9月初以來，美國征信機(jī)構(gòu)Equifax數(shù)據(jù)泄露事件正不斷發(fā)酵。

多位知情人士透露，Equifax公司系統(tǒng)早在今年3月就曾遭遇黑客嚴(yán)重入侵，比該公司此前公布的被襲時間再次提早近5個月。

　　9月7日，美國三大征信機(jī)構(gòu)之一的Equifax公司通過一份聲明告知公眾，其公司網(wǎng)絡(luò)于今年5月至7月間遭黑客攻擊，導(dǎo)致約1.43億美國消費者個人信息被泄露。

因波及范圍之廣、被泄信息之關(guān)鍵，這已成為近年來規(guī)模最大且最具威脅的信息泄露事件之一。

　　上周，美國聯(lián)邦貿(mào)易委員會(FTC)與聯(lián)邦調(diào)查局(FBI)均已介入對此次事件的調(diào)查。

此外，美國眾議院也將于10月3日舉行第一場關(guān)于Equifax數(shù)據(jù)泄露的國會聽證會，Equifax首席執(zhí)行官Richard Smith也將出庭作證。

Equifax已發(fā)表聲明宣布了其首席信息官David Webb和首席安全官Susan Mauldin的離職。

　　在安全評估后，Equifax將此次數(shù)據(jù)泄露關(guān)聯(lián)到了Apache Struts CVE-2017-5638漏洞，并表示因未能及時對該漏洞進(jìn)行補(bǔ)丁升級才導(dǎo)致黑客成功利用該漏洞進(jìn)行了此次攻擊。

　　未及時更新Apache Struts補(bǔ)丁，釀成大禍　　21世紀(jì)經(jīng)濟(jì)報道記者就此安全漏洞對360網(wǎng)絡(luò)安全響應(yīng)中心負(fù)責(zé)人蔡玉光進(jìn)行了采訪。

據(jù)蔡玉光介紹，Apache Struts是一個用于開發(fā)Java EE網(wǎng)站應(yīng)用程序的開放源代碼應(yīng)用程序架構(gòu)，得益于出色的穩(wěn)定性，其在全球范圍積累了包括眾多知名網(wǎng)站在內(nèi)的大量網(wǎng)站用戶，但也因此引起了大量黑客的競相攻擊。

　　而早在今年3月初，Apache Struts官方便已發(fā)布了CVE-2017-5638漏洞公告。

據(jù)蔡玉光介紹，因Apache Struts2存在被攻擊缺陷，黑客可利用漏洞實現(xiàn)遠(yuǎn)程操控目標(biāo)主機(jī)，可直接導(dǎo)致遠(yuǎn)程入侵，危害等級已屬嚴(yán)重。

因此，官方隨后便發(fā)布了版本更新，并建議用戶升級到最新版本以避免遭遇黑客攻擊。

　　“國內(nèi)有很多基于云防護(hù)方式的安全廠商也更新了攔截規(guī)則。

”蔡玉光表示，“目前并沒有直接事件表明中國民眾的信息安全受到該漏洞的影響。

”但他仍認(rèn)為，存儲了中國民眾相關(guān)信息的網(wǎng)站，尤其是使用了Apache Struts2應(yīng)用框架的網(wǎng)站，其管理員應(yīng)盡快對網(wǎng)站進(jìn)行相關(guān)的安全評估并確認(rèn)不受影響。

　　全球網(wǎng)絡(luò)安全事件頻發(fā)，解決根本在法律　　近年來，美國信息安全問題頻發(fā)。

2016年，雅虎曾先后兩次遭遇數(shù)據(jù)泄露，共有約15億用戶帳號信息被盜。

2014年，美國最大金融服務(wù)機(jī)構(gòu)之一的摩根大通遭遇黑客攻擊，造成了約7600萬賬戶信息被泄。

　　而全球范圍內(nèi)的網(wǎng)絡(luò)襲擊事件也是層出不窮，今年5月，基于“永恒之藍(lán)”漏洞的勒索病毒肆虐全球網(wǎng)絡(luò)，在受災(zāi)最為嚴(yán)重的英國NHS體系中，部分醫(yī)院的網(wǎng)絡(luò)系統(tǒng)甚至一度陷入癱瘓。

中國也未能幸免，除了大量企業(yè)，高校、公安等本因使用內(nèi)網(wǎng)而被認(rèn)為較為安全的機(jī)構(gòu)也遭受波及，教育網(wǎng)更是成為了重災(zāi)區(qū)。

　　9月19日，360企業(yè)安全集團(tuán)總裁吳云坤在2017年國家網(wǎng)絡(luò)安全宣傳周“網(wǎng)絡(luò)安全態(tài)勢感知論壇”后，在媒體工作室對21世紀(jì)經(jīng)濟(jì)報道記者就泄露事件帶來何種網(wǎng)絡(luò)安全啟示的提問進(jìn)行了回答。

　　吳云坤認(rèn)為，國內(nèi)雖然尚沒有像Equifax這樣儲存大量公眾敏感信息的個人征信機(jī)構(gòu)，但包括螞 蟻金服、京 東金融在內(nèi)的眾多互聯(lián)網(wǎng)公司，也同樣存有大量的用戶信息，信息泄露的風(fēng)險同樣值得警惕。

而解決信息安全問題的根本“一定是在法律。

”“首先要解決法制問題，比如網(wǎng)絡(luò)安全追責(zé)，”而隨著《網(wǎng)絡(luò)安全法》的出臺，一年之內(nèi)各種相關(guān)的條例也會逐步出臺，形成一個完善的體系。

“否則對大家來說，出事情就是出事情，對我來說就是領(lǐng)導(dǎo)批評一頓，不會上升到法律層面。

”吳云坤說道。

　　2016年11月，第十二屆全國人大常委會第二十次會議通過了《中華人民共和國網(wǎng)絡(luò)安全法》。

今年6月1日，《網(wǎng)絡(luò)安全法》正式生效，成為迄今為止我國網(wǎng)絡(luò)立法領(lǐng)域效力最高并也是最為重要的一部法律。

9月19日，在2017年國家網(wǎng)絡(luò)安全宣傳周“網(wǎng)絡(luò)安全態(tài)勢感知論壇”上，工信部網(wǎng)絡(luò)安全局網(wǎng)絡(luò)安全管理處副處長袁春陽便以“落實《網(wǎng)絡(luò)安全法》，加強(qiáng)安全態(tài)勢感知能力”為題發(fā)表了演講，介紹了我國《網(wǎng)絡(luò)安全法》的落實情況，包括網(wǎng)絡(luò)安全試點示范的開展、網(wǎng)絡(luò)安全威脅處置的推動等。

　　面對網(wǎng)絡(luò)安全威脅，防范思路需升級　　除立法外，吳云坤表示，一個新的政企安全體系也急需構(gòu)建：以蓋房子和修“籬笆”為例，過去把墻和籬笆修高修牢的思路已經(jīng)不再適用，如今發(fā)生偷盜案件后，警方第一選擇都會調(diào)取監(jiān)控錄像，而非研究為何高墻未能擋住竊賊，網(wǎng)絡(luò)安全領(lǐng)域也當(dāng)如此。

如今，應(yīng)以數(shù)據(jù)驅(qū)動網(wǎng)絡(luò)安全建設(shè)，摒棄過去“修墻”的思路。

　　“要假設(shè)一定有未被發(fā)現(xiàn)的漏洞，假設(shè)一定有已發(fā)現(xiàn)但未修補(bǔ)的漏洞，假設(shè)系統(tǒng)已經(jīng)被滲透，假設(shè)內(nèi)部人員不可靠。

”吳云坤表示，“征信機(jī)構(gòu)出問題，一定是在這某一點上。

”分析包括此次Equifax數(shù)據(jù)泄露事件在內(nèi)的網(wǎng)絡(luò)安全事件，需要首先認(rèn)識這四個假設(shè)。

　　此外，中國網(wǎng)絡(luò)安全的人才缺口也值得我們警惕。

吳云坤認(rèn)為，在國內(nèi)，像螞 蟻金服等存有大量消費者個人信息的互聯(lián)網(wǎng)公司，其大多擁有較強(qiáng)的安全技術(shù)，也有充足的資金支持其儲備足夠的網(wǎng)絡(luò)安全人才。

但對于其他政企體系，尤其是政府部門，其往往不具備相應(yīng)的能力，這也是在未來的網(wǎng)絡(luò)安全體系構(gòu)建中需要注意的一個問題。