聚焦媒體“隱形戰線”

本刊記者｜閆城榛

互聯網的迅猛發展極大地改變了人類的生活方式，給世界的經濟、政治、文化帶來了深刻的影響。但同時，隨著互聯網的普及，網絡的安全問題卻日益突出。

個人隱私愈受關注

據報道，全球平均每20秒鐘就發生一起Internet計算機侵入事件，大量的政府和門戶網站被攻陷。國外的政府網站及知名商業網站等都先后被黑客攻擊導致服務中斷，造成了很大的影響和損失。而在我國，每年因黑客入侵、計算機病毒的破壞給企業造成的損失同樣令人觸目驚心。計算機及計算機網絡的安全問題正引起政府部門、企事業機關的高度重視。

媒體由于其特有的社會屬性，通常承擔著信息發布、輿論引導、社會服務等重大責任，其重要性不言而喻。信息安全已然成為了媒體在互聯網時代的“隱形戰線”——看不見、摸不著，卻至關重要。嚴重的信息安全事件將會造成極大的政治、經濟和社會影響。如何降低媒體信息安全風險，確保系統數據信息的安全性和可靠性，保障業務安全平穩的運行，同樣是安全建設媒體工作系統的重點。

“隱私（Privacy）是每個人所保有的權利——能否選擇孤獨生活的權力。去銀行取錢，你的資金情況有可能被別人獲取；拿著手機，你的行動軌跡有可能被別人獲取；哪怕是在IM上發表觀點，也怕政治傾向有可能被別人獲取；去醫院看病，你的健康狀況有可能被別人獲取。而隱私，就是你選擇這些信息不被他人獲取的權利。” 360公司副總裁兼首席隱私官譚曉生在采訪中對記者說。

2014年5月，一項由約瑟夫?朗特里改革基金會發起的調查顯示，85%的網民認為，上網瀏覽記錄等信息的保密工作“相當重要”；英國市場調研公司Mori最新的調查顯示，僅有12%的受訪者認為這些隱私是否被監控無所謂。2013年12月18日，聯合國大會通過了一項 “數字時代隱私權”的決議。決議強調，隱私權是民主社會的基礎之一，非法或任意監控通信以及收集個人數據，是侵犯隱私權和言論自由權利的行為，背離了民主社會的信念。決議也要求各國建立有效的國內監督機制，確保涉及通信監控和截取、以及對個人數據收集的透明度，并接受問責。

這項決議雖然沒有強制效力，卻在政治和道德層面體現了國際社會對保護網絡和電子通訊使用者隱私權的態度，表達了對越界情報行動以及對個人數據大規模搜集的批評與憂慮，而這或許是斯諾登以及“棱鏡門”帶給整個世界的一個巨大的改變。

大數據和云計算 皆為“雙刃劍”

如果說隱私是個人問題，那么信息安全則是全體人類社會所面臨的共同課題。信息安全本身包括的范圍很大。大到國家軍事政治等機密安全，小到如防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。

“信息安全中間的有一部分與隱私相關。通俗來說，信息安全是針對于信息的安全保障。”譚曉生說：“在沒有計算機之前，政府核心部門的某份重要文件被竊取，其實也是信息安全被破壞的表現。當今，我們進入了網絡時代，信息被數字化，無須通過物理上的接觸就可以通過網絡將指定信息竊取或破壞。”

“破壞信息安全”在不同的時代上演著不同的演繹方式，從物理上的竊取 文件，到無線電時代的電波干擾，再到互聯網時代通過光纖對信息的進行的竊取和破壞。網絡環境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統、各種安全協議、安全機制（數字簽名、信息認證、數據加密等），直至安全系統，其中任何一個安全漏洞便可以威脅全局安全。

大數據指對不同來源的海量數據進行分析并從中獲得所需信息的一類技術。比如在這個數字時代，人們會經常收發郵件、網上購物、社交媒體發帖……每天都會產生大量數據。如果企業對這些數據進行有效分析，就能從中挖掘出巨大價值。

對此，新華社通信技術局信息安全辦公室副主任肖國煜有所感慨道：“現在，很多公司都說自己與其說是‘互聯網公司’，不如說是‘數據’更為妥當。其實對于當代的媒體也是一樣的。在從前，傳統主流媒體處于居高臨下的主導地位；而如今進入互聯網時代，信息更多的是以平等交流的方式傳播。媒體需要采集、保存海量的數據對用戶進行分析，而且是從原來的商業消費的行為分析，轉變為信息消費的行為分析。”

但大數據時代的信息安全也存在巨大的隱患。全國人大代表、天津市經濟和信息化委員會主任李朝興將大數據時代的信息安全問題表現總結為三個層次：第一是網絡安全。李朝興說，我國目前的網絡產業無論硬件軟件都處于不設防的狀態，使用的大多是國外企業生產的產品或者技術，網絡本身不是自主研發的，很可能會因“后門”造成信息泄露，而發達國家在這方面則控制得很嚴。第二是數據安全。“我們存在郵箱、云端甚至電腦終端里面的數據，通過網絡都有可能泄露出去，但目前的法律對此沒有明確的規定，這些數據的所有權歸誰？是否應該歸產生數據的人自身所有呢？”李朝興說。第三是信息安全。數據一旦泄露，稍加分析和加工就變成了有用的信息，對個人而言是隱私，而對企業乃至國家機關而言則有可能是機密。

提起大數據，就不能不談談云計算。云計算加快了數據的沉淀，為大數據的快速處理和分析提供了足夠的計算能力，并且將計算變成一種公共服務，通過互聯網輸送到千家萬戶。

云計算的發展勢頭近年來日益迅猛，眾多企業開始享受云計算便利的計算資源服務、大數據沉淀與挖掘帶來的產業創新同時，業界也一直存在關于云服務安全方面的挑戰與質疑。2013年，亞馬遜AWS戰勝IBM獲得美國中央情報局6億美元云計算系統訂單，給質疑云計算安全的聲音潑了一次冷水，對全世界范圍內的云計算云服務進程是一次不小的推動。在中國，云計算服務經過3年多的發展實踐，已經有了不小的規模，同時也產生了國外尚未涉足、對安全要求更高的金融行業等新的云計算服務領域。比如目前國內最大的單只基金-余額寶，國內第一家互聯網保險公司-眾安在線均是構建在阿里云的云計算平臺上。

當然，對這一新鮮事物質疑與擔憂也不少，據統計國內50%的企業不敢使用云計算服務的主要原因是對安全問題的擔憂，現任阿里巴巴集團首席技術官王堅博士的觀點認為“云計算更安全，這是一個思維變革的過程。”

云計算的特點是把信息化的資源顆粒化，比如存儲、計算、軟件、數據、管理資源，這些資源虛擬化而且被顆粒化以后形成各種資源池然后統一整合進行管理和利用，實時的按需分配。“就好比是以前家家戶戶自己打井汲水，現在由自來水公司集中管理全市用水，并且通過管道將自來水輸送到各家各戶。從井水到自來水的變遷讓千家萬戶喝上了放心水，省去了挖井打水的功夫，不會有人擔心自來水公司被投毒而拒絕接入自來水。”

“事實上，云比原來的方法更安全，就好像把錢放在銀行事實上會比放在枕頭底下更安全一樣，需要克服的是心理障礙”。王堅博士認為這是一個思維變革的過程。

審查制度即將推出網絡安全重要性到達新高度

中共中央總書記、中央網絡安全和信息化領導小組組長習近平不久前提出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”，“努力把我國建設成為網絡強國”等重要論斷，把對網絡安全和信息化重要性的認識提到了一個新的高度，成為了國家戰略層面的問題，為下一步推進網絡信息安全和信息化建設指明了方向。

各種跡象表明，網絡安全已經成為國家高層非常重視的問題，從中央網絡安全和信息化領導小組的成立，到國際電聯專門推出全球網絡安全指數新概念；從美國政府“嚴密審查”聯想收購IBM的低端x86服務器部門，到微軟Windows XP“退役”引發中國兩億用戶的安全顧慮，網絡安全和信息化已成為社會關注的熱點。

國家互聯網信息辦公室于5月22日宣布,為維護國家網絡安全、保障中國用戶合法利益,我國即將推出網絡安全審查制度。該項制度規定,關系國家安全和公共利益的系統使用的重要技術產品和服務,應通過網絡安全審查。

記者從國家互聯網信息辦公室獲悉,互聯網產品技術的安全性和可控性,將是網絡安全審查重點。網絡安全審查制度將針對重要信息技術產品及提供者,重點審查產品的安全性和可控性,以防產品提供者非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。對不符合安全要求的產品和服務,將不得在中國境內使用。

相比美國已實行了10多年的網絡安全審查制度,我國網絡安全審查制度的空白短板,在產業層面讓我國企業處于被動劣勢。同時,無論是個體信息安全的迫切需要,還是國家層面的安全保障,都使得推出網絡安全審查制度勢在必行。

“信息安全審查機制并不是常規性的門檻制度，而是在發現有可能出現潛在危害時需要采取的必要行動。在這一方面，美、英、法、日等國很早就建立了相關制度。” 對于我國即將推出網絡安全審查制度的新聞，中國工程院院士、北京郵電大學原校長方濱興表示：“在信息安全領域，早就有信息安全產品認證的入市門檻制度，但這是白名單式的放行機制。信息安全審查制度不同，是戰術層面的事情，需要通過對提供技術、系統、服務的企業進行背景審查，對所提供的技術、系統、服務的歷史情況進行審查，對其帶來的潛在危害性進行評估，然后才能考慮是否能夠進入市場，或者有條件（例如必須達到某種要求）進入市場。這相當于黑名單式的禁止機制，并不是所有的技術、系統、服務都必須進行信息安全審查，但一旦納入審查，就不能在未通過審查的前提下進入市場。這種方式可以有效防范那些被舉報或被揭發的企業、技術、產品與服務等給我國帶來潛在危害。”

信息安全：媒體在互聯網時代的“隱形戰線”

互聯網的迅猛發展極大地改變了人類的生活方式，給世界的經濟、政治、文化帶來了深刻的影響。但同時，隨著互聯網的普及，網絡的安全問題卻日益突出。

據報道，全球平均每20秒鐘就發生一起Internet計算機侵入事件，大量的政府和門戶網站被攻陷。國外的政府網站及知名商業網站等都先后被黑客攻擊導致服務中斷，造成了很大的影響和損失。而在我國，每年因黑客入侵、計算機病毒的破壞給企業造成的損失同樣令人觸目驚心。計算機及計算機網絡的安全問題正引起政府部門、企事業機關的高度重視。

大家一定對這樣一件事情并不陌生：

北京時間2013年4月24日早間消息，美聯社的Twitter賬號周二被黑客劫持，并在被黑后發布消息稱：“突發新聞：白宮發生兩次爆炸，奧巴馬受傷。”這一消息迅速在Twitter上引發了強烈反響，幾秒鐘之內被轉發了數百次。但幾分鐘后，美聯社的Twiter賬號被暫時關閉，證明該賬號遭到黑客入侵。美聯社隨后表示：“@AP賬號被黑，白宮遇襲消息不實。”盡管這一消息只傳播了幾分鐘，但依舊引發了美國股市的短暫跳水，道瓊斯工業平均指數在該消息發出后瞬間下跌超150點。在此事件前后發生了一系列針對國際媒體機構的黑客攻擊事件，美聯社Twitter賬號遭竊只是其中的一例。

Twitter的安全問題一直為人詬病。消息在Twitter上快速散播，但平心而論Twitter并不是一個可靠的新聞傳播平臺。如果Twitter不能采取措施解決其帳號的安全問題，或者不能確保其信息的準確性，Twitter可能將開始面臨法律審查甚至訴訟。

其實，這個故事的本土化的版本每天也在中國的網絡上重復上演著。捫心自問，當我們的媒體遇到類似事件的時候，是否有足夠的能力進行預防、抵御、反擊和善后工作呢？

媒體由于其特有的社會屬性，通常承擔著信息發布、輿論引導、社會服務等重大責任，其重要性不言而喻。信息安全已然成為了媒體在互聯網時代的“隱形戰線”——看不見、摸不著，卻至關重要。嚴重的信息安全事件將會造成極大的政治、經濟和社會影響。如何降低媒體信息安全風險，確保系統數據信息的安全性和可靠性，保障業務安全平穩的運行，是安全建設媒體工作系統的重點。

頂層設計 統籌考慮

“信息化是大趨勢，網絡安全和信息化密切相關。”清華大學教授、微電子學研究所所長魏少軍指出，網絡安全是信息化或者說信息基礎設施當中需要解決的基本問題。綜合考慮網絡安全和信息化是一個非常重要的命題，國家需要頂層設計來整體統籌考慮。”

大到一個國家，小到一個企業，在做信息安全建設的時候都需要做好頂層設計，統籌考慮問題，媒體機構也不例外。

肖國煜在工作中體會到：“信息安全并不是從網絡安全做起的，而應該是順應整體業務發展的模式和邏輯而建立。信息安全的建設需要首先做好頂層設計，想清楚業務要求的保護程度，再據此從物理層面到組織層面的環節設計整體運營架構。”

聊到360在做信息安全的頂層設計時，譚曉生沉吟片刻總結出以下幾點：“貫徹一個核心理念；不忘四個假設；一流人才是根本。”

他緊接著向記者進行了詳細的闡述：

360公司副總裁兼首席隱私官譚曉生

第一，核心理念：信息安全的本質是“攻”和“防”。所謂“未知攻，焉知防？”想要做好防護，必須首先全方位地了解攻擊。在建立防御系統的時候，要知道別人會以怎樣的方式、途徑、利用那些漏洞來進行攻擊，才能更有針對性地做防御系統。這四個假設對做信息安全的人員來說稱得上是“噩夢”一般的假設，因為它們意味著沒有一個架構、一個環節、一個人是絕對牢固、可信任的。但在真正面臨信息安全危機的時刻，在這四個假設的指導之下抽絲剝繭、層層排除，才能準確地找到問題的癥結所在。

第二，四個假設。

1，假設使用的系統一定存在沒有被發現的漏洞；

2.假設已經發現的漏洞，會因為各種原因未能被修補；

3.假設系統今天已經被人滲透了；

4.假設員工是不可靠的。

第三，一流人才是根本。所有“攻”和“防”都需要人，技高一籌，即為勝者，任何公司、機構都需要尋找、培養和留住一流的高手。

從“滅火器”到“濾水器”

中間為阿里巴巴集團首席技術官王堅

在2014年1月發布的《阿里云安全白皮書V1.2》對阿里云的信息安全團隊進行了比較詳細的闡釋。

阿里云全職信息安全團隊由超過50名的WEB應用安全、系統和網絡安全、安全開發專家組成。這個團隊負責設計、開發和運營基于阿里云云計算環境的云安全服務（云盾）；防御各類對阿里云服務、系統和網絡的安全攻擊及入侵；制定和監督云服務的安全開發流程。同時作為阿里云信息安全管理體系所有者代表方在安全策略和流程方面的設計、歸檔和執行中扮演重要角色。

（1）設計、開發和運營采用云計算架構和技術的云安全服務（云盾），對使用阿里云云服務的各類網站和應用，提供全自動防攻擊和入侵的安全服務，例如防DDoS、防入侵、以及網站安全檢測；

（2）依據不同數據類別及其安全等級設計訪問控制策略，制定技術隔離措施和訪問控制管理流程；

（3）依據代碼、應用、系統、網絡訪問流程，審核訪問申請，自動化監控可疑活動（例如：數據的非授權訪問及修改）并實時審計；定期復查其執行情況；

（4）制定安全開發流程，并依據數據安全級別界定所有云服務的各環節安全開發要求，通過配置管理系統保證各開發環節遵循其對應的安全要求，并在上線前完成安全加固、通過安全審核；

（5）借助自動化運行在阿里云網絡內部和外部的漏洞掃描程序，及時發現問題區域，并在預期的時間表內整治安全漏洞。

（6）遵循信息安全事件管理標準要求，依據對數據安全性的危害程度定義安全事件類別和響應流程，采用全天候系統和人工監控識別、分析和處理信息安全事件；

（7）基于預防和糾正云安全威脅根本成因來制定所有安全策略和控制措施；

（8）采用不斷演練的方式評估安全策略和控制措施的適用性，并及時更新；

（9）遵照阿里云安全策略，為員工開發和提供培訓課程，包括個人信息保護、數據安全認證和安全開發領域；

（10）通過第三方安全論壇接受外部安全專家的安全評估和建議。

可見，一支健全強有力技術團隊是信息安全建設的基礎和保障。信息安全團隊所擔任的不只是在災難發生后救急的“滅火器”角色，更是在問題發生前防微杜漸、毫不松懈的“濾水器”。

“今天傳統的網絡安全產品提供商仍然在致力于逐門逐戶的推廣安全加固的‘井蓋和井水凈化劑’，安全產品防御容量也從‘企業級’走向了‘電信級’。當很多單位和企業其業務互聯網后面對用戶不可預知的攻擊動機所引發的“現象級’安全保障挑戰時，其在信息安全建設方面曾經經歷的‘堆產品、上服務、組團隊’等安全歷程后、仍未能幫助解決‘攻擊難預測、服務響應慢、安全人才一將難求’等方面的安全問題。究其原因是對于‘現象級’安全保障挑戰，未能具備安全攻擊自動響應、彈性防御的能力，從而無法保證安全防御能力不被海量用戶的差異化訪問而稀釋。”王堅對記者說道。

培養企業信息安全文化

在2014年1月發布的《阿里云安全白皮書V1.2》對阿里云的信息安全團隊進行了比較詳細的闡釋。

“信息流動更加便利”是互聯網帶給這個時代的紅利，但同時也產生了一些問題，其一就是人們在互聯網上發布的信息是不可能真正意義上“被撤回”的。我們在更加方便快捷地獲取所需信息的同時，也一定會付出個人信息更加難以保護的代價。即使在未來有了法律的保護，我們也生活在一個越來越透明化的時代。

然而，人們對于信息安全重視程度仍然處于嚴重不足的狀態。我們的信息、資產越來越數字化，比如工廠的設計圖紙、公司的合同等，社會經濟越來越數字化，比如工業系統的自動化控制等，與此同時，必須提高人們對于信息安全的重視。你可能無法想象，一只保存了26份機密文件的U盤，只是在非涉密的電腦上插了一下，這26份機密文件就悉數顯示在了其他國家情報部門的屏幕上，然而，這些“駭人聽聞”的事件是真實存在并在這個世界的每個角落隨時上演的。

因而，媒體想要做好信息安全建設，必須從每位員工入手，提高其信息安全意識，培養企業的信息安全文化。

對此，譚曉生對記者分享了他的經驗：“那時是2010年，我剛剛接手信息安全這方面的工作，立即對當時的公司高管們進行了一次‘滲透測試’。自此之后的四年里，我在信息安全方面的任何動作都沒有遇到任何高管的反對。”譚曉生笑著說道：“當你想要阻止人們的某種行為時，最好的方法是讓他們看到這么做的嚴重性。用事實告訴他們‘信息安全事件隨時都有可能在你身上發生，并且造成實實在在的損失’。”

Information Security 信息安全：

誠然，信息安全無處不在。大到國家機密，小到郵箱密碼，國計民生，各行各業，無所不包。與之相隨的，是無孔不入、防不勝防的信息安全事件。2014年已經過去了將近一半。回顧上半年的IT圈不難發現，涉及互聯網安全的討論愈加熱烈。從Windows XP系統停止服務致2億用戶“裸奔”，到小米攜程用戶信息泄露，抑或是全球互聯網通行的安全協議OpenSSL到免費WIFI的安全隱患。無論是互聯網還是移動端，涉及信息安全的問題頻出，網民對安全上網的呼聲越來越高。

媒體作為國民社會生活中不容忽視的一部分，其信息安全不僅關系到媒體自身的建設發展，還影響著社會的長治久安。互聯網信息安全這條“隱形戰線“，雖然看不見、摸不著，卻是媒體邁入互聯網時代的重要堡壘，需要實打實地、一步一個腳印地建設。從現在開始，還為時不晚。