剛接觸時覺得它新奇無比,發現它可以當“百科全書”用,漸漸地,學習、工作、生活離了它便覺得無法繼續——它就是網絡。全球化背景下,網絡迅速賦予個人前所未有的權利。面對海量信息,你盡可自取所需,還可以抒發想法,爭做“草根”名人、意見領袖。網絡世界對于復雜艱難的現實生活來說,堪比世外桃源。與此同時,很多網民也經歷著這些:網購了一袋牛肉干,從此郵箱里便是鋪天蓋地與牛肉相關的廣告;在一個網站上用個人信息注冊了會員,之后卻時常接到電話推銷和廣告信件;社交賬號突然被盜,親朋好友被騙子利用損失錢財,自己毫不知情,卻欠下一屁股人情債??就在質疑聲四起、人們不斷疑惑自己于何時被誰窺視的時候,“棱鏡門”的爆發倒是提供了一個線索。沒錯,網絡世界并沒有那么自由,這是一個不支持“隱居”的世外桃源。此次《經濟》記者就通過對網絡技術專家與網絡安全技術公司負責人的采訪,帶您走進網絡世界,“冷眼”瞧一瞧這個世界的規則。
黑色產業成熟,個人隱私不保
工信部電子科學技術情報研究所軟件與信息服務研究部副主任陳新河告訴記者,網絡安全問題分兩種:“一種是系統安全問題。沒有100%安全的系統,安全防護和安全攻擊是螺旋上升的,并且安全防護一般是滯后于安全攻擊的。這類問題一般有專業安全技術人員通過信息安全軟硬件來解決,如防火墻、漏洞掃描軟件等。另外一種是網民在使用諸如電子商務、網絡銀行類應用時所遇到的網絡欺詐、網絡釣魚等應用安全問題。應用安全比系統安全的防范更為困難。目前網絡安全問題由系統安全擴散至應用安全,二者共存,應用安全問題更為突出。”
北京郵電大學計算機學院副教授李忠獻用數據說明了系統安全問題的嚴重性:“據國家互聯網應急中心(CNCERT/CC)最新發布的《2012年中國互聯網網絡安全報告》,2012年,我國境內日均發生攻擊流量超過1G的較大規模拒絕服務攻擊事件1022起,約為2011年的3倍。利用‘火焰’病毒、‘高斯’病毒、‘紅色十月’病毒等實施的高級可持續攻擊(APT攻擊)活動頻現,我國境內至少有4.1萬余臺主機感染了具有APT特征的木馬程序。境外約有7.3萬個木馬或僵尸網絡控制服務器控制了我國境內1419.7萬余臺主機。我國面臨的境外攻擊威脅依然十分嚴重,‘匿名者’等黑客組織活動頻繁。”陳新河則認為,隨著互聯網的廣泛和深入的應用,我國網絡信息安全存在的問題的重心已經從系統安全轉向了應用安全:“以手機惡意軟件舉例,2012年上半年,網秦(手機反惡意軟件)查殺到手機惡意軟件達17676款,直接感染手機達1283萬部,匯款、中獎、貸款等詐騙信息花樣翻新。手機惡意軟件形成了一條從制作、傳播到分成的‘一條龍’移動黑色產業鏈。”
專家的表述很清楚,我們不需要問網民的個人隱私能否得到保障,只能探討信息泄露到了何種程度。
李忠獻的答案是:“個人隱私的泄露十分嚴重,手機號碼、家庭住址、銀行賬號等個人隱私在網上被惡意兜售,大量的釣魚網站和木馬病毒偷竊個人數據和信息。”根據維基百科,美國國家安全局在“棱鏡”計劃中可以獲得的數據包括電子郵件、視頻和語音交談、影片、照片、VoIP交談內容、檔案傳輸、登入通知以及社交網絡細節。陳新河也分析道:“網絡所帶來的個人隱私泄露有多方面的原因,如商業利益驅使,通過獲取個人信息來更好地進行產品推廣等;個人不經意透露手機號碼、電子郵箱等;含有個人隱私的手機、電腦丟失等;信息系統被攻擊意外導致用戶名、密碼、個人隱私信息泄露等等。目前出現一些新的隱私安全保護問題,如在向Android智能手機進行安裝應用軟件時,應用軟件往往要求通信錄的訪問權限,只有許可才能安裝,這類可能導致隱私泄露的安全問題層出不窮,需要在技術開發規范、產品上市管理、個人隱私保存和使用等多方面進行規制。我國5.64億PC網民、4.2億手機網民大都是小白用戶,安全意識差、網絡信息安全工具使用率低,在已經具備精細分工并且形成產業鏈的灰色利益鏈面前更易受到侵害。”
卡巴斯基中國區技術總監陳羽興告訴記者:“我們還沒有充分意識到我們的隱私是可以被侵犯的。因為我們看到的只是呈現在我們終端上的信息,但信息在后端怎么被人利用是我們不可知的。如果用傳統的方式寄一封信,我們能看出信是否被人拆開看過,但在網上發出的信息可能被多方查看而我們毫不知情,而侵犯這個隱私權的可能來自犯罪分子,甚至可能是政府。”
如此看來,網民可能泄露的除了個人基本信息之外,還包括社交網絡、交往細節等等,如果想要費盡心思了解一個人,網絡能提供的信息比需要的還多。
技術依賴國外,安全隱患突出
到網絡安全技術,陳羽興介紹了卡巴斯基公司一直以來擅長的模糊處理技術、漏洞防御技術以及針對個人隱私多層次、多方位的防御體系,但也直言國內技術發展所面臨的問題:“中國的互聯網軟硬件技術相較于美國等發達國家還相對落后,還沒有大批能夠影響世界網絡發展和格局的大型高科技企業和產品。一些關鍵的基礎架構部件比如操作系統、數據庫、高端存儲等技術基本都依賴國外廠商,信息安全作為保護這些基礎架構和應用的技術對底層有一定的依賴,所以國內廠商也就相應的很難站到整個行業的前沿,這是一個整體的現狀。另外現在IT發展速度很快,導致安全防護跟不上。比如虛擬化技術這幾年得到廣泛應用,但由于技術本身復雜,很多企業和單位建立一套虛擬化系統后,就沒有太多的精力去考慮安全問題。另外還存在開發周期滯后,新技術、新系統開始應用時保護不足的問題。移動互聯是另外一個比較典型的例子,智能手機在極短時間內普及,同時隨著APT攻擊的興起以及復雜網絡武器比如震網、DUQU和火焰病毒等的出現,安全形勢更加嚴峻,還會影響到國家層面的基礎設施。但國內目前對這些高級復雜攻擊的技術積累還顯得不足,這是一個急需突破的領域。最后很多企業在開發應用時注重于功能,在安全上考慮不多,甚至有企業通過侵犯用戶隱私而獲利。這些方面國家的法律法規還是相對滯后的。需要通過個人的安全意識去規避一些潛在的風險,而個人在這方面的技術甄別能力有限,導致用戶隱私和數據安全問題時有發生。”
李忠獻也告訴記者:“政府近年來加強了對我國自主知識產權的產品和系統的支持力度,分級保護、等級保護在關鍵行業領域逐步開展,政府、企業和民眾對信息安全逐漸重視,信息安全意識得到逐步增強。但是應該看到,有些關鍵行業的信息系統,如大型制造業和工業控制系統等,對國外產品的依賴性還較強,仍存在較大的安全隱患。”值得注意的是,“我國關鍵行業如通信、金融、電力等核心IT系統90%以上是國外產品。”陳新河說。
雖然技術創新的口號一直提得響亮,但實施起來并不容易。對國外技術產品的依賴不僅阻礙了我國網絡安全技術的根本長足發展,也埋藏著巨大的安全隱患。
謹慎應對危機,增強自身實力
“棱鏡”計劃的曝光無疑是對我國信息安全技術發展的鞭策。見識到了網絡世界的“險惡”,國家、企業、個人都沒有理由再自我催眠。
2009年3月,十一屆全國人大常委會第七次會議表決通過了《刑法修正案(七)》,增加了懲治網絡犯罪的條款。但隨著網絡技術的迅猛發展,許多對于技術的規定已經不適應目前的犯罪現實,法律對網絡安全的保障能力越來越弱。對此,陳新河提到:“網絡世界個人隱私的保護,需要一套行之有效的法律法規制度。”陳羽興也認為:“國家需要通過法律法規去規范這個市場并且要得到堅決的執行。”
陳新河也提出了“根本”問題:“‘棱鏡’事件再次向我國信息安全防護體系敲響了警鐘,印證了‘有網絡,無安全’。擁有網絡制空權便獲得了信息制空權,美國憑借IT領域的實力,依靠一批IT巨頭輕而易舉地獲得了網絡制空權,隨時監控全球每一個網絡用戶,網絡用戶被透明地擺在美國鏡前。在網絡無處不在、無時不用的時代,唯有增強自身IT的實力,擁有全面駕馭IT系統的能力,才能擺脫時時受監控的困局。”李忠獻建議:“管理上還要加大對產品自主創新的政策性引導,加強關鍵行業領域對信息系統使用的監督和指導,尤其是對信息安全產品的使用,應優先使用國產品牌。”
企業同時應該負起責任。陳羽興告訴記者:“對于服務或者內容提供商來說,對含有隱私信息的內容,提供商應該使用HTTPS協議,而用戶也在需要輸入個人信息時只選擇采用HTTPS協議的網頁。另外應用開發商要把保護個人隱私問題放到更重要的問題,更不能有意的通過竊取個人隱私去謀利。”
保障個人隱私,網民自己應該怎么做?
陳新河認為:“當前信息安全防線中最薄弱的環節是人,信息安全最可靠的保證也是人。信息安全保障‘三分技術,七分管理’是真理,對于個人信息保護,這個真理同樣有效。”他還對網民提出了很多具體的建議。陳羽興則提醒,目前整個網絡環境還處于早期相對無序的快速發展的過程中,除了國家要不斷完善相應的法律法規外,網民自己也要提升防護意識以保護自己的隱私權益,要認識到網絡本身不可信并且盡快學會一些基本的隱私保護技術,比如文件加密和VPN等,要盡量避免使用“棱鏡”事件中曝光的企業的產品和服務。
網絡安全現狀令人擔憂,個人的自由度隨著安全感的降低而降低,國家安全因技術的依賴而危機重重。網絡深處的“窺視”可能來自各個方向,國家應當履行責任加快立法、加強執法,堅持自主創新戰略,增強我國信息安全技術整體實力;企業也該擺正立場,不以用戶的隱私來牟利;個人也應立即行動起來,強化觀念,從點滴做起,保護自我信息,履行社會責任。
原標題:網絡——不支持“隱居”的世外桃源
「 支持烏有之鄉!」
烏有之鄉 WYZXWK.COM
您的打賞將用于網站日常運行與維護。
幫助我們辦好網站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉網刊微信公眾號
