同安全，共命運(yùn)

王煜

“互聯(lián)互通·共享共治——構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”，這是本屆世界互聯(lián)網(wǎng)大會(huì)的主題，而網(wǎng)絡(luò)安全正是這個(gè)共同體“命運(yùn)”的保障。當(dāng)下，網(wǎng)絡(luò)安全正面臨許多新的挑戰(zhàn)。毋庸置疑的是，無(wú)論出現(xiàn)什么新情況，無(wú)論在安全的哪一個(gè)維度，各方力量的攜手共營(yíng)都是治理取得成效不二法門。

共營(yíng)，才能共贏。

網(wǎng)絡(luò)安全無(wú)處不在

“當(dāng)下，網(wǎng)絡(luò)安全的范圍已有了很大擴(kuò)展?！鄙虾Ｊ行畔踩袠I(yè)協(xié)會(huì)副秘書長(zhǎng)張凱說(shuō)，隨著智能化、網(wǎng)絡(luò)化技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全的議題不再局限于傳統(tǒng)的信息行業(yè)，像工業(yè)控制、智能家居等在以前相對(duì)不是很重視安全的領(lǐng)域，現(xiàn)在開始遭遇越來(lái)越多的考驗(yàn)。

他舉例說(shuō)：無(wú)人機(jī)、攝像頭、智能手環(huán)甚至豆?jié){機(jī)，這些普通人在日常生活中經(jīng)常接觸到的東西，現(xiàn)在都已經(jīng)成為網(wǎng)絡(luò)攻擊的目標(biāo)。通過(guò)對(duì)WiFi和藍(lán)牙連接的侵入，黑客可以從智能手環(huán)上獲取用戶的隱私數(shù)據(jù)，用于進(jìn)一步違法行為;如果無(wú)人機(jī)和攝像頭的控制權(quán)落入攻擊者手中，則會(huì)讓更多的個(gè)人隱私泄露。尤其值得注意的是，如果黑客侵入的是云端，則可能較為容易地控制一大批連接到這朵“云”的設(shè)備，造成的危害成倍放大。

“可信賴的云計(jì)算和大數(shù)據(jù)”是本屆世界互聯(lián)網(wǎng)大會(huì)分論壇的議題之一。2015年8月19日，國(guó)務(wù)院常務(wù)會(huì)議通過(guò)《關(guān)于促進(jìn)大數(shù)據(jù)發(fā)展的行動(dòng)綱要》，展示了國(guó)家對(duì)該領(lǐng)域的重視。貴州省作為在大數(shù)據(jù)領(lǐng)域“先行先試”的省份，已率先啟動(dòng)了首個(gè)大數(shù)據(jù)綜合試驗(yàn)區(qū)建設(shè)，其中于去年上線的“云上貴州”系統(tǒng)，是云計(jì)算和大數(shù)據(jù)領(lǐng)域解決安全問(wèn)題的一個(gè)很好的范例。

據(jù)貴州省經(jīng)信委信產(chǎn)辦負(fù)責(zé)人介紹，“云上貴州”是全國(guó)第一個(gè)政府和企業(yè)數(shù)據(jù)統(tǒng)籌存儲(chǔ)、共享開放和開發(fā)利用的云平臺(tái)，數(shù)據(jù)已經(jīng)做到了省級(jí)的統(tǒng)籌。平臺(tái)采用具有自主知識(shí)產(chǎn)權(quán)的阿里云飛天操作系統(tǒng)、國(guó)產(chǎn)服務(wù)器、交換機(jī)等產(chǎn)品搭建，符合有關(guān)安全規(guī)范及要求，實(shí)現(xiàn)了自主、安全、可控，可供12萬(wàn)核計(jì)算資源、100P存儲(chǔ)資源、500T內(nèi)存資源。由于大數(shù)據(jù)的安全架構(gòu)由物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全六個(gè)維度組成，每一個(gè)維度都有一套完整、完善的解決方案，所以集中存儲(chǔ)的數(shù)據(jù)比之前更加安全。

專業(yè)技術(shù)人士給記者舉了個(gè)例子，“這就像運(yùn)輸一籃子雞蛋和一卡車雞蛋，如果出現(xiàn)事故，后者的損失會(huì)更大，因而運(yùn)輸者在安全保護(hù)上的投入就會(huì)更大，對(duì)每一個(gè)雞蛋而言就會(huì)更安全?！?/p>

從“云上貴州”平臺(tái)安全攻防數(shù)據(jù)來(lái)看，從2014年10月15日上線到2015年3月24日，7朵云41個(gè)應(yīng)用系統(tǒng)防御了20次大規(guī)模互聯(lián)網(wǎng)攻擊，19萬(wàn)次黑客入侵，71萬(wàn)次網(wǎng)絡(luò)流量攻擊?！爸档米⒁獾氖?，這些攻擊不是上云以后才有的，是過(guò)去一直存在而我們不知道的;現(xiàn)在我們不僅知道，而且也能防住它們?！?/p>

如果僅僅是存儲(chǔ)，還遠(yuǎn)沒(méi)有發(fā)揮大數(shù)據(jù)的作用。數(shù)據(jù)參與計(jì)算和交換交易、形成多維度的溝通，這才能真正產(chǎn)生價(jià)值。例如，“云上貴州”的交通云，每天通過(guò)收費(fèi)車道通行的車輛能被其他云進(jìn)行調(diào)用分析，旅游云分析客運(yùn)車輛數(shù)據(jù)，就能對(duì)景區(qū)人流狀況進(jìn)行預(yù)測(cè);貨車通行情況，就能為工業(yè)云所用。

在數(shù)據(jù)交換的過(guò)程中，同樣需要防范安全風(fēng)險(xiǎn)。以“云上貴州”為例，數(shù)據(jù)交換不僅發(fā)生在政府部門之間，還發(fā)生在政府和企業(yè)，企業(yè)和企業(yè)之間，各朵云的趨勢(shì)也都是逐步增加數(shù)據(jù)開放的比例。安全性如何保證呢？貴州省大數(shù)據(jù)產(chǎn)業(yè)發(fā)展領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)人表示，除了技術(shù)層面的保障外，該平臺(tái)還推行了“誰(shuí)擁有，誰(shuí)負(fù)責(zé)”和“誰(shuí)開發(fā)，誰(shuí)負(fù)責(zé)”的原則，來(lái)明確數(shù)據(jù)安全的責(zé)任主體。對(duì)于某些不適合在平臺(tái)上進(jìn)行交換的保密數(shù)據(jù)，但其他單位又需要調(diào)用，數(shù)據(jù)的擁有單位可以選擇只把計(jì)算后的結(jié)果放上平臺(tái)，而原始數(shù)據(jù)依舊處于安全狀態(tài)，這能很好地平衡安全和開放之間的關(guān)系。據(jù)悉，在安全制度建設(shè)方面，“云上貴州”正在探索建立數(shù)據(jù)交易涉及的個(gè)人隱私、商業(yè)秘密保護(hù)，信用擔(dān)保評(píng)級(jí)、風(fēng)險(xiǎn)管控等法規(guī)、制度和標(biāo)準(zhǔn)，力爭(zhēng)在大數(shù)據(jù)存儲(chǔ)、交換交易上的安全層面成為“瑞士銀行”。

網(wǎng)絡(luò)打黑反恐，需要攜手共營(yíng)

在張凱眼中，當(dāng)下網(wǎng)絡(luò)安全面臨的一個(gè)嚴(yán)峻問(wèn)題就是黑產(chǎn)從業(yè)者的違法犯罪成本很低、設(shè)備便攜性強(qiáng)，而防御成本相對(duì)較高，這就增加了打擊的難度。

例如，在即將結(jié)束的2015年里，他任職的上海市信息安全行業(yè)協(xié)會(huì)接到企業(yè)被DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）攻擊的報(bào)告相當(dāng)多。這種攻擊利用網(wǎng)絡(luò)上成千上萬(wàn)臺(tái)被控制的傀儡電腦，同時(shí)對(duì)一臺(tái)服務(wù)器發(fā)起訪問(wèn)，導(dǎo)致后者因負(fù)荷過(guò)大癱瘓。張凱說(shuō)，DDoS攻擊的原理簡(jiǎn)單，攻擊者只需要花幾十元的成本就能對(duì)目標(biāo)傾瀉十幾GB的流量，造成服務(wù)器癱瘓后就向網(wǎng)站的擁有企業(yè)敲詐勒索，收到錢才停止攻擊。

問(wèn)題在于，許多企業(yè)都是在報(bào)案之前先向黑產(chǎn)者付款了事。張凱分析，對(duì)企業(yè)而言，網(wǎng)站癱瘓可能會(huì)引起用戶的恐慌，影響自己的商業(yè)信譽(yù)，這在互聯(lián)網(wǎng)金融領(lǐng)域尤其明顯;另外，網(wǎng)站業(yè)務(wù)停止造成的損失，可能遠(yuǎn)遠(yuǎn)大于黑客勒索的金錢數(shù)目;“兩害相權(quán)取其輕者”，企業(yè)會(huì)選擇妥協(xié)，但這助長(zhǎng)了黑產(chǎn)者的囂張氣焰。而且，黑產(chǎn)者現(xiàn)在經(jīng)常索要的是比特幣，由于其匿名性和虛擬性，公安機(jī)關(guān)不僅難以查證資金的流向，也很難對(duì)企業(yè)的損失定量。

在移動(dòng)安全領(lǐng)域，張凱和他的同事近期開展了對(duì)全國(guó)重點(diǎn)城市公共WiFi安全性的測(cè)試，結(jié)果不容樂(lè)觀。在上海的靜安公園，他們就發(fā)現(xiàn)了假冒的WiFi，比如假冒的“iShanghai”，用戶如果連入這類WiFi，輸入的賬號(hào)密碼等敏感信息就會(huì)被收集盜取。通過(guò)技術(shù)手段分析，張凱發(fā)現(xiàn)，原來(lái)的假冒WiFi可能是“魚目混珠”式的手段，比如將WiFi名稱中的字母“I”換成數(shù)字“1”來(lái)欺騙用戶;而現(xiàn)在的手段已經(jīng)升級(jí)為“寄生蟲”式，用戶連接的是正常WiFi的名稱，而實(shí)際接入的是假冒的WiFi網(wǎng)絡(luò)。而這套設(shè)備的成本也很低，只需要100多元，而且小巧便攜，可以直接裝在連帽衫里，隨時(shí)逃逸。

張凱表示：要防御假冒WiFi，先要讓公眾提升安全意識(shí)，在涉及資金交易等敏感數(shù)據(jù)的場(chǎng)合盡量不要通過(guò)公共WiFi進(jìn)行;同時(shí)，要通過(guò)立法的方式，讓公共WiFi的提供者確保網(wǎng)絡(luò)連接的安全性，即“誰(shuí)接入，誰(shuí)負(fù)責(zé)”。也就是說(shuō)，一家咖啡店如果為顧客提供WiFi，那么就要投入資金和設(shè)備來(lái)確保連接的安全，不然就不能開這個(gè)熱點(diǎn)。

另外，手機(jī)木馬病毒數(shù)量增長(zhǎng)迅速，偽裝手段越來(lái)越有迷惑性，正成為移動(dòng)支付中最大的威脅。目前，手機(jī)木馬主要通過(guò)釣魚短信向用戶傳播，黑產(chǎn)者會(huì)偽裝成朋友、親戚、老師、銀行客服甚至“小三”，引誘用戶點(diǎn)擊惡意鏈接。

互聯(lián)網(wǎng)巨頭如何應(yīng)對(duì)這些問(wèn)題？在本屆世界互聯(lián)網(wǎng)大會(huì)的網(wǎng)絡(luò)安全論壇上，騰訊公司信息安全執(zhí)行委員會(huì)主任楊鵬做了主題為“網(wǎng)絡(luò)黑產(chǎn)打擊與用戶隱私保護(hù)”的演講;而該公司信息安全業(yè)務(wù)負(fù)責(zé)人在接受《新民周刊》采訪時(shí)表示，針對(duì)手機(jī)木馬，他們建立了偽基站打擊平臺(tái)，黑產(chǎn)者在通過(guò)偽基站給周圍的用戶發(fā)木馬短信時(shí)，該公司相關(guān)產(chǎn)品能夠監(jiān)測(cè)到，并及時(shí)反饋給警方精確打擊。另外，他們正在產(chǎn)品中采用人臉識(shí)別技術(shù)作為身份驗(yàn)證手段，提升安全性。

面對(duì)網(wǎng)絡(luò)黑產(chǎn)的威脅，騰訊以“雷霆行動(dòng)”應(yīng)對(duì)。這項(xiàng)2014年1月展開的行動(dòng)，研究網(wǎng)上黑產(chǎn)不法信息存在的特點(diǎn)，沉淀黑產(chǎn)數(shù)據(jù)庫(kù)，通過(guò)大數(shù)據(jù)分析，把握網(wǎng)絡(luò)黑產(chǎn)的動(dòng)向和作案方式，實(shí)現(xiàn)早發(fā)現(xiàn)、早準(zhǔn)備、早對(duì)抗的打擊方式;加強(qiáng)重點(diǎn)產(chǎn)品平臺(tái)的清理策略，并對(duì)有害信息進(jìn)行最大程度的過(guò)濾。

該負(fù)責(zé)人表示，移動(dòng)支付領(lǐng)域的黑色產(chǎn)業(yè)鏈正逐漸團(tuán)伙化、專業(yè)化。借助互聯(lián)網(wǎng)技術(shù)的便利性，木馬病毒制作者、傳播者、洗錢者分工明確，經(jīng)常進(jìn)行跨平臺(tái)、跨地區(qū)的合作犯罪性。網(wǎng)絡(luò)黑產(chǎn)實(shí)際上是整個(gè)移動(dòng)支付行業(yè)面臨的共同挑戰(zhàn)，打擊黑產(chǎn)也需要強(qiáng)大的生態(tài)化聯(lián)動(dòng)力量。為此，2015年9月15日，騰訊“雷霆行動(dòng)”攜手京東、微店、滴滴出行、58同城、大眾點(diǎn)評(píng)等行業(yè)伙伴，啟動(dòng)聯(lián)合打擊網(wǎng)絡(luò)黑產(chǎn)的“戰(zhàn)馬計(jì)劃”。

對(duì)公眾進(jìn)行持續(xù)全面的安全知識(shí)普及，鼓勵(lì)群眾舉報(bào)也是必不可少的?！袄做袆?dòng)”設(shè)立了1000萬(wàn)掃黑舉報(bào)獎(jiǎng)金，為提供舉報(bào)信息并幫助警方破案的網(wǎng)友提供從2000元開始，最高10萬(wàn)元的獎(jiǎng)勵(lì)。截至2015年底，雷霆行動(dòng)配合深圳、廣州、北京、江蘇、廣西等多地警方偵破各類網(wǎng)絡(luò)犯罪案件394起，抓獲犯罪團(tuán)伙嫌疑人1023人，涉案金額6580萬(wàn)元人民幣;獎(jiǎng)勵(lì)舉報(bào)人290萬(wàn)元。

除了網(wǎng)絡(luò)黑產(chǎn)外，不容忽視的是，以IS為代表的恐怖組織對(duì)網(wǎng)絡(luò)的利用程度之深，給當(dāng)前的網(wǎng)絡(luò)安全提出了新的議題。

前些時(shí)間，一份34頁(yè)的“IS網(wǎng)絡(luò)安全手冊(cè)”開始流傳。在這份手冊(cè)里，IS教他們的成員如何“安全上網(wǎng)”。在張凱看來(lái)，這雖然是恐怖組織的手冊(cè)，但其中提到的網(wǎng)絡(luò)安全原則卻非常值得所有網(wǎng)民和機(jī)構(gòu)借鑒：例如多重加密賬戶、使用足夠復(fù)雜的密碼并經(jīng)常更換、采用安全手機(jī)、不點(diǎn)擊可疑鏈接、在沒(méi)有手機(jī)信號(hào)的情況下依然可以用手機(jī)通信……

根據(jù)手冊(cè)中透露的大量技術(shù)細(xì)節(jié)指導(dǎo)來(lái)看，其對(duì)漏洞和新科技的走向判斷很準(zhǔn)確。而從現(xiàn)實(shí)情況來(lái)看，在前不久巴黎的恐怖襲擊中，“安全的”通信工具很可能成為恐怖分子的一大幫兇?！癐S比很多正規(guī)的互聯(lián)網(wǎng)公司對(duì)網(wǎng)絡(luò)安全有更深的理解。”看過(guò)手冊(cè)的一位中國(guó)互聯(lián)網(wǎng)安全研究員如是說(shuō)。這就意味著，我們要在網(wǎng)絡(luò)上戰(zhàn)勝IS這樣的恐怖組織，首先要比它們更有網(wǎng)絡(luò)安全意識(shí)。

張凱透露，盡管IS在網(wǎng)絡(luò)安全上的防范意識(shí)很高，但從技術(shù)上而言，還是可以找到它們的蛛絲馬跡并且攻破的?！爸皇沁@樣的代價(jià)很大，因?yàn)橐獜暮Ａ康男畔⒅凶ト】梢删€索，耗費(fèi)的時(shí)間和資源都很多?！比绻皇悄硞€(gè)機(jī)構(gòu)、某個(gè)國(guó)家在做這件事，力量是不夠的;同時(shí)，恐怖主義是全球性的，網(wǎng)絡(luò)反恐必然需要跨國(guó)合作，需要各國(guó)之間建立更為順暢的溝通渠道，這就更多牽涉到政治層面了。

作為負(fù)責(zé)任的大國(guó)，中國(guó)非常重視網(wǎng)絡(luò)安全的國(guó)際合作。習(xí)近平主席在第二屆世界互聯(lián)網(wǎng)大會(huì)的開幕式上強(qiáng)調(diào)：“網(wǎng)絡(luò)安全是全球性挑戰(zhàn)，沒(méi)有哪個(gè)國(guó)家能夠置身事外、獨(dú)善其身，維護(hù)網(wǎng)絡(luò)安全是國(guó)際社會(huì)的共同責(zé)任。各國(guó)應(yīng)該攜手努力，共同遏制信息技術(shù)濫用，反對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)和網(wǎng)絡(luò)攻擊，反對(duì)網(wǎng)絡(luò)空間軍備競(jìng)賽?！?/p>