9月初以來(lái)，美國(guó)征信機(jī)構(gòu)Equifax數(shù)據(jù)泄露事件正不斷發(fā)酵。

多位知情人士透露，Equifax公司系統(tǒng)早在今年3月就曾遭遇黑客嚴(yán)重入侵，比該公司此前公布的被襲時(shí)間再次提早近5個(gè)月。

　　9月7日，美國(guó)三大征信機(jī)構(gòu)之一的Equifax公司通過(guò)一份聲明告知公眾，其公司網(wǎng)絡(luò)于今年5月至7月間遭黑客攻擊，導(dǎo)致約1.43億美國(guó)消費(fèi)者個(gè)人信息被泄露。

因波及范圍之廣、被泄信息之關(guān)鍵，這已成為近年來(lái)規(guī)模最大且最具威脅的信息泄露事件之一。

　　上周，美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)與聯(lián)邦調(diào)查局(FBI)均已介入對(duì)此次事件的調(diào)查。

此外，美國(guó)眾議院也將于10月3日舉行第一場(chǎng)關(guān)于Equifax數(shù)據(jù)泄露的國(guó)會(huì)聽(tīng)證會(huì)，Equifax首席執(zhí)行官Richard Smith也將出庭作證。

Equifax已發(fā)表聲明宣布了其首席信息官David Webb和首席安全官Susan Mauldin的離職。

　　在安全評(píng)估后，Equifax將此次數(shù)據(jù)泄露關(guān)聯(lián)到了Apache Struts CVE-2017-5638漏洞，并表示因未能及時(shí)對(duì)該漏洞進(jìn)行補(bǔ)丁升級(jí)才導(dǎo)致黑客成功利用該漏洞進(jìn)行了此次攻擊。

　　未及時(shí)更新Apache Struts補(bǔ)丁，釀成大禍　　21世紀(jì)經(jīng)濟(jì)報(bào)道記者就此安全漏洞對(duì)360網(wǎng)絡(luò)安全響應(yīng)中心負(fù)責(zé)人蔡玉光進(jìn)行了采訪。

據(jù)蔡玉光介紹，Apache Struts是一個(gè)用于開(kāi)發(fā)Java EE網(wǎng)站應(yīng)用程序的開(kāi)放源代碼應(yīng)用程序架構(gòu)，得益于出色的穩(wěn)定性，其在全球范圍積累了包括眾多知名網(wǎng)站在內(nèi)的大量網(wǎng)站用戶，但也因此引起了大量黑客的競(jìng)相攻擊。

　　而早在今年3月初，Apache Struts官方便已發(fā)布了CVE-2017-5638漏洞公告。

據(jù)蔡玉光介紹，因Apache Struts2存在被攻擊缺陷，黑客可利用漏洞實(shí)現(xiàn)遠(yuǎn)程操控目標(biāo)主機(jī)，可直接導(dǎo)致遠(yuǎn)程入侵，危害等級(jí)已屬嚴(yán)重。

因此，官方隨后便發(fā)布了版本更新，并建議用戶升級(jí)到最新版本以避免遭遇黑客攻擊。

　　“國(guó)內(nèi)有很多基于云防護(hù)方式的安全廠商也更新了攔截規(guī)則。

”蔡玉光表示，“目前并沒(méi)有直接事件表明中國(guó)民眾的信息安全受到該漏洞的影響。

”但他仍認(rèn)為，存儲(chǔ)了中國(guó)民眾相關(guān)信息的網(wǎng)站，尤其是使用了Apache Struts2應(yīng)用框架的網(wǎng)站，其管理員應(yīng)盡快對(duì)網(wǎng)站進(jìn)行相關(guān)的安全評(píng)估并確認(rèn)不受影響。

　　全球網(wǎng)絡(luò)安全事件頻發(fā)，解決根本在法律　　近年來(lái)，美國(guó)信息安全問(wèn)題頻發(fā)。

2016年，雅虎曾先后兩次遭遇數(shù)據(jù)泄露，共有約15億用戶帳號(hào)信息被盜。

2014年，美國(guó)最大金融服務(wù)機(jī)構(gòu)之一的摩根大通遭遇黑客攻擊，造成了約7600萬(wàn)賬戶信息被泄。

　　而全球范圍內(nèi)的網(wǎng)絡(luò)襲擊事件也是層出不窮，今年5月，基于“永恒之藍(lán)”漏洞的勒索病毒肆虐全球網(wǎng)絡(luò)，在受災(zāi)最為嚴(yán)重的英國(guó)NHS體系中，部分醫(yī)院的網(wǎng)絡(luò)系統(tǒng)甚至一度陷入癱瘓。

中國(guó)也未能幸免，除了大量企業(yè)，高校、公安等本因使用內(nèi)網(wǎng)而被認(rèn)為較為安全的機(jī)構(gòu)也遭受波及，教育網(wǎng)更是成為了重災(zāi)區(qū)。

　　9月19日，360企業(yè)安全集團(tuán)總裁吳云坤在2017年國(guó)家網(wǎng)絡(luò)安全宣傳周“網(wǎng)絡(luò)安全態(tài)勢(shì)感知論壇”后，在媒體工作室對(duì)21世紀(jì)經(jīng)濟(jì)報(bào)道記者就泄露事件帶來(lái)何種網(wǎng)絡(luò)安全啟示的提問(wèn)進(jìn)行了回答。

　　吳云坤認(rèn)為，國(guó)內(nèi)雖然尚沒(méi)有像Equifax這樣儲(chǔ)存大量公眾敏感信息的個(gè)人征信機(jī)構(gòu)，但包括螞 蟻金服、京 東金融在內(nèi)的眾多互聯(lián)網(wǎng)公司，也同樣存有大量的用戶信息，信息泄露的風(fēng)險(xiǎn)同樣值得警惕。

而解決信息安全問(wèn)題的根本“一定是在法律。

”“首先要解決法制問(wèn)題，比如網(wǎng)絡(luò)安全追責(zé)，”而隨著《網(wǎng)絡(luò)安全法》的出臺(tái)，一年之內(nèi)各種相關(guān)的條例也會(huì)逐步出臺(tái)，形成一個(gè)完善的體系。

“否則對(duì)大家來(lái)說(shuō)，出事情就是出事情，對(duì)我來(lái)說(shuō)就是領(lǐng)導(dǎo)批評(píng)一頓，不會(huì)上升到法律層面。

”吳云坤說(shuō)道。

　　2016年11月，第十二屆全國(guó)人大常委會(huì)第二十次會(huì)議通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。

今年6月1日，《網(wǎng)絡(luò)安全法》正式生效，成為迄今為止我國(guó)網(wǎng)絡(luò)立法領(lǐng)域效力最高并也是最為重要的一部法律。

9月19日，在2017年國(guó)家網(wǎng)絡(luò)安全宣傳周“網(wǎng)絡(luò)安全態(tài)勢(shì)感知論壇”上，工信部網(wǎng)絡(luò)安全局網(wǎng)絡(luò)安全管理處副處長(zhǎng)袁春陽(yáng)便以“落實(shí)《網(wǎng)絡(luò)安全法》，加強(qiáng)安全態(tài)勢(shì)感知能力”為題發(fā)表了演講，介紹了我國(guó)《網(wǎng)絡(luò)安全法》的落實(shí)情況，包括網(wǎng)絡(luò)安全試點(diǎn)示范的開(kāi)展、網(wǎng)絡(luò)安全威脅處置的推動(dòng)等。

　　面對(duì)網(wǎng)絡(luò)安全威脅，防范思路需升級(jí)　　除立法外，吳云坤表示，一個(gè)新的政企安全體系也急需構(gòu)建：以蓋房子和修“籬笆”為例，過(guò)去把墻和籬笆修高修牢的思路已經(jīng)不再適用，如今發(fā)生偷盜案件后，警方第一選擇都會(huì)調(diào)取監(jiān)控錄像，而非研究為何高墻未能擋住竊賊，網(wǎng)絡(luò)安全領(lǐng)域也當(dāng)如此。

如今，應(yīng)以數(shù)據(jù)驅(qū)動(dòng)網(wǎng)絡(luò)安全建設(shè)，摒棄過(guò)去“修墻”的思路。

　　“要假設(shè)一定有未被發(fā)現(xiàn)的漏洞，假設(shè)一定有已發(fā)現(xiàn)但未修補(bǔ)的漏洞，假設(shè)系統(tǒng)已經(jīng)被滲透，假設(shè)內(nèi)部人員不可靠。

”吳云坤表示，“征信機(jī)構(gòu)出問(wèn)題，一定是在這某一點(diǎn)上。

”分析包括此次Equifax數(shù)據(jù)泄露事件在內(nèi)的網(wǎng)絡(luò)安全事件，需要首先認(rèn)識(shí)這四個(gè)假設(shè)。

　　此外，中國(guó)網(wǎng)絡(luò)安全的人才缺口也值得我們警惕。

吳云坤認(rèn)為，在國(guó)內(nèi)，像螞 蟻金服等存有大量消費(fèi)者個(gè)人信息的互聯(lián)網(wǎng)公司，其大多擁有較強(qiáng)的安全技術(shù)，也有充足的資金支持其儲(chǔ)備足夠的網(wǎng)絡(luò)安全人才。

但對(duì)于其他政企體系，尤其是政府部門(mén)，其往往不具備相應(yīng)的能力，這也是在未來(lái)的網(wǎng)絡(luò)安全體系構(gòu)建中需要注意的一個(gè)問(wèn)題。