一种恶意代码(Malware),计算机被感染后就能够被外界远程操纵,用来发送垃圾邮件或执行DDoS攻击(分布式拒绝服务攻击)等恶意行为。据传,2010年初爆发的Gumblar恶意程序的目的之一就是构建僵尸网络。 Web应用的安全隐患也可能被用于构建僵尸网络,情形如图1-1所示。 攻击者首先会篡改存在安全隐患的网站的内容,并设下圈套试图让浏览者的计算机感染僵尸病毒。假如浏览网站的用户的计算机存在安全隐患,就会感染上僵尸病毒,从而便能够接受攻击者的命令。进入僵尸网络的计算机A会被用来发送垃圾邮件或执行DDoS攻击。另外,有时僵尸机器也会去攻击新的服务器。如此这般,新被入侵的机器也加入到了被控的僵尸Web服务器集群,那么被感染僵尸病毒的计算机集群的数量就会不断扩大。 据传,僵尸网络带来的收益是网络犯罪者的一项主要收入来源。换言之,在互联网上发布一个带有安全隐患的网站,就有被反社会势力利用的可能性。 A 俗称“肉鸡”。 ——译者注