安全支出不足1%

   “国内公司在安全上的投入的确比较少。”一位在国内知名互联网公司负责安全的技术总监坦承。

    从论坛、BBS到SNS、电商，各个网站对安全的IT支出都很少。在给本报的书面回复中，天涯相关负责人透露，天涯的安全支出是100万。京东、当当、多玩、CSDN等公司都对自己的安全支出讳莫如深。

据一家券商TMT研究部门的调研数据，目前中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%，欧美的比例是8%~10%。而国内，对安全性要求比较高的金融行业，其安全支出在整个IT支出中占到10%。

    互联网行业的安全投入“囊中羞涩”，甚至无法跟上业务的发展步伐。据一位行业人士透露，目前大型B2C购物网站每年的安全投入不过几百万，有的甚至只有几十万。但实际上，这些公司每年的安全运维投入需要达到千万元级别，小一点的网站也需要几百万。

    一位互联网安全工程师告诉记者：“大多数互联网网站通过外部的扫描工具就可以发现有明显的漏洞。”他戏谑道，百度这样的网站都被“黑”过，其他网站自然是惨不忍睹。

    来自360的报告也印证了这一点。360网站安全检测平台的分析显示，“国内83%以上的网站存在各种安全漏洞，大部分网站基础防护能力薄弱；国内中小型网站普遍没有专职的安全工程师维护，光靠服务器配置防火墙和入侵检测设备，无法有效防御黑客的入侵。”

   “目前，只有腾讯、阿里、百度有10位专职安全工程师，安全防护能力较强。其他的互联网上市公司也只有3位~5位专职工程师，有的甚至没有。”前文所述的互联网工程师告诉记者，在互联网企业有5位安全工程师，都算是豪华阵容，相当奢侈。

   具体来看，“目前，国内只有几家网站有中高级别的专业安全防护能力、只有浏览量在前100的网站有自己专业的初级安全、运维人员，前1000的网站有安全产品或服务的采购，大部分网站都没有专业的安全团队。”这位互联网安全工程师说道。

   “不少网站有着侥幸心理。”一位安全企业技术总监告诉记者，IT技术人才基本集中在IT圈，IT圈觉得自己不去攻击别的行业就不错了，根本没想过自己会被攻击。

   出于这样自信的“潜意识”，在规模快速扩张的直接驱动下，网站往往将IT支出放在系统扩容上，在电商类网站尤其如此。在IT支出的硬件、软件、服务/人员三项中，目前，绝大部分支出还集中于硬件，其他两项支出比较少，有的甚至比例更低。

   从另一方面来看，建立自己的安全运维团队，需要很大的投入，这也让互联网公司望而却步。马杰告诉记者，企业级的安全防护设备价格高，一台设备一般需要几十万，甚至几百万。并且，这些网站需要闲置出90%的资源，才能保证峰值时能够访问正常。为此投入的金钱就像个“无底洞”。此外，维护的费用支出也相当高，这其中主要人力成本，一般一位工程师年薪需要十几万元到二十万元不等，一个网站至少需要3位专业安全工程师。

   “互联网公司对自身的安全内部结构认识有缺陷。”马杰认为，安全最基本的原则应该是假设网站被黑，黑客侵入进来，那么如何控制受损的范围。网站也应知道，哪一个区域不能放明文，而应该放到与网站服务器之外，进行物理隔离。但实际上，不少网站做安全并没有从“这个假设”出发。

   “现在，很多网站的运维工程师也做着一部分初级安全维护的事情，但远远不够。”马杰认为，安全与运维并不相同。安全是动态的，面对的不是正常的访问、攻击、资料的窃取等活动。而运维的目的是保证服务器能够被正常访问。许多互联网公司将运维人员当作安全人员来使用，孰不知，安全需要专业团队。

   IT支出“薄如蝉翼”，使得网站的安全性大打折扣，这才让用户信息的大规模泄漏成为可能。

   “这一次互联网公司可以侥幸逃过，未来则不一定。”赵占领告诉记者，目前，工业和信息化部正在起草个人信息保护条例，未来从法律、法规上来保护用户的权利。事发之后，政府还可以进行行政处罚。

   2011年12月28日，工业和信息化部发布通告称，用户信息泄露事件严重侵害了互联网用户的合法权益，危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时，要求各互联网站要开展全面的安全自查。