新華社上海9月20日電題:掌握守護網絡安全的密鑰——國家網絡安全宣傳週透視
新華社記者王思北、周琳、高少華、吳振東
一組代碼、一條短信、一個電話、一頁鏈接,可能導致個人傾家蕩產、國家基礎設施癱瘓,風險隱於鍵盤之上。
一方是不會罷休的攻擊者,另一方是堅韌不拔的防禦者。網絡成為繼陸地、海洋、天空、外空之外的第五空間,攻防戰24小時不停歇,“沒有網絡安全就沒有國家安全”。
當虛擬空間和現實世界深度融合,面對不斷湧現的各種已知未知的網絡安全威脅,我們能夠找到真正守護網絡空間的密鑰嗎?
信息透明,探尋個人的“金鐘罩”
數據可以輕易給每個人“畫像”:所行所思、消費習慣、行程安排、關係網絡,數字巨頭或許比你更瞭解你自己。
光纜中傳輸的是每個人的數據,更是窺探者的寶藏。中國互聯網協會數據顯示,84%的網民曾親身感受到由於個人信息泄露帶來的不良影響。2015年下半年到2016年上半年,因垃圾信息、詐騙信息、個人信息泄露等導致的網民經濟損失高達近千億元。
網絡就像一把雙刃劍,每享受一種便利其實也意味着風險又增加一分。上海眾人網絡安全技術有限公司董事長談劍峯舉例説,網絡安全身份認證系統如果用生物特徵也會存在隱患。“密碼丟了還可以改,生物特徵確實是符合每個人的唯一性,但一旦被截獲則不可再生、且無法撤回。”
專家介紹,非法獲取公民個人信息主要有兩個來源:一個是黑客入侵網站非法獲取,另一個是各行各業的內幕人員泄露信息。侵犯公民個人信息的犯罪已經形成了從非法收集、提供竊取、交易到交換等各個環節完整的利益鏈。
每一次全新技術的應用,同時也帶來個人信息保護的挑戰。“譬如説增強現實在很多的範圍裏面使用,但它同時暴露了個人身份、位置隱私;人體增強、腦機接口,可能給‘黑客’提供機遇。”中國科學院院士何積豐説,在機器更像人、虛擬環境更真實、人工智能無處不在的情況下,網絡安全和信息化需要結合,才不會出現“貓和老鼠”的關係。
今年6月正式實施的網絡安全法除總則、附則外的61個條款中,直接涉及網絡用户個人信息保護的條款有十餘個。“依據這一法律制定的個人信息安全保護國家標準正在報批。”中國電子技術標準化研究院院長趙波説,信息保護還有很大提升空間,隱私條款對用户還不夠直觀有效,收集的信息和關聯性説明不夠充分,個人信息保存、信息描述不夠明確。
據介紹,目前已有微信、淘寶、京東商城等十款網絡產品和服務進行了隱私條款的文本修改,隱私文本中語焉不詳、晦澀難懂、避重就輕的文本變得更規範、責任更明確;同時進一步增強用户控制權,將不知情默認勾選、“一攬子協議”強迫用户同意等現象轉變成讓用户擁有知情權、選擇權、註銷權、更改權等。
萬物互聯,摸索企業的“安全門”
今年5月中旬爆發的全球勒索病毒事件中,許多電腦用户不幸中招,這為網絡安全防護敲響警鐘,也暴露出一些企業在應對網絡威脅方面存在的“漏洞”和短板:安全意識薄弱,安全投入不足。
騰訊副總裁馬斌向記者表示,國內企業對網絡安全重視程度依然不夠,許多企業往往把安全投入當作成本來看待。而隨着萬物互聯時代的到來,網絡安全應該成為企業防護的第一要素。否則,如果發生類似用户數據大規模泄露等安全事故,對企業可能就是滅頂之災。
據網絡安全企業“知道創宇”首席執行官趙偉介紹,從目前國內企業的信息化投入角度來看,網絡安全通常屬於信息科技(IT)運維下的一項小需求,投入相對偏小。而且,不同規模的企業由於處於不同發展階段,對網絡安全防護的需求也不一樣,大量中小企業首要考慮的還是企業存活問題,對網絡安全不夠重視;大中型企業則沒有對未來可能遇到的安全風險進行足夠研究和防範,缺失應有的準備。
與此同時,隨着“互聯網+”向各個領域、企業延伸,今天的安全形勢和傳統安全形勢業已不同。阿里巴巴集團安全部副總裁侯金剛告訴記者,互聯網的發展使得企業傳統的信息系統、數據資產等大部分已經在線,傳統的時空縱深防禦體系等已不能滿足企業今天的防護需求,需要新的以數據為中心的安全防護體系和框架。
在專家看來,企業網絡安全防護還是一個實時動態的過程。不久前蠕蟲病毒的發生就是一典型例子,許多傳統企業以為把門關上,在內網裏就安全了,事實證明內網也不安全,反而是一些活在互聯網上的公司抵抗住了病毒侵襲。因為那些互聯網公司天天在和“黑色產業”進行技術對抗,不得不時時提升其安全防護水平。
命運與共,全社會共築網絡安全防線
網絡空間安全本質上是攻擊者與防禦者的對抗。“這種平衡其實已經被打破,因為攻擊者只需要找到一種有效方式就可以輕鬆給予目標系統致命一擊,而防禦方需要全方位去防護自己。”思科大中華區副總經理莊敬賢説。
互聯網是人類的共同家園,網絡空間命運共同體需要一起構建。網絡安全宣傳週活動期間,專家和企業界人士均表示,現實和虛擬的界限越來越模糊,網絡安全不僅關係國家安全、社會安全,更關係每一個網民的切身利益,構築安全有序的網絡環境,是國之所需、民之所盼、法之所向。
——治網之道,法治為上。以網絡安全法為龍頭,今年以來,我國在打擊電信網絡詐騙、規範互聯網新聞服務和跟帖評論、管理即時通訊工具和羣組、關鍵信息基礎設施安全保護、重要網絡產品和服務安全審查等方面,先後出台一系列法規和規範性文件,一步步織牢網絡“安全網”;
——清網之道,執法為要。今年以來,多部門共同建立起行政執法協調工作機制,嚴厲查處了一大批網上各類違法信息和違法行為,僅2016年全國網信部門就受理處置有害違法信息舉報近4000萬件次;
——興網之道,人才為重。2016年6月,中央網信辦、發改委、教育部等6部門聯合印發《關於加強網絡安全學科建設和人才培養的意見》,推動開展網絡安全學科專業和院系建設,創新網絡安全人才培養機制。今年網絡安全宣傳週上,西安電子科技大學等7所高校被確定為首批一流網絡安全學院建設示範項目高校;
——強網之道,人民為本。今年網絡安全宣傳週活動中,廣大公眾近距離感受與自身息息相關的安全問題:360展台上,“換臉神器”可以讓自己的臉被輕易替換成任意人的臉,個人隱私信息也因此被讀取;在騰訊安全設置的互動體驗項目裏,人臉識別門禁、保險箱、平衡車等都能被輕易攻破。
“網絡安全為人民,網絡安全靠人民。”中央網信辦網絡安全協調局有關負責人表示,維護網絡安全是全社會的共同責任,需要政府、企業、社會組織、廣大網民一起參與,共同築起網絡安全防線。
