业界白帽子谈中国网络安全:除了技术还要“家规”

28.11.2014  00:30

  也许这是继大航海之后,人类遇到的最好的时代了,它叫做“互联网时代”。网络的澎湃动力,在改变人;网络带来的自由空间,让信息、经济、文化、社会行为都得到了井喷式的改变。

  乌镇上热到发烫的互联网大会,正以一群网络人的集聚,宣告着互联网的虚拟社会正从一组代码、一个角色符号变成改变现实社会的隐性杠杆。

  对于互联网,人们从最初的迫不及待,到如今的小心翼翼。从今年年初的支付宝漏洞、携程信息泄露,到这几个月人们对于免费公共WIFI安全性的质疑,关于互联网的安全问题,也在WIC上被与会嘉宾反复提及。

  这是一个世界性的话题,其衍生出来的网络金融安全、网络隐私泄露、网络谣言和网络暴力更是涉及了社会的方方面面。

  互联网正经历从蛮荒时代进入文明时代的阶段。真正的民主与自由,从来都不是无所限制的,缺乏限制只会带来混乱与暴行。终结的力量也许来自网络管理相关法制的健全,也许来自媒体“把关人”的到位,也许来自网民素质的提高及自律……

  在今天,我们想从两位和互联网打了十多年交道的人眼中,倒映出中国网络安全的问号—

梁津铭/制图

一位闯荡了十多年的业界白帽子:网络安全,除了技术还要“家规”

  这几天在乌镇参加世界互联网大会的浙商、杭州安恒信息公司总裁范渊,是一位“白帽子”(正面的黑客,有黑客的思维、技术能力,可以识别计算机系统或网络系统中的安全漏洞,但不会恶意去利用,而是公布、帮助修复漏洞),从在美国硅谷的国际著名安全公司工作时起十几年,他一直致力于研发网络安全产品。

  大会期间,范渊参加了所有网络安全相关的会议,他也向我们介绍了中国网络安全的现状、和未来的发展趋势。他认为:要推动网络安全的进一步发展,除了技术要努力,还需要有“家规”—各个国家自己的立法、规定;有“通法”—全世界共同合作解决网络安全问题的通路。

   中国的网络立法,有望3年内建立

  来看一组国家互联网应急中心最新统计的2014年上半年的数据:

  境内616万台电脑感染了木马病毒;境外的1.9万台主机,控制了我国境内619万台电脑;有2.5万个网站,被篡改了内容。

  同时,根据首届世界互联网大会的技术支持单位之一、杭州安恒信息技术有限公司全年的监看表明:中国400多万个注册网站,50%以上存在中等级别以上的漏洞。

  “目前我们面临的网络安全形势,是比较严峻的。”范渊分析,这种局面,急需内外合璧来改善。

  在范渊看来,所有系统建立的基础,也就是第一关身份验证,就会遇到技术难点。

  我们国家的居民身份证号码,是一溜清晰可见的数字,这可能就会成为将来统一数字体系建立的一大挑战。“因为如果恶意攻击者得到了身份认证信息,经过高端的测试和"碰撞"(一种技术手段),很有可能得到银行卡号、密码等一系列私密的信息。”

  这一方面需要像安恒这样的安全产品制造企业研发出更加可靠的保障产品,同时,需要强大的法律保障,来防止对大数据的侵犯和恶意利用。

  “互联网的立法,需要从两个层面共同考量,一是各个国家对内,需要有独立的互联网法律、法规,而在国际上,各个国家要联合起来进行深入的沟通、协作。”范渊认为,按照目前国家对网络信息安全工作的推进情况,中国有望在3年之内,建立国内通行的互联网法律、法规。

   用户数据丢了,大企业有责任

  法律、法规的辐射对象有个人,更有掌握了大数据的企业。

  在美国加州州立大学拿到计算机博士学位后,范渊曾在硅谷工作了7年,他非常了解美国在网络安全领域制定的一些规定。“发达国家目前建立的一些规章制度,可以作为中国互联网安全保护工作推进的借鉴。”

  比如,美国加州的一项关于信息保护的规定是这样的:如果企业将用户的数据弄丢(被窃取),那么企业需要在第一时间,马上点对点通知到所有的受害客户。

  同时,这家企业将接州立的相关机构对其受不同程度的罚款。

  “对于用户上亿的公司来说,且不谈罚款、通知用户的人力、物力这笔经济损失,要点对点通知到每个用户自己没能保护好他们的信息,这对一家公司信誉的消耗,是真正的"惩罚"。”

  所以,当用户的数据处于威胁的情况下,企业绝对不是把自己归到受害者的位置,光是谴责盗取数据的不法者,企业是第一责任人。

   一位从业十年的老网警:互联网不是法外之地

  切入描写互联网安全的角度千千万万,这一次,我们选择从业十年的老网警视角。

  肖福东,杭州网警分局法制大队副大队长。

  最早,杭州警方有个部门叫信通处网络安全监查科。

  2003年开始,成立网监支队。

  现在,叫网警分局。

  从科到支队再到分局,这是最直观的,也很能说明互联网的地位变迁。当然,这背后的内涵和甘苦,更是值得玩味和思考的。比如,网警的办案实践,有了哪些变化;又比如,在网上造谣生事的,有了哪些新的手法。

  网警们最大的感叹是,互联网的变化太快,众多新情况层出不穷。网警要不被打败,必须与时俱进。

   互联网不是“虚拟世界”,更不是法外之地

  肖福东算是触网较早的一族,最开始他和许多人一样,认为互联网是个“虚拟世界”。

  “真的是这样吗?其实互联网里有的,都是现实中的反映,如果我们只以虚拟世界的视角来看待,肯定是不行的。”

  肖福东的印象里,2003年网监支队办的第一个案子,是有三个人,在城西一处,捣鼓起了一个色情网站。“第一次自侦自办的案子,电子取证还在摸索阶段,所以取证就花了三个月时间。”网警收集了足够的证据,才好收网抓捕。

  这次抓捕是很成功的,只是三个嫌疑人的惊叹很有代表性。“网上搞这些能被查到?这些……违法了?”肖福东和同事们当时反问过:“你在马路边卖黄碟,你觉得可以吗?在网上,一样啊!”

  不过,在随后的办案实践之中,很多嫌疑人都发出了类似的惊叹。

  “他们觉得这是虚拟世界,和现实无关,他们的惊叹也促进了我们的反思,促进我们对互联网的认识。”那个时候,肖福东不管是遇到朋友,还是面对嫌疑人,总是强调:互联网不是法外之地。

   这些年的互联网犯罪,越来越隐秘

  肖福东提到,近年来杭州网警参与办了许多大案要案。

  比如去年夏天,滨江出现了一个神秘的“诈骗堡垒”里,几乎天天上演着电信诈骗。受害的,都是千里之外,台湾岛内的中老年民众。他们冒充台湾警方检方,把假冒的拘留证通过传真发给岛内老乡,通话中就说:你涉嫌犯罪,已被立案调查了,如果不交保证金,马上拘留你!

  去年9月4日,在杭州网警参与的专案组精心策划之下,“诈骗堡垒”终被攻破,一举抓获犯罪嫌疑人22名(19名为台湾籍人员)。他们在去年夏天犯的案子,仅仅目前查证的9起案件,案值就高达2000余万新台币。

  这起案件,被台湾刑事侦查局列为2013年岛内第一大案。

  “其实,这类案件侦办起来是相当有难度的,比如不法分子所用的服务器可能在国外,而且随着云技术的发展,犯罪证据可能储存在多个服务器里,而最终取赃款的,很可能是不知内情的人,他只是帮忙取钱,而且身在外地,总的一句话,利用互联网犯罪,越来越隐秘,对网警也提出了更高的要求。”

  肖福东提到,这就需要警方花大力气收集林林总总的证据,且执法成本相当高。

[编辑: 熊珊珊 ]