迄今為止，信息泄露事件屢屢見諸報端，其中影響面最廣的當屬CSDN信息泄露事件，此次事件被認為是“中國互聯網史上最大信息泄露事件”。

SQL注入漏洞致使CSDN泄密

當“密碼門”爆發之后，“賬戶密碼明文存儲”首先被千夫所指。很快有關專家指出：最根本的問題是通過合法系統讓黑客拿到非授權的數據，即黑客成功侵入系統，而非是賬戶密碼明文存儲，事件的責任主要是網站運營方完全沒有控制住源代碼開發的安全性，導致有漏洞的系統和網站對接，黑客發現并利用漏洞進而泄密。

通過對網上泄露的大量CSDN數據各方面對比分析后，北京專案組發現這些數據大部分集中在2009年7月至2012年7月，并推測網站服務器被入侵時間在2010年7月前。涉及入侵的服務器已于一年前被轉做他用，日志未留存、數據無法恢復，當時負責的技術人員已經大部分離職。另外從泄密的數據還可以判斷網站存在SQL注入漏洞，導致黑客可以很順利的利用黑客工具進行攻擊，從而獲得數據庫的訪問權限以及有可能獲得主機的控制權限，更有可能利用這種漏洞攻擊關聯的認證系統，如郵件、網銀、電子貨幣等等。

SQL注入漏洞是黑客對數據庫進行攻擊的常用手段之一。黑客通過網站程序源代碼中的漏洞進行SQL注入攻擊，滲透獲得數據庫的訪問權限，獲得賬戶及密碼僅是其中最基本的一個內容。這種漏洞還會導致主機權限的丟失、關聯認證系統的竊取等。導致這種漏洞的主要原因是程序員編寫代碼時沒有對用戶輸入數據的合法性進行判斷，是應用程序存在安全隱患。黑客可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些想得知的信息。

積極推廣專業的信息安全技術

CSDN泄密事故為代表的一系列信息泄密和網絡入侵外，互聯網的整體掛馬普遍存在。據統計，全國的所有省市都存在不同程度的掛馬現象，尤其是信息活動與經濟發達、商業行為頻繁的地區，如北京。另外比掛馬更隱蔽、不易發覺的新的惡意行為暗鏈的發生。統計顯示，由于暗鏈尚未受到普遍關注，被暗鏈攻擊的網站數目在急劇上升，尤其政府類網站和教育類網站。

從接二連三的信息安全事件可以看出，人員的安全意識普遍偏低，信息安全的規章制度不完善，人員的管理也不盡如人意。在技術上，專業的信息安全技術未得到廣泛應用。試想，如果人員的安全意識高，能在2010年7月被入侵還不自知或自知而不補漏，如果信息安全的規章制度完善，所有行為就都有規可依，日志會留存，數據會做好備份，人員也會有備案等措施。

在開發過程中，事實上，源代碼編譯和發布以后，除了功能和性能測試外，還應有權威的工具對其進行安全性測試，檢查是否存在SQL注入、跨站腳本和遠程惡意程序執行的漏洞。安全性檢測是很必要的，開發流程中應該預留出時間進行安全性測試，防患于未然，成本小但利益長遠。

解決之道直指等保測評

等保測評全稱是“信息安全等級保護測評”。對CSDN信息泄露事件積極開展偵破的同時，北京警方對CSDN網站未落實國家信息安全等級保護制度造成用戶信息泄露事件做出行政警告處罰，這是我國落實信息安全等級保護制度以來的首例“罰單”。

信息安全等級保護制度是國家在國民經濟和社會信息化發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度。等級保護堅持“誰主管誰負責，誰經營誰負責，誰建設誰負責，誰使用誰負責”的原則，實行“國家主導、重點單位強制、一般單位自愿、高保護級別強制、低保護級別自愿”的監管原則。信息網絡安全狀況等級的技術檢測是等級保護的重點。等級保護測評具體通過安全技術測評和安全管理測評兩大方面實施，具體見下圖。信息網絡的技術安全等級是信息網絡安全狀況等級的主要指標，有國家授權的技術檢測機構通過技術檢測進行評定。通過等級保護制度，為信息網絡安全產品的普及使用提供了廣闊的市場和發展空間，引導國內外信息技術和信息安全產品企業根據國家有關法規和技術標準，積極研發和推廣使用適合不同安全保護等級的產品。

目前，國內已有相關機構開展了互聯網信息安全等級保護測評業務，如工業和信息化部計算機與微電子發展研究中心（中國軟件（600536）評測中心），在安全建設規劃、定級備案咨詢、現狀測評、整改咨詢、等級測評等方面已有許多成功案例。