编者按：本文作者肖新光，网络ID江海客，安天实验室首席技术架构师，研究方向为反病毒和计算机犯罪取证等。如果有读者想要就安全问题和作者探讨，可以在微博@江海客。

据新华网报道，国信办发言人昨天表示，近期一些媒体报道或在网上流传的数家网站用户信息被泄露的事件，引起互联网管理部门的高度重视。截至目前，公安机关此次已查处入侵、窃取、倒卖数据案件9起，编造并炒作信息泄露案件3起，刑事拘留4人，予以治安处罚8人。据这位发言人介绍，近期查处的信息泄露事件主要有五个，具体内容参见这里。

新华社北京1月10日报道，记者10日从国家互联网信息办获悉，近期一些媒体报道或在网上流传的数家网站用户信息被泄露的事件，引起互联网管理部门的高度重视。目前，相关事实已由公安机关查明，违法人员已经或将要被依法严肃查处。

用户信息泄漏这把熊熊大火，终于从社区类网站烧到了电子商务网站和政府网站，支付宝、京东、当当等电商网站、以及部分政府网站的用户信息均遭到一定程度的泄漏。

日前，国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布，600万用户的登录名及密码被公开泄露，随后又有多家网站的用户密码被流传于网络，知名中文社区天涯网的4000万用户的登录名及密码也被公开泄露，连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。（12月25日《新华网》）

继前几日CSDN网站被爆出明文存储的用户数据库被窃取之后，今天网上又爆出天涯社区4000万用户资料泄露，账号密码邮箱明文保存，该资料已经网上传播，初步验证为有效数据。

12月21日，一份CSDN网站用户数据库被人在网上公开，其中超过600万个注册邮箱帐号和对应明文密码。这些数据泄露后，虽然对于网民的安全造成极大的威胁，但也为研究中国网民的上网习惯提供了绝佳的数据样本，以下是某程序员使用Python写了个小脚本，对互联网上流传的用户数据做了一下分析，颇有心得。

我们现在处于网络时代，时常要登录各种网站、论坛、邮箱、网上银行等等，这些访问常需要帐户+密码的身份认证，因此我们不断地注册用户，就有了数不清的网络帐户和密码。大多数人为了便于记忆，习惯只用一个常用的网络用户名、邮箱和密码，这是非常危险的。那么，网上的密码我们应该怎么设置，才能相对安全一些呢？

南方都市报讯 你在网上录入的信息越多，可能对你造成的威胁越大。昨日，有关国内知名程序员网站CSDN的用户数据库，被黑客公开的消息在微博流传。600余万个明文注册的邮箱账号和密码遭泄露的后果，引起网民关注以及对管理方安全意识的批评。CSDN方面随后确认此事并向用户致歉，尽管CSDN称已向警方报案，但还是引发了用户的修改密码潮。事件也让网民对部分网站保护用户信息安全的能力产生担忧。

继昨天CSDN多达600余万用户资料外泄之后，有网友爆料多玩网也有800万用户资料被泄露。目前该文件已经在网上流传，大量用户正在下载。

2011年12月21日，黑客在网上公开了知名程序员网站CSDN的用户数据库，高达600多万个明文的注册邮箱账号和密码遭到曝光和外泄，成为中国互联网历史上一次具有深远意义的网络安全事故。

由于Google的Gmail账户经常遭到恶意攻击，甚至出现美国政府高级官员帐号被攻击的情况，Google在早先推出过一个更安全的登录Google账户的方式：两步验证，目前该功能已经向全球用户开放。

今天我外出旅游，回来后发现我腾讯微博和QQ信箱被黑，据称是前些天被我在腾讯微博抨击的那些所谓的“黑客”所遭到的报复，不过这个报复却恰好验证了我早先论断的正确性。

互联网和传说中的江湖差不多，有门派纷争，有勾心斗角，有三教九流，也少不了东邪西毒。互联网上危险的地方很多，有些是你毫无察觉的常用服务，有些则是你曾信赖有加的搜索引擎，有些则完全是你自我暴露的。

由于笔记本电脑的普及，越来越多的用户发现个人电脑信息安全的重要性，当你的电脑被盗、被抢、被黑，或者因为不可抗拒力被他人获得，如何才能保证自己电脑信息的损失最小化，并且自己的秘密信息不被他人所获得，这值得所有的笔记本电脑用户关注，“艳照门”事件给普通的个人电脑使用者敲响了警钟：谁没有一些重要的资料？谁没有一些只属于自己的“秘密”？从担忧甚至会产生一些“恐惧”，谁也不知道什么时候又会什么不可预期的事件发生在自己身上，因此，针对个人电脑的安全问题，我这里总结一套安全方案，供大家参考。

最近，Google针对Gmail被攻击事件，全面默认启用了始终以https访问Gmail的方式了。但是，对于可以动用整个国家力量的黑客来说，从网络通讯数据中（在此不讨论对用户电脑种木马破解https的情况，只讨论在网络通讯数据中破解https的方法）破解https除了暴力破解（暴力破解https即使按照现在的集群计算能力仍旧需要几百至几万年不等）之外真的别无他法了吗？事实并非如此。

我们知道，IDS（入侵检测系统）的主动响应系统“阻止会话”的机制是：IDS将会向通信的两端（服务器端和客户端）各发送三个TCP RESET包，此时通信双方的堆栈将会把这个RESET包解释为另一端的回应，然后停止整个通信过程，释放缓冲区并撤销所有TCP状态信息，从而实现主动切断连接的目的。

SSL的窃听和安全最近颇受关注，吴洪声提出了一种SSL窃听攻击的思路，主要是利用了CA签发证书的一个重大缺陷：只验证目标网站的域名信箱即可签发该网站的证书，因此，只要搞到目标网站的一个信箱，就可以窃取到这个域名的SSL证书。

微软官方网站公告，微软公司28日宣布，其新版杀毒软件Microsoft Security Essentials自明天起可以免费下载。

随着IC卡从简单的同步卡发展到异步卡，从简单的EPROM卡发展到内带微处理器的智能卡(又称CPU卡)，对IC卡的各种要求越来越高。而卡本身所需要的各种管理工作也越来越复杂，因此就迫切地需要有一种工具来解决这一矛盾，而内部带有微处理器的智能卡的出现，使得这种工具的实现变成了现实。人们利用它内部的微处理器芯片，开发了应用于智能卡内部的各种各样的操作系统。COS的出现不仅大大地改善了智能卡的交互界面，使智能卡的管理变得容易；而且，更为重要的是使智能卡本身向着个人计算机化的方向迈出了一大步，为智能卡的发展开拓了极为广阔的前景。

看到一条新闻《刑法修正后首例木马案公诉：3个月牟利3000万》，感慨万千，我以前就曾经提到过黑客产业链的问题，没想到现在竟然发展到这么大的规模。

今天思科的几个网络安全专家讲解到我们公司讲解了一下我们购买的思科安全产品ASA、IPS、MARS的功能、介绍以及成功应用的案例及部署情况。这三套设备的管理都是基于Web的直观端到端管理，易用性较好。

在上一节《十个常用破解网络密码的方法》里，笔者谈到了个人网络密码安全的重要性，大部分用户密码被盗多是因为缺少网络安全保护意识以及自我保护意识，以致被黑客盗取引起经济损失。

个人网络密码安全是整个网络安全的一个重要环节，如果个人密码遭到黑客破解，将引起非常严重的后果，例如网络银行的存款被转账盗用，网络游戏内的装备或者财产被盗，QQ币被盗用等等，增强网民的网络安全意识是网络普及进程的一个重要环节，因此，在网民采取安全措施保护自己的网络密码之前，有必要了解一下流行的网络密码的破解方法，方能对症下药，以下是我总结的十个主要的网络密码破解方法。

周五，上海柏安咨询给我们培训安全方面的课程，其间他们讲了一个防止U盘中病毒的小技巧，挺有意思的。

我先前曾经介绍过奇虎推出的360免费ARP防火墙，界面虽然简陋，但是我在服务器上使用了这几个月来，感觉还可以。今天发现金山也出了一个ARP防火墙产品，于是也下载下来使用了一下。

今天使用Google搜索的时候，发现CNBETA的网站内容全部都被加上“该网站可能含有恶意软件，有可能会危害您的电脑。”的字样，点击进去后提示“警告- 访问该网站可能会损害您的计算机”，可以说直接从Google进入CNBETA的可能性几乎没有了。

相信个人电脑上网的安全问题困扰着每一个上网用户，安全的写博客防止自己惹上意想不到的麻烦也困扰着博客作者，那么，怎样才能保证我们自身的安全并免受外部攻击呢，这里我以自身的经验讲述十点安全技巧，希望大家能补充并探讨。

奇虎360在十一的时候推出了一个完全免费的ARP防火墙产品，是奇虎360推出的系列安全小工具之一，专门针对局域网内ARP攻击进行拦截，可以有效阻止ARP攻击，并且完全免费。而去年推出的“360安全卫士”我至今使用的都不错，现在360又出了这个免费ARP防火墙，对于这种热门的网站安全产品不牟利而免费提供，令人对不得不对周鸿祎的360安全卫士另眼相看了。

这些天我的服务器几乎天天都被人ARP欺骗攻击，网页被挂木马，实在烦死了，深圳的龙岗电信机房实在是够恶心的，不得已，我只好寻找一些防范ARP攻击的方法，目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击。

最近一段时间，一些国外媒体不断报道，德国、美国、英国、法国政府部门的网站接连受到黑客攻击，而多个外国媒体的报道认定黑客“来自中国”，甚至“中国军方”。对此，中国外交部发言人予以坚决否认。

京华时报上报道了一则很有意思的新闻，说某网络安全公司，为了推销其防火墙产品，竟然对一些网络游戏公司的网站发动DDOS攻击，然后向被攻击公司销售自己的防火墙设备，上演了一场贼喊捉贼的闹剧，最终被公安机关绳之以法。

我们经常会碰到个人博客被黑客入侵并挂木马的事情，我以前曾经介绍过“服务器的安全配置技巧总结”，但是没有具体结合某个博客程序讲解，今天，我这里就介绍一下在Z-Blog 1.7的系统以及主机可配置的条件下（托管、租用或者合租主机）的系统安全设置。让黑客的入侵变得不那么容易。

昨天的服务器被黑的事件中，我自己也是有一些责任，因为平时懒得对服务器安全进行设置，有些设置其实几分钟就可以设置完成，可就是懒惰，结果万一服务器被恶意破坏，就需要花费更多的时间恢复数据，因此服务器安全设置早期打好基础，危难时期就会减少很多无谓的损失。

上周五深夜，Google、MSN这2家在万网注册的.cn域名被人恶意劫持到万网的买麦网。

今天帮一个朋友清除了Z-Blog里的一个系统漏洞。

家里的电脑中了一个很奇怪的病毒。

这篇文章是我十年前写的第二篇在杂志上发表的文章。发表在微电脑世界1997年的第三期上。

人们刚开始使用密码没多久，就有人发现很多人一再使用完全相同的密码，即使是拼错的密码也惊人地一致。事实上，正因为人们对密码的设置可以被猜测出来，所以大部分黑客都会用到下面的常用密码表。从下列500个最常用的密码中，你可以洞悉安全意识薄弱的人有多么危险。如果你在这个表中看到了自己常用的密码，赶紧换掉吧。要知道，下面列出的每个密码都至少被成百上千的其他人使用过。

虽然前一阵服务器被人攻击，但是我也得到了很多经验教训。配置服务器为hisecweb模板后，可以抵抗一般规模的DDOS攻击了。服务器CPU通常只有5％的使用率。但是被攻击时候会增高到30％上下。

本文档列举出一些建议和最佳做法，以保证 Web 上运行 Microsoft Windows 2000 和 Internet Information Services (IIS) 5 的服务器的安全。这些设置侧重于安全性而不是性能方面。因此认真阅读以下的建议并运用它们来获得适用于自己企业的设置是很重要的。

Win2000操作系统的一个主要特色就是将IIS融入其内核之中，并提供一些用来配置和维护软件的向导工具，使构建一个Internet网站轻松易得。但是，如果要创建一个安全可靠的Internet网站，实现“地面部分”－Win2000操作系统和“空中部分”－IIS的双重安全，还需要更加全面和深入的工作。本文就对这些稳固工作中的空中部分－IIS进行讨论，旨在帮助管理员一步步地实施网站安全构建工作。