瑞星發(fā)布《社交網站安全報告》社交網站存在七大安全風險 可能成為用戶隱私泄露重災區(qū)3月30日，瑞星公司發(fā)布《網民隱私與社交網站（SN S）安全報告（2009）》，針對目前非常熱門社交網站用戶發(fā)出安全

瑞星發(fā)布《社交網站安全報告》

社交網站存在七大安全風險 可能成為用戶隱私泄露重災區(qū)

3月30日，瑞星公司發(fā)布《網民隱私與社交網站（SN S）安全報告（2009）》，針對目前非常熱門社交網站用戶發(fā)出安全警告。報告指出，網民在社交網站注冊個人資料之后，很容易遭遇手機號泄露、MS N 和郵箱賬號密碼被盜用等七大安全風險，而利用各種方式騙取網民個人資料用以牟利，已經成為社交網站利潤的重要來源?！拔覐膩頉]有去過任何交友網站，也不愛玩這個，今天突然收到一女性朋友的電子郵件，題目寫著《我想跟你明確關系》

，點郵件里的鏈接后出現(xiàn)一個頁面，直接要求我填寫MSN 賬號和密碼，這是怎么回事?。渴遣《締?？”北京網民張先生向瑞星客戶服務中心的工程師詢問。根據(jù)瑞星安全工程師查證，這可能是一起社交網站騙取用戶個人隱私信息的行為。

（張先生收到的郵件）

（該網站直接要求張先生提供MSN 密碼）瑞星互聯(lián)網攻防實驗室和瑞星客戶服務中心的統(tǒng)計研究表明，目前國內網民的個人隱私泄露情況已經達到了相當嚴重的程度，而造成這種情況的主要原因，已經從“木馬病毒小規(guī)模竊取”逐步轉變?yōu)樯虡I(yè)公司的有目的收集，這些商業(yè)公司誘導網民泄露隱私，然后記錄用戶隱私并牟利，而一些社交網站則表現(xiàn)得尤為突出。

2006年9月，一個叫“中國緣”的流氓網站被媒體曝光，從此開啟了“社交網站流氓式發(fā)展”的序幕；期間，多個流氓社交網站被媒體曝光，最近的一個案例是，2009年3月，網游“熱血三國”因為采用流氓式推廣被文化部

萬方數(shù)據(jù)

查處。要進行這些流氓式推廣，廠商首先要獲取用戶的M S N 賬號、郵箱等私人信息，而社交網站正充當著這個“個人信息提供商”的角色。時至今日，搜索關鍵字“中國緣 流氓”，依然能找到數(shù)十萬個相關消息和用戶帖子。 根據(jù)瑞星安全人員的分析，目前社交網站存在的七種主要安全風險包括：

（1）利用引誘、誤導等方式，鼓勵用戶填寫M S N 和QQ 的賬號、密碼。

（2）通過游戲積分獎勵、優(yōu)先享受新功能等方式，鼓勵用戶填寫自己的真實情況。網站提供的安全保護，卻存在很多問題。

（3）鼓勵網民將網站賬戶與手機綁定，建立手機信息庫，存在隱私泄露風險。

（4）網站的隱私保護設計，完全以“方便”為立足點，漠視用戶的“安全風險”。

（5）網站使用大量A j a x 技術，很容易產生X S S 和CSRF 攻擊，使用戶電腦中毒，網銀賬戶失竊等。（6）頻繁騷擾注冊用戶的M S N、郵件聯(lián)系人，誘騙其注冊自己的網站，甚至直接騙取隱私信息，以及推送

廣告。

（7）用戶在游戲、交流的過程中很容易泄露自己的真實情況，可能給黑客詐騙帶來方便。

據(jù)業(yè)內人士估計，在大中型城市的15至30歲的網民中，有95以上會注冊一個或幾個社交網站，所以其帶來的安全風險、個人隱私風險十分嚴重。在瑞星公司的測試中，用一個擁有30名好友的MSN 賬號注冊某社交網站，

登錄后發(fā)現(xiàn)，好友中的16人填寫了自己的MSN 賬號密碼，把好友列表存儲在該網站的服務器上。這些隱私信息一旦泄露，后果不堪設想。

據(jù)國外媒體報道，目前包括M y S p a c e 賬號、Facebook 賬號等國外社交網站的資料，都可以在黑市上買到，單個賬戶的價格根據(jù)活躍等級、完善程度從幾美分到幾美元不等。根據(jù)調查，歐盟成員國54％的家長因此擔心自己的孩子遭受網絡暴力。在歐盟委員會的協(xié)調下，包括YouTube、雅虎（歐洲）、MSN、MySpace和Facebook 在內的17盟未成年人的協(xié)議。

CNNIC 推出自主研發(fā)的服務器域名證書--網址衛(wèi)士

目前網絡欺詐、網絡釣魚正成為繼病毒木馬之后的重大網絡危害行為，網絡信息安全環(huán)境越來越復雜，基于域名的網絡安全服務成為治理網絡環(huán)境的重要一環(huán)。

中國互聯(lián)網絡信息中心(CNNIC)日前在北京召開“繁榮·誠信·互聯(lián)網——綠色網絡安全行動暨網址衛(wèi)士國際認證新聞發(fā)布會”。會上隆重宣布，由C N N I C 自主研發(fā)的服務器域名證書——網址衛(wèi)士順利通過全球最權威、最嚴謹?shù)腤ebtrust 安全標準審計，并成為國內首款得到

微軟IE 等世界主流瀏覽器信任的服務器域名證書。

開展了相應的技術研發(fā)和服務，在假冒釣魚網站層出不窮的形勢下，服務器域名證書具有廣泛的用戶需求，各國政府都非常重視，加快部署域名安全技術。目前服務器域名證書應用領域非常廣泛，全面覆蓋財稅、金融、保險、IT等眾多行業(yè)，是網上支付、發(fā)布指令或信息、網民私密信息等重要信息實現(xiàn)網絡間安全加密傳輸?shù)闹匾Ｕ稀?/p>

中國反釣魚網站聯(lián)盟發(fā)布的《2009年網絡信息安全熱點數(shù)據(jù)》顯示，近8成網民擔心在網上填寫的個人資料安全狀況。 而CNNIC 此次推出的網址衛(wèi)士兼具網站身份確認、信息傳輸加密、網站防偽標識三重功能。其嚴謹?shù)膶徍肆鞒?、國際主流安全加密技術，可力阻釣魚網站，幫助網民實現(xiàn)用戶與網站之間交互數(shù)據(jù)信息的加密傳輸，防止機密信息泄露或被篡改，保證信息的完整性、安全性。

據(jù)了解，Webtrust是由世界兩大著名注冊會計師協(xié)會(美國注冊會計師協(xié)會，AI C P A 和加拿大注冊會計師協(xié)會，CI C A ) 制定的安全審計標準，主要對申請對象的系統(tǒng)及業(yè)務運作邏輯安全性、保密性等共計七項內容進行近乎嚴苛的審查和鑒證。只有通過Webtrust 國際安全審計認證，才有可能成為全球主流瀏覽器根信任的證書簽發(fā)機構，也只有取得瀏覽器根信任的機構頒發(fā)出的證書，才能真正意義上的防止釣魚網站的出現(xiàn)，保障網站的利益、保障全體網民及各企事業(yè)團體的自身利益。

借此次發(fā)布會，CN N I C 聯(lián)合了殺毒行業(yè)、中國反釣魚網站聯(lián)盟等力量啟動了“綠色網絡安全行動”，旨在建立網絡危害行為協(xié)同應對平臺，共享網絡危害行為監(jiān)測數(shù)據(jù)，攜手合力共同治理病毒、木馬和假冒釣魚網站等三大互聯(lián)網“毒瘤”。

CNNIC 網址衛(wèi)士通過國際安全認證并實現(xiàn)“CNNIC根”(CNNIC root) 嵌入在全球主流瀏覽器，中國擁有了自主研發(fā)的服務器域名證書，實現(xiàn)了在瀏覽器中根信任零的突破，有助于我國進一步提升了國內企業(yè)及個人網上信息安全保障水平，實現(xiàn)我國服務器域名證書服務的自主管理、自我發(fā)展和自我完善的目標。

服務器域名證書順應當今世界域名安全技術(DNSSEC)趨勢，國際上主流的域名注冊管理機構基本都

除了網民提高自我防范意識之外，瑞星安全專家建議，鑒于目前個人隱私保護不利的情況，國家相關部門應該出臺針對性的法律、規(guī)章，通過法律途徑或者是行業(yè)規(guī)范對利用個人隱私牟利的企業(yè)行為做出查處。同時，社交網站行業(yè)應該主動進行行業(yè)自律，不能只看到侵害用戶隱私帶來的短期利益，而要維護行業(yè)長期的健康發(fā)展。

針對上述隱私安全問題，瑞星安全專家建議普通網民采取如下措施：

（1）要嚴密防范S N S 網站的蠕蟲攻擊。對于普通用戶來講，可以安裝免費的“瑞星卡卡上網助手6.0”，利用其中的漏洞掃描功能，彌補系統(tǒng)漏洞；安裝瑞星殺毒軟件，其中的基于云安全系統(tǒng)的“防掛馬模塊”，可以利用行為分析方法，攔截SNS 網站上的盜號木馬、蠕蟲等。（2）在社交網站填寫任何個人資料之前，都要了解到

其中蘊含的風險。盡量不要在社交網站填寫過于詳細的個人資料。尤其是自己的收入水平、婚姻狀況，自己是否買股票、基金等個人隱私，很容易被有心人利用，進行商業(yè)推廣和詐騙。

（3）不要輕易加M S N 好友、QQ 好友、SN S 網站好友。隨著SNS 網站的發(fā)展，這些個人資料往往有集中、整合的趨勢，例如，你一旦加了某人為M S N 好友，則他在很多S N S 網站會自動成為你的好友。這樣，即使是一個十分陌生的人，也可能了解到你最隱私的個人資料。這樣帶來的安全風險是不言而喻的。

（4）在使用S N S 網站時，要充分利用其安全機制。例如，通過S N S 網站邀請好友時，如果輸入了自己的M S N 賬號密碼、郵箱賬號密碼，在使用完該功能之后要馬上修改密碼。這樣，就可以規(guī)避掉一些安全風險。