互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理，法治在“行動(dòng)”

汪 劍

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心湖北分中心，湖北 武漢 430074）

信息技術(shù)風(fēng)險(xiǎn)涉及很多方面。例如，新信息技術(shù)在軍事、金融、服務(wù)、媒體、社會(huì)和其他領(lǐng)域的侵入將給這部分領(lǐng)域造成可預(yù)測(cè)的和不可預(yù)測(cè)的風(fēng)險(xiǎn)。這是當(dāng)前要緊急熟悉的隱患?！盎ヂ?lián)網(wǎng)+智能制造產(chǎn)業(yè)”的工業(yè)管控系統(tǒng)安全和數(shù)字資產(chǎn)維護(hù)同樣是城市信息化深入展開(kāi)時(shí)要處理的困難方面。

一、網(wǎng)絡(luò)信息安全是風(fēng)險(xiǎn)因素

信息安全的含義是在20世紀(jì)初提出的。伴隨通信技術(shù)的進(jìn)步，它在1940年后仍然引起了人們的關(guān)注。兩個(gè)類(lèi)似的理念是網(wǎng)絡(luò)安全及網(wǎng)絡(luò)空間安全。一些研究人員區(qū)分了這三種理念，他們覺(jué)得，雖然表達(dá)方式不一樣，只是三者間依舊還存在著內(nèi)部聯(lián)系。按照文章所要探討的問(wèn)題，需要暫時(shí)運(yùn)用信息安全性的理念，著重強(qiáng)調(diào)與安全性有關(guān)的問(wèn)題，例如在個(gè)人、公司及國(guó)家級(jí)的信息儲(chǔ)存、傳遞及運(yùn)用［1］。這里面，不僅存在涉及個(gè)人及公司的數(shù)據(jù)安全隱患，而且還存在波及政府和國(guó)家安全的網(wǎng)絡(luò)突擊脅迫。特別是網(wǎng)絡(luò)病毒已漸漸變成有一定利益可以賺取的產(chǎn)業(yè)，并且隨著Internet（互聯(lián)網(wǎng)）的普及，網(wǎng)絡(luò)信息安全已成為正常隱患。現(xiàn)有研究認(rèn)為，網(wǎng)絡(luò)信息安全具備五個(gè)主要特點(diǎn)。第一個(gè)是機(jī)密性：信息不會(huì)被未經(jīng)授權(quán)的用戶、實(shí)體或流程泄漏以及使用的特點(diǎn)；另一個(gè)是完整性：未經(jīng)授權(quán)就無(wú)法更改數(shù)據(jù)的特性；第三個(gè)是可用性：授權(quán)實(shí)體可以訪問(wèn)并按需運(yùn)用的功能；第四是可控性：控制信息傳遞和內(nèi)容的能力；第五是可檢測(cè)性：在發(fā)生安全隱患時(shí)帶來(lái)證據(jù)的能力。所以，網(wǎng)絡(luò)信息安全治理也是一種手段，針對(duì)于網(wǎng)絡(luò)上已有的系統(tǒng)、技術(shù)和內(nèi)容風(fēng)險(xiǎn)，經(jīng)過(guò)控制信息技術(shù)和通信來(lái)確保社會(huì)的全體安全。

二、網(wǎng)絡(luò)信息安全的主要威脅種類(lèi)

從時(shí)間的角度看，近年來(lái)伴隨技術(shù)的發(fā)展，網(wǎng)絡(luò)安全技術(shù)的隱患大大增加。從空間角度看，城市空間中的網(wǎng)絡(luò)安全隱患越來(lái)越嚴(yán)重，區(qū)域分散不均。這部分安全隱患已和經(jīng)濟(jì)、金融和其他領(lǐng)域越來(lái)越緊密地聯(lián)系在一起。特別是大中城市已變成網(wǎng)絡(luò)技術(shù)安全風(fēng)險(xiǎn)與危機(jī)的集合地。按照網(wǎng)絡(luò)信息安全脅迫及突擊的種類(lèi)，最容易見(jiàn)到的網(wǎng)絡(luò)威脅基本包括：黑客入侵、信息泄漏、安全漏洞和惡意勒索［2］。

黑客入侵。黑客攻擊方法可以分為不是破壞性的攻擊與破壞性攻擊。不是破壞性攻擊通常用于破壞系統(tǒng)的運(yùn)作，并且不會(huì)竊取系統(tǒng)數(shù)據(jù)。經(jīng)常利用反對(duì)服務(wù)攻擊及信息炸彈；破壞性攻擊旨在入侵他人的計(jì)算機(jī)系統(tǒng)，竊取系統(tǒng)機(jī)密資料并損壞目標(biāo)系統(tǒng)的資料。黑客進(jìn)攻是各種各樣的，除脅迫個(gè)人計(jì)算機(jī)及移動(dòng)終端外，它們還對(duì)政府、金融以及軍事部門(mén)構(gòu)成較大的脅迫。

信息泄漏。信息泄漏已成為全球網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。不良程序、各種網(wǎng)絡(luò)釣魚(yú)應(yīng)用、黑客襲擊等是造成大范圍信息泄漏事故的基本因素；轉(zhuǎn)售信息、計(jì)算機(jī)病毒、網(wǎng)站漏洞和手機(jī)漏洞是當(dāng)前個(gè)人信息泄露的四種主要方式。欺詐性電話、垃圾郵件、虛假財(cái)務(wù)管理以及信息泄漏帶來(lái)的違法交易給公民的日常生活造成了許多問(wèn)題。最近幾年，世界范圍內(nèi)信息泄漏的范圍及限度一直在增加。2017年上半年，數(shù)據(jù)泄露及被盜的資料積累數(shù)量到達(dá)了嚇人的19億。需要特別注意的是，該數(shù)據(jù)早已是2016年被盜數(shù)據(jù)的總和，預(yù)測(cè)全年會(huì)大于50億，這里面僅是雅虎就已經(jīng)有30億了。上半年，世界共有918起網(wǎng)絡(luò)安全事故發(fā)生，家庭用戶的信息每年最少會(huì)泄漏5次。網(wǎng)絡(luò)信息泄漏和黑客襲擊以及網(wǎng)站和App本身的安全性有著緊密聯(lián)系。在酒店、銀行和Internet用戶平臺(tái)中，許多信息泄露事件發(fā)生在用戶需要注冊(cè)及提出個(gè)人信息的時(shí)候。

安全漏洞。網(wǎng)絡(luò)安全漏洞是硬件、軟件和協(xié)議或系統(tǒng)安全措施的特定實(shí)施中的缺點(diǎn)。漏洞的出現(xiàn)讓不良程序可以從別的程序的存儲(chǔ)空間中竊取資源，由此導(dǎo)致密碼、賬戶資料、密鑰和其他漏洞內(nèi)部存儲(chǔ)器中存儲(chǔ)的信息泄漏。自從計(jì)算機(jī)系統(tǒng)構(gòu)建以來(lái)，安全漏洞到處可見(jiàn)，而且一直都會(huì)變化。根據(jù)系統(tǒng)的安全協(xié)議，攻擊者能夠運(yùn)用網(wǎng)絡(luò)安全漏洞輕松劫持網(wǎng)絡(luò)信息［3］。安全漏洞也可能立刻脅迫聯(lián)網(wǎng)設(shè)施的整個(gè)軟件和硬件。按照國(guó)家信息安全漏洞分享平臺(tái)發(fā)布的數(shù)據(jù)，截至2018年，僅在一周內(nèi)就對(duì)397個(gè)信息安全漏洞進(jìn)行了排序，其中包括144個(gè)高風(fēng)險(xiǎn)漏洞、219個(gè)中風(fēng)險(xiǎn)漏洞和34個(gè)低風(fēng)險(xiǎn)漏洞；這里面，關(guān)于政府機(jī)關(guān)、企事業(yè)機(jī)構(gòu)的事件漏洞總量為679個(gè)。截至2018年下半年的一周內(nèi)，此平臺(tái)共清理信息安全漏洞273個(gè)，涉及高危漏洞66個(gè)、203個(gè)中級(jí)風(fēng)險(xiǎn)漏洞以及4個(gè)低風(fēng)險(xiǎn)漏洞；這里面，關(guān)于政府機(jī)關(guān)、企事業(yè)機(jī)構(gòu)的突發(fā)事件型漏洞共534個(gè)。

惡意勒索。自2005年以來(lái)，勒索軟件已成為一種普及的網(wǎng)絡(luò)威脅，基本用電子郵件、程序特洛伊木馬和網(wǎng)頁(yè)掛馬的方式傳遞。此病毒通常使用不同加密算法來(lái)加密文件，并且被感染方很難解密它，而且它只能夠用私鑰來(lái)對(duì)其進(jìn)行破解。攻擊樣本通常主要是exe，js，wsf，vbe等，這對(duì)通常依賴于功能檢測(cè)的安全產(chǎn)品構(gòu)成了巨大威脅。按照2016年的公共統(tǒng)計(jì)數(shù)據(jù)，勒索軟件感染的數(shù)量超過(guò)了數(shù)據(jù)泄露的數(shù)量，到達(dá)7，694起。2017年12月13日，“勒索病毒”被國(guó)家語(yǔ)言資源監(jiān)測(cè)與研究中心評(píng)選為“2017年中國(guó)新聞界十大新詞”。2018年3月，我國(guó)國(guó)家互聯(lián)網(wǎng)緊急中心經(jīng)過(guò)獨(dú)立監(jiān)控及樣本互換找出了23種鎖屏勒索軟件不良程序變體。這類(lèi)病毒會(huì)經(jīng)過(guò)鎖定用戶的手機(jī)屏幕并脅迫用戶付費(fèi)來(lái)打開(kāi)屏幕，從而嚴(yán)重威脅用戶的財(cái)產(chǎn)和手機(jī)安全。自2017年以來(lái)，勒索軟件已在全球范圍內(nèi)普及，并與在線黑市交易等犯罪緊密聯(lián)系；僅是在2017年，全球就有至少500萬(wàn)臺(tái)計(jì)算機(jī)被勒索軟件襲擊過(guò)。

三、必須繼續(xù)以法治形式促進(jìn)互聯(lián)網(wǎng)內(nèi)容治理

除了有關(guān)互聯(lián)網(wǎng)新聞和信息的法律、行政法規(guī)和司法解釋的詳細(xì)規(guī)定外，國(guó)家互聯(lián)網(wǎng)信息辦公室還發(fā)布了一套有關(guān)內(nèi)容治理的支持性法規(guī)或規(guī)范性文件。2017年6月1日實(shí)施的《互聯(lián)網(wǎng)新聞信息管理?xiàng)l例》提出互聯(lián)網(wǎng)站點(diǎn)、應(yīng)用程序、論壇、博客、微博、公共賬戶、即時(shí)消息工具、網(wǎng)絡(luò)廣播等為群眾提供互聯(lián)網(wǎng)新聞信息服務(wù)，應(yīng)該獲取新聞信息服務(wù)許可證［4］，嚴(yán)禁不經(jīng)準(zhǔn)許以及超出允許范圍進(jìn)行Internet新聞信息服務(wù)活動(dòng)?！痘ヂ?lián)網(wǎng)信息內(nèi)容管理行政執(zhí)法程序規(guī)定》對(duì)行政執(zhí)法步驟作了較為詳盡的規(guī)定。此外，國(guó)家互聯(lián)網(wǎng)信息辦公室還發(fā)布了一系列相關(guān)人員管理規(guī)定，涉及網(wǎng)絡(luò)廣播、論壇社區(qū)服務(wù)、評(píng)論服務(wù)、團(tuán)體信息服務(wù)、用戶公共賬戶信息服務(wù)、互聯(lián)網(wǎng)新聞信息單元的內(nèi)容管理等。文化和旅游部還發(fā)布了《互聯(lián)網(wǎng)文化管理暫行規(guī)定》，前國(guó)家廣播電影電視總局發(fā)布了《互聯(lián)網(wǎng)視聽(tīng)節(jié)目服務(wù)管理規(guī)定》，形成了較為完整的互聯(lián)網(wǎng)機(jī)構(gòu)治理網(wǎng)絡(luò)［5］。雖然我國(guó)早已構(gòu)成了一個(gè)相對(duì)完整的互聯(lián)網(wǎng)新聞和信息監(jiān)管法律框架，只是在總體上還尚待繼續(xù)完善。雖然國(guó)家實(shí)行互聯(lián)網(wǎng)新聞信息監(jiān)督及內(nèi)容治理以保護(hù)國(guó)家安全與社會(huì)利益，只是對(duì)于在互聯(lián)網(wǎng)新聞信息區(qū)域中越來(lái)越活躍更有可能處在領(lǐng)導(dǎo)地位的社交媒體、交互式網(wǎng)絡(luò)廣播和交互式社區(qū)而言，怎么協(xié)助國(guó)家監(jiān)督和平臺(tái)治理，怎么在監(jiān)視時(shí)不干擾平臺(tái)操作的自治性以及如何賦予私有實(shí)體（如具備類(lèi)似權(quán)力的平臺(tái)來(lái)管理公共事務(wù)）依舊是值得深入探討的關(guān)鍵問(wèn)題。尤其是在資本集中型的互聯(lián)網(wǎng)新聞信息平臺(tái)上，怎么避開(kāi)資本對(duì)新聞信息的支配，怎么加強(qiáng)平臺(tái)對(duì)有害信息的管控，怎么避開(kāi)平臺(tái)對(duì)信息的過(guò)濾和管控都是可以繼續(xù)探討的。

四、結(jié)束語(yǔ)

有必要給金融、保險(xiǎn)、物聯(lián)網(wǎng)等區(qū)域中運(yùn)用科技安全水平、行為準(zhǔn)則和風(fēng)險(xiǎn)通知制度方面協(xié)同投資。關(guān)于硬件安全的技術(shù)檢查及軟硬件系統(tǒng)的安全檢查方面，需要?jiǎng)?chuàng)建定期的檢測(cè)制度及風(fēng)險(xiǎn)措施制度。在技術(shù)協(xié)作過(guò)程中，不能忽視技術(shù)安全聯(lián)系，在培訓(xùn)安全人員及關(guān)鍵防控技術(shù)方面要有極大的主動(dòng)性。