掌握守护网络安全的密钥——国家网络安全宣传周透视
一组代码、一条短信、一个电话、一页链接,可能导致个人倾家荡产、国家基础设施瘫痪,风险隐于键盘之上。
一方是不会罢休的攻击者,另一方是坚韧不拔的防御者。网络成为继陆地、海洋、天空、外空之外的第五空间,攻防战24小时不停歇,“没有网络安全就没有国家安全”。
当虚拟空间和现实世界深度融合,面对不断涌现的各种已知未知的网络安全威胁,我们能够找到真正守护网络空间的密钥吗?
信息透明,探寻个人的“金钟罩”
数据可以轻易给每个人“画像”:所行所思、消费习惯、行程安排、关系网络,数字巨头或许比你更了解你自己。
光缆中传输的是每个人的数据,更是窥探者的宝藏。中国互联网协会数据显示,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。2015年下半年到2016年上半年,因垃圾信息、诈骗信息、个人信息泄露等导致的网民经济损失高达近千亿元。
网络就像一把双刃剑,每享受一种便利其实也意味着风险又增加一分。上海众人网络安全技术有限公司董事长谈剑峰举例说,网络安全身份认证系统如果用生物特征也会存在隐患。“密码丢了还可以改,生物特征确实是符合每个人的唯一性,但一旦被截获则不可再生、且无法撤回。”
专家介绍,非法获取公民个人信息主要有两个来源:一个是黑客入侵网站非法获取,另一个是各行各业的内幕人员泄露信息。侵犯公民个人信息的犯罪已经形成了从非法收集、提供窃取、交易到交换等各个环节完整的利益链。
每一次全新技术的应用,同时也带来个人信息保护的挑战。“譬如说增强现实在很多的范围里面使用,但它同时暴露了个人身份、位置隐私;人体增强、脑机接口,可能给‘黑客’提供机遇。”中国科学院院士何积丰说,在机器更像人、虚拟环境更真实、人工智能无处不在的情况下,网络安全和信息化需要结合,才不会出现“猫和老鼠”的关系。
今年6月正式实施的网络安全法除总则、附则外的61个条款中,直接涉及网络用户个人信息保护的条款有十余个。“依据这一法律制定的个人信息安全保护国家标准正在报批。”中国电子技术标准化研究院院长赵波说,信息保护还有很大提升空间,隐私条款对用户还不够直观有效,收集的信息和关联性说明不够充分,个人信息保存、信息描述不够明确。
据介绍,目前已有微信、淘宝、京东商城等十款网络产品和服务进行了隐私条款的文本修改,隐私文本中语焉不详、晦涩难懂、避重就轻的文本变得更规范、责任更明确;同时进一步增强用户控制权,将不知情默认勾选、“一揽子协议”强迫用户同意等现象转变成让用户拥有知情权、选择权、注销权、更改权等。
万物互联,摸索企业的“安全门”
今年5月中旬爆发的全球勒索病毒事件中,许多电脑用户不幸中招,这为网络安全防护敲响警钟,也暴露出一些企业在应对网络威胁方面存在的“漏洞”和短板:安全意识薄弱,安全投入不足。
腾讯副总裁马斌向记者表示,国内企业对网络安全重视程度依然不够,许多企业往往把安全投入当作成本来看待。而随着万物互联时代的到来,网络安全应该成为企业防护的第一要素。否则,如果发生类似用户数据大规模泄露等安全事故,对企业可能就是灭顶之灾。
据网络安全企业“知道创宇”首席执行官赵伟介绍,从目前国内企业的信息化投入角度来看,网络安全通常属于信息科技(IT)运维下的一项小需求,投入相对偏小。而且,不同规模的企业由于处于不同发展阶段,对网络安全防护的需求也不一样,大量中小企业首要考虑的还是企业存活问题,对网络安全不够重视;大中型企业则没有对未来可能遇到的安全风险进行足够研究和防范,缺失应有的准备。
与此同时,随着“互联网+”向各个领域、企业延伸,今天的安全形势和传统安全形势业已不同。阿里巴巴集团安全部副总裁侯金刚告诉记者,互联网的发展使得企业传统的信息系统、数据资产等大部分已经在线,传统的时空纵深防御体系等已不能满足企业今天的防护需求,需要新的以数据为中心的安全防护体系和框架。
在专家看来,企业网络安全防护还是一个实时动态的过程。不久前蠕虫病毒的发生就是一典型例子,许多传统企业以为把门关上,在内网里就安全了,事实证明内网也不安全,反而是一些活在互联网上的公司抵抗住了病毒侵袭。因为那些互联网公司天天在和“黑色产业”进行技术对抗,不得不时时提升其安全防护水平。
命运与共,全社会共筑网络安全防线
网络空间安全本质上是攻击者与防御者的对抗。“这种平衡其实已经被打破,因为攻击者只需要找到一种有效方式就可以轻松给予目标系统致命一击,而防御方需要全方位去防护自己。”思科大中华区副总经理庄敬贤说。
互联网是人类的共同家园,网络空间命运共同体需要一起构建。网络安全宣传周活动期间,专家和企业界人士均表示,现实和虚拟的界限越来越模糊,网络安全不仅关系国家安全、社会安全,更关系每一个网民的切身利益,构筑安全有序的网络环境,是国之所需、民之所盼、法之所向。
——治网之道,法治为上。以网络安全法为龙头,今年以来,我国在打击电信网络诈骗、规范互联网新闻服务和跟帖评论、管理即时通讯工具和群组、关键信息基础设施安全保护、重要网络产品和服务安全审查等方面,先后出台一系列法规和规范性文件,一步步织牢网络“安全网”;
——清网之道,执法为要。今年以来,多部门共同建立起行政执法协调工作机制,严厉查处了一大批网上各类违法信息和违法行为,仅2016年全国网信部门就受理处置有害违法信息举报近4000万件次;
——兴网之道,人才为重。2016年6月,中央网信办、发改委、教育部等6部门联合印发《关于加强网络安全学科建设和人才培养的意见》,推动开展网络安全学科专业和院系建设,创新网络安全人才培养机制。今年网络安全宣传周上,西安电子科技大学等7所高校被确定为首批一流网络安全学院建设示范项目高校;
——强网之道,人民为本。今年网络安全宣传周活动中,广大公众近距离感受与自身息息相关的安全问题:360展台上,“换脸神器”可以让自己的脸被轻易替换成任意人的脸,个人隐私信息也因此被读取;在腾讯安全设置的互动体验项目里,人脸识别门禁、保险箱、平衡车等都能被轻易攻破。
“网络安全为人民,网络安全靠人民。”中央网信办网络安全协调局有关负责人表示,维护网络安全是全社会的共同责任,需要政府、企业、社会组织、广大网民一起参与,共同筑起网络安全防线。