業(yè)內(nèi)人士談中國網(wǎng)絡(luò)安全:除了技術(shù)還要“家規(guī)”

責(zé)任編輯:editor006

2014-11-27 17:34:34

摘自:中國新聞網(wǎng)

也許這是繼大航海之后,人類遇到的最好的時(shí)代了,它叫做“互聯(lián)網(wǎng)時(shí)代”。根據(jù)首屆世界互聯(lián)網(wǎng)大會(huì)的技術(shù)支持單位之一、杭州安恒信息技術(shù)有限公司全年的監(jiān)看表明:中國400多萬個(gè)注冊(cè)網(wǎng)站,50%以上存在中等級(jí)別以上的漏洞。

也許這是繼大航海之后,人類遇到的最好的時(shí)代了,它叫做“互聯(lián)網(wǎng)時(shí)代”。網(wǎng)絡(luò)的澎湃動(dòng)力,在改變?nèi)?;網(wǎng)絡(luò)帶來的自由空間,讓信息、經(jīng)濟(jì)、文化、社會(huì)行為都得到了井噴式的改變。

烏鎮(zhèn)上熱到發(fā)燙的互聯(lián)網(wǎng)大會(huì),正以一群網(wǎng)絡(luò)人的集聚,宣告著互聯(lián)網(wǎng)的虛擬社會(huì)正從一組代碼、一個(gè)角色符號(hào)變成改變現(xiàn)實(shí)社會(huì)的隱性杠桿。

對(duì)于互聯(lián)網(wǎng),人們從最初的迫不及待,到如今的小心翼翼。從今年年初的支付寶漏洞、攜程信息泄露,到這幾個(gè)月人們對(duì)于免費(fèi)公共WIFI安全性的質(zhì)疑,關(guān)于互聯(lián)網(wǎng)的安全問題,也在WIC上被與會(huì)嘉賓反復(fù)提及。

這是一個(gè)世界性的話題,其衍生出來的網(wǎng)絡(luò)金融安全、網(wǎng)絡(luò)隱私泄露、網(wǎng)絡(luò)謠言和網(wǎng)絡(luò)暴力更是涉及了社會(huì)的方方面面。

互聯(lián)網(wǎng)正經(jīng)歷從蠻荒時(shí)代進(jìn)入文明時(shí)代的階段。真正的民主與自由,從來都不是無所限制的,缺乏限制只會(huì)帶來混亂與暴行。終結(jié)的力量也許來自網(wǎng)絡(luò)管理相關(guān)法制的健全,也許來自媒體“把關(guān)人”的到位,也許來自網(wǎng)民素質(zhì)的提高及自律……

在今天,我們想從兩位和互聯(lián)網(wǎng)打了十多年交道的人眼中,倒映出中國網(wǎng)絡(luò)安全的問號(hào)—

業(yè)內(nèi)人士談中國網(wǎng)絡(luò)安全:除了技術(shù)還要“家規(guī)”

  梁津銘/制圖

一位闖蕩了十多年的業(yè)界白帽子:網(wǎng)絡(luò)安全,除了技術(shù)還要“家規(guī)”

  一位闖蕩了十多年的業(yè)界白帽子:網(wǎng)絡(luò)安全,除了技術(shù)還要“家規(guī)”

這幾天在烏鎮(zhèn)參加世界互聯(lián)網(wǎng)大會(huì)的浙商、杭州安恒信息公司總裁范淵,是一位“白帽子”(正面的黑客,有黑客的思維、技術(shù)能力,可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但不會(huì)惡意去利用,而是公布、幫助修復(fù)漏洞),從在美國硅谷的國際著名安全公司工作時(shí)起十幾年,他一直致力于研發(fā)網(wǎng)絡(luò)安全產(chǎn)品。

大會(huì)期間,范淵參加了所有網(wǎng)絡(luò)安全相關(guān)的會(huì)議,他也向我們介紹了中國網(wǎng)絡(luò)安全的現(xiàn)狀、和未來的發(fā)展趨勢。他認(rèn)為:要推動(dòng)網(wǎng)絡(luò)安全的進(jìn)一步發(fā)展,除了技術(shù)要努力,還需要有“家規(guī)”—各個(gè)國家自己的立法、規(guī)定;有“通法”—全世界共同合作解決網(wǎng)絡(luò)安全問題的通路。

中國的網(wǎng)絡(luò)立法,有望3年內(nèi)建立

來看一組國家互聯(lián)網(wǎng)應(yīng)急中心最新統(tǒng)計(jì)的2014年上半年的數(shù)據(jù):

境內(nèi)616萬臺(tái)電腦感染了木馬病毒;境外的1.9萬臺(tái)主機(jī),控制了我國境內(nèi)619萬臺(tái)電腦;有2.5萬個(gè)網(wǎng)站,被篡改了內(nèi)容。

同時(shí),根據(jù)首屆世界互聯(lián)網(wǎng)大會(huì)的技術(shù)支持單位之一、杭州安恒信息技術(shù)有限公司全年的監(jiān)看表明:中國400多萬個(gè)注冊(cè)網(wǎng)站,50%以上存在中等級(jí)別以上的漏洞。

“目前我們面臨的網(wǎng)絡(luò)安全形勢,是比較嚴(yán)峻的。”范淵分析,這種局面,急需內(nèi)外合璧來改善。

在范淵看來,所有系統(tǒng)建立的基礎(chǔ),也就是第一關(guān)身份驗(yàn)證,就會(huì)遇到技術(shù)難點(diǎn)。

我們國家的居民身份證號(hào)碼,是一溜清晰可見的數(shù)字,這可能就會(huì)成為將來統(tǒng)一數(shù)字體系建立的一大挑戰(zhàn)。“因?yàn)槿绻麗阂夤粽叩玫搅松矸菡J(rèn)證信息,經(jīng)過高端的測試和"碰撞"(一種技術(shù)手段),很有可能得到銀行卡號(hào)、密碼等一系列私密的信息。”

這一方面需要像安恒這樣的安全產(chǎn)品制造企業(yè)研發(fā)出更加可靠的保障產(chǎn)品,同時(shí),需要強(qiáng)大的法律保障,來防止對(duì)大數(shù)據(jù)的侵犯和惡意利用。

“互聯(lián)網(wǎng)的立法,需要從兩個(gè)層面共同考量,一是各個(gè)國家對(duì)內(nèi),需要有獨(dú)立的互聯(lián)網(wǎng)法律、法規(guī),而在國際上,各個(gè)國家要聯(lián)合起來進(jìn)行深入的溝通、協(xié)作。”范淵認(rèn)為,按照目前國家對(duì)網(wǎng)絡(luò)信息安全工作的推進(jìn)情況,中國有望在3年之內(nèi),建立國內(nèi)通行的互聯(lián)網(wǎng)法律、法規(guī)。

用戶數(shù)據(jù)丟了,大企業(yè)有責(zé)任

法律、法規(guī)的輻射對(duì)象有個(gè)人,更有掌握了大數(shù)據(jù)的企業(yè)。

在美國加州州立大學(xué)拿到計(jì)算機(jī)博士學(xué)位后,范淵曾在硅谷工作了7年,他非常了解美國在網(wǎng)絡(luò)安全領(lǐng)域制定的一些規(guī)定。“發(fā)達(dá)國家目前建立的一些規(guī)章制度,可以作為中國互聯(lián)網(wǎng)安全保護(hù)工作推進(jìn)的借鑒。”

比如,美國加州的一項(xiàng)關(guān)于信息保護(hù)的規(guī)定是這樣的:如果企業(yè)將用戶的數(shù)據(jù)弄丟(被竊取),那么企業(yè)需要在第一時(shí)間,馬上點(diǎn)對(duì)點(diǎn)通知到所有的受害客戶。

同時(shí),這家企業(yè)將接州立的相關(guān)機(jī)構(gòu)對(duì)其受不同程度的罰款。

“對(duì)于用戶上億的公司來說,且不談罰款、通知用戶的人力、物力這筆經(jīng)濟(jì)損失,要點(diǎn)對(duì)點(diǎn)通知到每個(gè)用戶自己沒能保護(hù)好他們的信息,這對(duì)一家公司信譽(yù)的消耗,是真正的"懲罰"。”

所以,當(dāng)用戶的數(shù)據(jù)處于威脅的情況下,企業(yè)絕對(duì)不是把自己歸到受害者的位置,光是譴責(zé)盜取數(shù)據(jù)的不法者,企業(yè)是第一責(zé)任人。

一位從業(yè)十年的老網(wǎng)警:互聯(lián)網(wǎng)不是法外之地

切入描寫互聯(lián)網(wǎng)安全的角度千千萬萬,這一次,我們選擇從業(yè)十年的老網(wǎng)警視角。

肖福東,杭州網(wǎng)警分局法制大隊(duì)副大隊(duì)長。

最早,杭州警方有個(gè)部門叫信通處網(wǎng)絡(luò)安全監(jiān)查科。

2003年開始,成立網(wǎng)監(jiān)支隊(duì)。

現(xiàn)在,叫網(wǎng)警分局。

從科到支隊(duì)再到分局,這是最直觀的,也很能說明互聯(lián)網(wǎng)的地位變遷。當(dāng)然,這背后的內(nèi)涵和甘苦,更是值得玩味和思考的。比如,網(wǎng)警的辦案實(shí)踐,有了哪些變化;又比如,在網(wǎng)上造謠生事的,有了哪些新的手法。

網(wǎng)警們最大的感嘆是,互聯(lián)網(wǎng)的變化太快,眾多新情況層出不窮。網(wǎng)警要不被打敗,必須與時(shí)俱進(jìn)。

互聯(lián)網(wǎng)不是“虛擬世界”,更不是法外之地

肖福東算是觸網(wǎng)較早的一族,最開始他和許多人一樣,認(rèn)為互聯(lián)網(wǎng)是個(gè)“虛擬世界”。

“真的是這樣嗎?其實(shí)互聯(lián)網(wǎng)里有的,都是現(xiàn)實(shí)中的反映,如果我們只以虛擬世界的視角來看待,肯定是不行的。”

肖福東的印象里,2003年網(wǎng)監(jiān)支隊(duì)辦的第一個(gè)案子,是有三個(gè)人,在城西一處,搗鼓起了一個(gè)色情網(wǎng)站。“第一次自偵自辦的案子,電子取證還在摸索階段,所以取證就花了三個(gè)月時(shí)間。”網(wǎng)警收集了足夠的證據(jù),才好收網(wǎng)抓捕。

這次抓捕是很成功的,只是三個(gè)嫌疑人的驚嘆很有代表性。“網(wǎng)上搞這些能被查到?這些……違法了?”肖福東和同事們當(dāng)時(shí)反問過:“你在馬路邊賣黃碟,你覺得可以嗎?在網(wǎng)上,一樣啊!”

不過,在隨后的辦案實(shí)踐之中,很多嫌疑人都發(fā)出了類似的驚嘆。

“他們覺得這是虛擬世界,和現(xiàn)實(shí)無關(guān),他們的驚嘆也促進(jìn)了我們的反思,促進(jìn)我們對(duì)互聯(lián)網(wǎng)的認(rèn)識(shí)。”那個(gè)時(shí)候,肖福東不管是遇到朋友,還是面對(duì)嫌疑人,總是強(qiáng)調(diào):互聯(lián)網(wǎng)不是法外之地。

這些年的互聯(lián)網(wǎng)犯罪,越來越隱秘

肖福東提到,近年來杭州網(wǎng)警參與辦了許多大案要案。

比如去年夏天,濱江出現(xiàn)了一個(gè)神秘的“詐騙堡壘”里,幾乎天天上演著電信詐騙。受害的,都是千里之外,臺(tái)灣島內(nèi)的中老年民眾。他們冒充臺(tái)灣警方檢方,把假冒的拘留證通過傳真發(fā)給島內(nèi)老鄉(xiāng),通話中就說:你涉嫌犯罪,已被立案調(diào)查了,如果不交保證金,馬上拘留你!

去年9月4日,在杭州網(wǎng)警參與的專案組精心策劃之下,“詐騙堡壘”終被攻破,一舉抓獲犯罪嫌疑人22名(19名為臺(tái)灣籍人員)。他們?cè)谌ツ晗奶旆傅陌缸?,僅僅目前查證的9起案件,案值就高達(dá)2000余萬新臺(tái)幣。

這起案件,被臺(tái)灣刑事偵查局列為2013年島內(nèi)第一大案。

“其實(shí),這類案件偵辦起來是相當(dāng)有難度的,比如不法分子所用的服務(wù)器可能在國外,而且隨著云技術(shù)的發(fā)展,犯罪證據(jù)可能儲(chǔ)存在多個(gè)服務(wù)器里,而最終取贓款的,很可能是不知內(nèi)情的人,他只是幫忙取錢,而且身在外地,總的一句話,利用互聯(lián)網(wǎng)犯罪,越來越隱秘,對(duì)網(wǎng)警也提出了更高的要求。”

肖福東提到,這就需要警方花大力氣收集林林總總的證據(jù),且執(zhí)法成本相當(dāng)高。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)