论文部分内容阅读
刚接触时觉得它新奇无比,发现它可以当“百科全书”用,渐渐地,学习、工作、生活离了它便觉得无法继续——它就是网络。全球化背景下,网络迅速赋予个人前所未有的权利。面对海量信息,你尽可自取所需,还可以抒发想法,争做“草根”名人、意见领袖。网络世界对于复杂艰难的现实生活来说,堪比世外桃源。与此同时,很多网民也经历着这些:网购了一袋牛肉干,从此邮箱里便是铺天盖地与牛肉相关的广告;在一个网站上用个人信息注册了会员,之后却时常接到电话推销和广告信件;社交账号突然被盗,亲朋好友被骗子利用损失钱财,自己毫不知情,却欠下一屁股人情债就在质疑声四起、人们不断疑惑自己于何时被谁窥视的时候,“棱镜门”的爆发倒是提供了一个线索。没错,网络世界并没有那么自由,这是一个不支持“隐居”的世外桃源。此次《经济》记者就通过对网络技术专家与网络安全技术公司负责人的采访,带您走进网络世界,“冷眼”瞧一瞧这个世界的规则。
黑色产业成熟,个人隐私不保
工信部电子科学技术情报研究所软件与信息服务研究部副主任陈新河告诉记者,网络安全问题分两种:“一种是系统安全问题。没有100%安全的系统,安全防护和安全攻击是螺旋上升的,并且安全防护一般是滞后于安全攻击的。这类问题一般有专业安全技术人员通过信息安全软硬件来解决,如防火墙、漏洞扫描软件等。另外一种是网民在使用诸如电子商务、网络银行类应用时所遇到的网络欺诈、网络钓鱼等应用安全问题。应用安全比系统安全的防范更为困难。目前网络安全问题由系统安全扩散至应用安全,二者共存,应用安全问题更为突出。”
北京邮电大学计算机学院副教授李忠献用数据说明了系统安全问题的严重性:“据国家互联网应急中心(CNCERT/CC)最新发布的《2012年中国互联网网络安全报告》,2012年,我国境内日均发生攻击流量超过1G的较大规模拒绝服务攻击事件1022起,约为2011年的3倍。利用‘火焰’病毒、‘高斯’病毒、‘红色十月’病毒等实施的高级可持续攻击(APT攻击)活动频现,我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。境外约有7.3万个木马或僵尸网络控制服务器控制了我国境内1419.7万余台主机。我国面临的境外攻击威胁依然十分严重,‘匿名者’等黑客组织活动频繁。”陈新河则认为,随着互联网的广泛和深入的应用,我国网络信息安全存在的问题的重心已经从系统安全转向了应用安全:“以手机恶意软件举例,2012年上半年,网秦(手机反恶意软件)查杀到手机恶意软件达17676款,直接感染手机达1283万部,汇款、中奖、贷款等诈骗信息花样翻新。手机恶意软件形成了一条从制作、传播到分成的‘一条龙’移动黑色产业链。”
专家的表述很清楚,我们不需要问网民的个人隐私能否得到保障,只能探讨信息泄露到了何种程度。
李忠献的答案是:“个人隐私的泄露十分严重,手机号码、家庭住址、银行账号等个人隐私在网上被恶意兜售,大量的钓鱼网站和木马病毒偷窃个人数据和信息。”根据维基百科,美国国家安全局在“棱镜”计划中可以获得的数据包括电子邮件、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知以及社交网络细节。陈新河也分析道:“网络所带来的个人隐私泄露有多方面的原因,如商业利益驱使,通过获取个人信息来更好地进行产品推广等;个人不经意透露手机号码、电子邮箱等;含有个人隐私的手机、电脑丢失等;信息系统被攻击意外导致用户名、密码、个人隐私信息泄露等等。目前出现一些新的隐私安全保护问题,如在向Android智能手机进行安装应用软件时,应用软件往往要求通信录的访问权限,只有许可才能安装,这类可能导致隐私泄露的安全问题层出不穷,需要在技术开发规范、产品上市管理、个人隐私保存和使用等多方面进行规制。我国5.64亿PC网民、4.2亿手机网民大都是小白用户,安全意识差、网络信息安全工具使用率低,在已经具备精细分工并且形成产业链的灰色利益链面前更易受到侵害。”
卡巴斯基中国区技术总监陈羽兴告诉记者:“我们还没有充分意识到我们的隐私是可以被侵犯的。因为我们看到的只是呈现在我们终端上的信息,但信息在后端怎么被人利用是我们不可知的。如果用传统的方式寄一封信,我们能看出信是否被人拆开看过,但在网上发出的信息可能被多方查看而我们毫不知情,而侵犯这个隐私权的可能来自犯罪分子,甚至可能是政府。”
如此看来,网民可能泄露的除了个人基本信息之外,还包括社交网络、交往细节等等,如果想要费尽心思了解一个人,网络能提供的信息比需要的还多。
技术依赖国外,安全隐患突出
谈到网络安全技术,陈羽兴介绍了卡巴斯基公司一直以来擅长的模糊处理技术、漏洞防御技术以及针对个人隐私多层次、多方位的防御体系,但也直言国内技术发展所面临的问题:“中国的互联网软硬件技术相较于美国等发达国家还相对落后,还没有大批能够影响世界网络发展和格局的大型高科技企业和产品。一些关键的基础架构部件比如操作系统、数据库、高端存储等技术基本都依赖国外厂商,信息安全作为保护这些基础架构和应用的技术对底层有一定的依赖,所以国内厂商也就相应的很难站到整个行业的前沿,这是一个整体的现状。另外现在IT发展速度很快,导致安全防护跟不上。比如虚拟化技术这几年得到广泛应用,但由于技术本身复杂,很多企业和单位建立一套虚拟化系统后,就没有太多的精力去考虑安全问题。另外还存在开发周期滞后,新技术、新系统开始应用时保护不足的问题。移动互联是另外一个比较典型的例子,智能手机在极短时间内普及,同时随着APT攻击的兴起以及复杂网络武器比如震网、DUQU和火焰病毒等的出现,安全形势更加严峻,还会影响到国家层面的基础设施。但国内目前对这些高级复杂攻击的技术积累还显得不足,这是一个急需突破的领域。最后很多企业在开发应用时注重于功能,在安全上考虑不多,甚至有企业通过侵犯用户隐私而获利。这些方面国家的法律法规还是相对滞后的。需要通过个人的安全意识去规避一些潜在的风险,而个人在这方面的技术甄别能力有限,导致用户隐私和数据安全问题时有发生。” 李忠献也告诉记者:“政府近年来加强了对我国自主知识产权的产品和系统的支持力度,分级保护、等级保护在关键行业领域逐步开展,政府、企业和民众对信息安全逐渐重视,信息安全意识得到逐步增强。但是应该看到,有些关键行业的信息系统,如大型制造业和工业控制系统等,对国外产品的依赖性还较强,仍存在较大的安全隐患。”值得注意的是,“我国关键行业如通信、金融、电力等核心IT系统90%以上是国外产品。”陈新河说。
虽然技术创新的口号一直提得响亮,但实施起来并不容易。对国外技术产品的依赖不仅阻碍了我国网络安全技术的根本长足发展,也埋藏着巨大的安全隐患。
谨慎应对危机,增强自身实力
“棱镜”计划的曝光无疑是对我国信息安全技术发展的鞭策。见识到了网络世界的“险恶”,国家、企业、个人都没有理由再自我催眠。
2009年3月,十一届全国人大常委会第七次会议表决通过了《刑法修正案(七)》,增加了惩治网络犯罪的条款。但随着网络技术的迅猛发展,许多对于技术的规定已经不适应目前的犯罪现实,法律对网络安全的保障能力越来越弱。对此,陈新河提到:“网络世界个人隐私的保护,需要一套行之有效的法律法规制度。”陈羽兴也认为:“国家需要通过法律法规去规范这个市场并且要得到坚决的执行。”
陈新河也提出了“根本”问题:“‘棱镜’事件再次向我国信息安全防护体系敲响了警钟,印证了‘有网络,无安全’。拥有网络制空权便获得了信息制空权,美国凭借IT领域的实力,依靠一批IT巨头轻而易举地获得了网络制空权,随时监控全球每一个网络用户,网络用户被透明地摆在美国镜前。在网络无处不在、无时不用的时代,唯有增强自身IT的实力,拥有全面驾驭IT系统的能力,才能摆脱时时受监控的困局。”李忠献建议:“管理上还要加大对产品自主创新的政策性引导,加强关键行业领域对信息系统使用的监督和指导,尤其是对信息安全产品的使用,应优先使用国产品牌。”
企业同时应该负起责任。陈羽兴告诉记者:“对于服务或者内容提供商来说,对含有隐私信息的内容,提供商应该使用HTTPS协议,而用户也在需要输入个人信息时只选择采用HTTPS协议的网页。另外应用开发商要把保护个人隐私问题放到更重要的问题,更不能有意的通过窃取个人隐私去谋利。”
保障个人隐私,网民自己应该怎么做?
陈新河认为:“当前信息安全防线中最薄弱的环节是人,信息安全最可靠的保证也是人。信息安全保障‘三分技术,七分管理’是真理,对于个人信息保护,这个真理同样有效。”他还对网民提出了很多具体的建议。陈羽兴则提醒,目前整个网络环境还处于早期相对无序的快速发展的过程中,除了国家要不断完善相应的法律法规外,网民自己也要提升防护意识以保护自己的隐私权益,要认识到网络本身不可信并且尽快学会一些基本的隐私保护技术,比如文件加密和VPN等,要尽量避免使用“棱镜”事件中曝光的企业的产品和服务。
网络安全现状令人担忧,个人的自由度随着安全感的降低而降低,国家安全因技术的依赖而危机重重。网络深处的“窥视”可能来自各个方向,国家应当履行责任加快立法、加强执法,坚持自主创新战略,增强我国信息安全技术整体实力;企业也该摆正立场,不以用户的隐私来牟利;个人也应立即行动起来,强化观念,从点滴做起,保护自我信息,履行社会责任。
链 接:
陈新河对网民的建议:
1. 应用新的信息安全技术和产品,提高安全防范能力;
2. 及时升级到最新版本的软件产品,减少漏洞;
3. 安装信息安全防护软件并定期查杀病毒,做好安全防范工作;
4. 及时升级信息安全防护软件,保证杀毒的彻底性和系统的完整性;
5. 提高浏览器的安全层级或采用安全浏览(Safe Browsing)模式,提高安全保护等级;
6. 存放个人隐私信息的计算机或存储设备最好不接入互联网,更不能放在网络博客或其他网络存储空间,防止意外泄露;
7. 不要随意填写注册信息,防止被滥用;
8. 采用安全的登录方式,提升安全保护水平;
9. 提高密码的复杂性和动态性,提高安全强度;
10. 重要文档需要通过网络进行传输时,采用加密的方式,防止恶意拦截。
黑色产业成熟,个人隐私不保
工信部电子科学技术情报研究所软件与信息服务研究部副主任陈新河告诉记者,网络安全问题分两种:“一种是系统安全问题。没有100%安全的系统,安全防护和安全攻击是螺旋上升的,并且安全防护一般是滞后于安全攻击的。这类问题一般有专业安全技术人员通过信息安全软硬件来解决,如防火墙、漏洞扫描软件等。另外一种是网民在使用诸如电子商务、网络银行类应用时所遇到的网络欺诈、网络钓鱼等应用安全问题。应用安全比系统安全的防范更为困难。目前网络安全问题由系统安全扩散至应用安全,二者共存,应用安全问题更为突出。”
北京邮电大学计算机学院副教授李忠献用数据说明了系统安全问题的严重性:“据国家互联网应急中心(CNCERT/CC)最新发布的《2012年中国互联网网络安全报告》,2012年,我国境内日均发生攻击流量超过1G的较大规模拒绝服务攻击事件1022起,约为2011年的3倍。利用‘火焰’病毒、‘高斯’病毒、‘红色十月’病毒等实施的高级可持续攻击(APT攻击)活动频现,我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。境外约有7.3万个木马或僵尸网络控制服务器控制了我国境内1419.7万余台主机。我国面临的境外攻击威胁依然十分严重,‘匿名者’等黑客组织活动频繁。”陈新河则认为,随着互联网的广泛和深入的应用,我国网络信息安全存在的问题的重心已经从系统安全转向了应用安全:“以手机恶意软件举例,2012年上半年,网秦(手机反恶意软件)查杀到手机恶意软件达17676款,直接感染手机达1283万部,汇款、中奖、贷款等诈骗信息花样翻新。手机恶意软件形成了一条从制作、传播到分成的‘一条龙’移动黑色产业链。”
专家的表述很清楚,我们不需要问网民的个人隐私能否得到保障,只能探讨信息泄露到了何种程度。
李忠献的答案是:“个人隐私的泄露十分严重,手机号码、家庭住址、银行账号等个人隐私在网上被恶意兜售,大量的钓鱼网站和木马病毒偷窃个人数据和信息。”根据维基百科,美国国家安全局在“棱镜”计划中可以获得的数据包括电子邮件、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知以及社交网络细节。陈新河也分析道:“网络所带来的个人隐私泄露有多方面的原因,如商业利益驱使,通过获取个人信息来更好地进行产品推广等;个人不经意透露手机号码、电子邮箱等;含有个人隐私的手机、电脑丢失等;信息系统被攻击意外导致用户名、密码、个人隐私信息泄露等等。目前出现一些新的隐私安全保护问题,如在向Android智能手机进行安装应用软件时,应用软件往往要求通信录的访问权限,只有许可才能安装,这类可能导致隐私泄露的安全问题层出不穷,需要在技术开发规范、产品上市管理、个人隐私保存和使用等多方面进行规制。我国5.64亿PC网民、4.2亿手机网民大都是小白用户,安全意识差、网络信息安全工具使用率低,在已经具备精细分工并且形成产业链的灰色利益链面前更易受到侵害。”
卡巴斯基中国区技术总监陈羽兴告诉记者:“我们还没有充分意识到我们的隐私是可以被侵犯的。因为我们看到的只是呈现在我们终端上的信息,但信息在后端怎么被人利用是我们不可知的。如果用传统的方式寄一封信,我们能看出信是否被人拆开看过,但在网上发出的信息可能被多方查看而我们毫不知情,而侵犯这个隐私权的可能来自犯罪分子,甚至可能是政府。”
如此看来,网民可能泄露的除了个人基本信息之外,还包括社交网络、交往细节等等,如果想要费尽心思了解一个人,网络能提供的信息比需要的还多。
技术依赖国外,安全隐患突出
谈到网络安全技术,陈羽兴介绍了卡巴斯基公司一直以来擅长的模糊处理技术、漏洞防御技术以及针对个人隐私多层次、多方位的防御体系,但也直言国内技术发展所面临的问题:“中国的互联网软硬件技术相较于美国等发达国家还相对落后,还没有大批能够影响世界网络发展和格局的大型高科技企业和产品。一些关键的基础架构部件比如操作系统、数据库、高端存储等技术基本都依赖国外厂商,信息安全作为保护这些基础架构和应用的技术对底层有一定的依赖,所以国内厂商也就相应的很难站到整个行业的前沿,这是一个整体的现状。另外现在IT发展速度很快,导致安全防护跟不上。比如虚拟化技术这几年得到广泛应用,但由于技术本身复杂,很多企业和单位建立一套虚拟化系统后,就没有太多的精力去考虑安全问题。另外还存在开发周期滞后,新技术、新系统开始应用时保护不足的问题。移动互联是另外一个比较典型的例子,智能手机在极短时间内普及,同时随着APT攻击的兴起以及复杂网络武器比如震网、DUQU和火焰病毒等的出现,安全形势更加严峻,还会影响到国家层面的基础设施。但国内目前对这些高级复杂攻击的技术积累还显得不足,这是一个急需突破的领域。最后很多企业在开发应用时注重于功能,在安全上考虑不多,甚至有企业通过侵犯用户隐私而获利。这些方面国家的法律法规还是相对滞后的。需要通过个人的安全意识去规避一些潜在的风险,而个人在这方面的技术甄别能力有限,导致用户隐私和数据安全问题时有发生。” 李忠献也告诉记者:“政府近年来加强了对我国自主知识产权的产品和系统的支持力度,分级保护、等级保护在关键行业领域逐步开展,政府、企业和民众对信息安全逐渐重视,信息安全意识得到逐步增强。但是应该看到,有些关键行业的信息系统,如大型制造业和工业控制系统等,对国外产品的依赖性还较强,仍存在较大的安全隐患。”值得注意的是,“我国关键行业如通信、金融、电力等核心IT系统90%以上是国外产品。”陈新河说。
虽然技术创新的口号一直提得响亮,但实施起来并不容易。对国外技术产品的依赖不仅阻碍了我国网络安全技术的根本长足发展,也埋藏着巨大的安全隐患。
谨慎应对危机,增强自身实力
“棱镜”计划的曝光无疑是对我国信息安全技术发展的鞭策。见识到了网络世界的“险恶”,国家、企业、个人都没有理由再自我催眠。
2009年3月,十一届全国人大常委会第七次会议表决通过了《刑法修正案(七)》,增加了惩治网络犯罪的条款。但随着网络技术的迅猛发展,许多对于技术的规定已经不适应目前的犯罪现实,法律对网络安全的保障能力越来越弱。对此,陈新河提到:“网络世界个人隐私的保护,需要一套行之有效的法律法规制度。”陈羽兴也认为:“国家需要通过法律法规去规范这个市场并且要得到坚决的执行。”
陈新河也提出了“根本”问题:“‘棱镜’事件再次向我国信息安全防护体系敲响了警钟,印证了‘有网络,无安全’。拥有网络制空权便获得了信息制空权,美国凭借IT领域的实力,依靠一批IT巨头轻而易举地获得了网络制空权,随时监控全球每一个网络用户,网络用户被透明地摆在美国镜前。在网络无处不在、无时不用的时代,唯有增强自身IT的实力,拥有全面驾驭IT系统的能力,才能摆脱时时受监控的困局。”李忠献建议:“管理上还要加大对产品自主创新的政策性引导,加强关键行业领域对信息系统使用的监督和指导,尤其是对信息安全产品的使用,应优先使用国产品牌。”
企业同时应该负起责任。陈羽兴告诉记者:“对于服务或者内容提供商来说,对含有隐私信息的内容,提供商应该使用HTTPS协议,而用户也在需要输入个人信息时只选择采用HTTPS协议的网页。另外应用开发商要把保护个人隐私问题放到更重要的问题,更不能有意的通过窃取个人隐私去谋利。”
保障个人隐私,网民自己应该怎么做?
陈新河认为:“当前信息安全防线中最薄弱的环节是人,信息安全最可靠的保证也是人。信息安全保障‘三分技术,七分管理’是真理,对于个人信息保护,这个真理同样有效。”他还对网民提出了很多具体的建议。陈羽兴则提醒,目前整个网络环境还处于早期相对无序的快速发展的过程中,除了国家要不断完善相应的法律法规外,网民自己也要提升防护意识以保护自己的隐私权益,要认识到网络本身不可信并且尽快学会一些基本的隐私保护技术,比如文件加密和VPN等,要尽量避免使用“棱镜”事件中曝光的企业的产品和服务。
网络安全现状令人担忧,个人的自由度随着安全感的降低而降低,国家安全因技术的依赖而危机重重。网络深处的“窥视”可能来自各个方向,国家应当履行责任加快立法、加强执法,坚持自主创新战略,增强我国信息安全技术整体实力;企业也该摆正立场,不以用户的隐私来牟利;个人也应立即行动起来,强化观念,从点滴做起,保护自我信息,履行社会责任。
链 接:
陈新河对网民的建议:
1. 应用新的信息安全技术和产品,提高安全防范能力;
2. 及时升级到最新版本的软件产品,减少漏洞;
3. 安装信息安全防护软件并定期查杀病毒,做好安全防范工作;
4. 及时升级信息安全防护软件,保证杀毒的彻底性和系统的完整性;
5. 提高浏览器的安全层级或采用安全浏览(Safe Browsing)模式,提高安全保护等级;
6. 存放个人隐私信息的计算机或存储设备最好不接入互联网,更不能放在网络博客或其他网络存储空间,防止意外泄露;
7. 不要随意填写注册信息,防止被滥用;
8. 采用安全的登录方式,提升安全保护水平;
9. 提高密码的复杂性和动态性,提高安全强度;
10. 重要文档需要通过网络进行传输时,采用加密的方式,防止恶意拦截。