(电子商务研究中心讯)　　事件摘要：

　　漏洞报告平台乌云网披露了小米公司用户社区的安全漏洞，其指出该漏洞约有800万小米用户信息遭泄露，泄露信息中包括用户的用户名、密码、注册IP、邮箱等多种信息，并且漏洞报告称其泄露信息已经被在网盘中流出，并且遭到下载并加以恶意利用，大量用户报告称收到了诈骗电话，并且在电话中能够提出用户姓名、地址、电话、商品购买记录等准确信息，影响程度恶劣。

　　此次信息泄露事件由于拖库造成的可能性较大

　　根据小米公司在昨天发布的社区账号信息安全防范公告显示，此次事件的影响范围主要是2012年8月之前注册的论坛账号信息。由于小米公司的公司发展历史较为短暂，在发展的初期，其论坛及依附论坛产生的账号体系都使用了第三方开源程序，而在8月之后小米公司基于安全考虑将全部服务从旧论坛体系迁移至全新的账号安全体系进行加密。从这一点可以推断出，小米公司在进行数据迁移之时，极有可能由于防护措施不当，导致了原来数据库被恶意拖库，即黑客用非法手段整体下载网站的数据库信息，从而导致了越800万条数据的大量泄漏。

　　DLP防护将通过此事件得以重视

　　信息安全威胁有数量众多的种类，而数据泄露则是信息安全中极其常见的一种威胁方式，此次事件的发生与DLP这一安全防护直接相关，受市场重视的程度也将进一步加深。DLP(Data Loss Protection，数据泄露防护)用于防止数据信息被非授权获取与传播，通常适用于三大应用场景：使用过程、传输过程与存储过程，其中存储过程包括了数据中心、服务器、数据库的数据是否会被随意下载、共享泄漏，而小米用户信息泄露这一事件符合这一场景。DLP从实现角度来说不仅是通过软件和硬件的配合，更需要一套成熟的解决方案，从制度设计、集中控制管理、策略配置和下发等方面均需要反复论证并检验修正。而数据泄露在目前已知的威胁方式中对企业和政府中的危害程度巨大，未来对于DLP产品及方案的需求也必然随着事件发生和趋势所迫而高企，成为信息安全投入的重要组成部分。

　　开源系统的安全性值得关注

　　由于众多互联网公司由于规模或者成本的考虑，使用开源免费的数据库来构建网站论坛和用户账户系统，然而在初期的设计以及后期的更新维护方面对于安全性的考虑尚不够充分，存在很大的安全隐患。此次事件造成的原因之一也是使用了第三方开源程序，其安全性方面与成熟的数据库产品而言仍然存在不小的差距。而从开源数据库切换至商用数据库对于很多中小互联网厂商而言短时间内并不现实，通过采用安全厂商方案或在开源系统上加以改进修复将成为提升开源系统安全性切实可行的方式。此次事件暴露出来的问题将使得采用开源系统的厂商关注并着力解决隐含的威胁，无论在数据库的使用还是未来的数据库迁移都将提升安全防护的层次，避免此类事件的发生。

　　具备DLP产品研发及方案设计经验的公司将充分受益

　　尽管此次小米用户信息泄露是事件性因素，但是防止数据泄露是保护商业价值、维护社会安定乃至增加国家利益的重要实施措施和未来发展趋势，也是国家网络安全战略的重要组成部分。在国家政策指引及下游需求凸显的大背景下，具备DLP产品研发及方案设计经验的公司将脱颖而出，推荐绿盟科技、启明星辰等信息安全龙头公司。

　　风险提示:

　　政策扶持政策尚未明朗。(来源：民生证券 文/尹沿技 王喆 编选：中国电子商务研究中心）