同安全，共命運

王煜

“互聯互通·共享共治——構建網絡空間命運共同體”，這是本屆世界互聯網大會的主題，而網絡安全正是這個共同體“命運”的保障。當下，網絡安全正面臨許多新的挑戰。毋庸置疑的是，無論出現什么新情況，無論在安全的哪一個維度，各方力量的攜手共營都是治理取得成效不二法門。

共營，才能共贏。

網絡安全無處不在

“當下，網絡安全的范圍已有了很大擴展。”上海市信息安全行業協會副秘書長張凱說，隨著智能化、網絡化技術的廣泛應用，網絡安全的議題不再局限于傳統的信息行業，像工業控制、智能家居等在以前相對不是很重視安全的領域，現在開始遭遇越來越多的考驗。

他舉例說：無人機、攝像頭、智能手環甚至豆漿機，這些普通人在日常生活中經常接觸到的東西，現在都已經成為網絡攻擊的目標。通過對WiFi和藍牙連接的侵入，黑客可以從智能手環上獲取用戶的隱私數據，用于進一步違法行為;如果無人機和攝像頭的控制權落入攻擊者手中，則會讓更多的個人隱私泄露。尤其值得注意的是，如果黑客侵入的是云端，則可能較為容易地控制一大批連接到這朵“云”的設備，造成的危害成倍放大。

“可信賴的云計算和大數據”是本屆世界互聯網大會分論壇的議題之一。2015年8月19日，國務院常務會議通過《關于促進大數據發展的行動綱要》，展示了國家對該領域的重視。貴州省作為在大數據領域“先行先試”的省份，已率先啟動了首個大數據綜合試驗區建設，其中于去年上線的“云上貴州”系統，是云計算和大數據領域解決安全問題的一個很好的范例。

據貴州省經信委信產辦負責人介紹，“云上貴州”是全國第一個政府和企業數據統籌存儲、共享開放和開發利用的云平臺，數據已經做到了省級的統籌。平臺采用具有自主知識產權的阿里云飛天操作系統、國產服務器、交換機等產品搭建，符合有關安全規范及要求，實現了自主、安全、可控，可供12萬核計算資源、100P存儲資源、500T內存資源。由于大數據的安全架構由物理安全、系統安全、網絡安全、應用安全、數據安全和管理安全六個維度組成，每一個維度都有一套完整、完善的解決方案，所以集中存儲的數據比之前更加安全。

專業技術人士給記者舉了個例子，“這就像運輸一籃子雞蛋和一卡車雞蛋，如果出現事故，后者的損失會更大，因而運輸者在安全保護上的投入就會更大，對每一個雞蛋而言就會更安全。”

從“云上貴州”平臺安全攻防數據來看，從2014年10月15日上線到2015年3月24日，7朵云41個應用系統防御了20次大規模互聯網攻擊，19萬次黑客入侵，71萬次網絡流量攻擊。“值得注意的是，這些攻擊不是上云以后才有的，是過去一直存在而我們不知道的;現在我們不僅知道，而且也能防住它們。”

如果僅僅是存儲，還遠沒有發揮大數據的作用。數據參與計算和交換交易、形成多維度的溝通，這才能真正產生價值。例如，“云上貴州”的交通云，每天通過收費車道通行的車輛能被其他云進行調用分析，旅游云分析客運車輛數據，就能對景區人流狀況進行預測;貨車通行情況，就能為工業云所用。

在數據交換的過程中，同樣需要防范安全風險。以“云上貴州”為例，數據交換不僅發生在政府部門之間，還發生在政府和企業，企業和企業之間，各朵云的趨勢也都是逐步增加數據開放的比例。安全性如何保證呢？貴州省大數據產業發展領導小組辦公室負責人表示，除了技術層面的保障外，該平臺還推行了“誰擁有，誰負責”和“誰開發，誰負責”的原則，來明確數據安全的責任主體。對于某些不適合在平臺上進行交換的保密數據，但其他單位又需要調用，數據的擁有單位可以選擇只把計算后的結果放上平臺，而原始數據依舊處于安全狀態，這能很好地平衡安全和開放之間的關系。據悉，在安全制度建設方面，“云上貴州”正在探索建立數據交易涉及的個人隱私、商業秘密保護，信用擔保評級、風險管控等法規、制度和標準，力爭在大數據存儲、交換交易上的安全層面成為“瑞士銀行”。

網絡打黑反恐，需要攜手共營

在張凱眼中，當下網絡安全面臨的一個嚴峻問題就是黑產從業者的違法犯罪成本很低、設備便攜性強，而防御成本相對較高，這就增加了打擊的難度。

例如，在即將結束的2015年里，他任職的上海市信息安全行業協會接到企業被DDoS（Distributed Denial of Service，分布式拒絕服務）攻擊的報告相當多。這種攻擊利用網絡上成千上萬臺被控制的傀儡電腦，同時對一臺服務器發起訪問，導致后者因負荷過大癱瘓。張凱說，DDoS攻擊的原理簡單，攻擊者只需要花幾十元的成本就能對目標傾瀉十幾GB的流量，造成服務器癱瘓后就向網站的擁有企業敲詐勒索，收到錢才停止攻擊。

問題在于，許多企業都是在報案之前先向黑產者付款了事。張凱分析，對企業而言，網站癱瘓可能會引起用戶的恐慌，影響自己的商業信譽，這在互聯網金融領域尤其明顯;另外，網站業務停止造成的損失，可能遠遠大于黑客勒索的金錢數目;“兩害相權取其輕者”，企業會選擇妥協，但這助長了黑產者的囂張氣焰。而且，黑產者現在經常索要的是比特幣，由于其匿名性和虛擬性，公安機關不僅難以查證資金的流向，也很難對企業的損失定量。

在移動安全領域，張凱和他的同事近期開展了對全國重點城市公共WiFi安全性的測試，結果不容樂觀。在上海的靜安公園，他們就發現了假冒的WiFi，比如假冒的“iShanghai”，用戶如果連入這類WiFi，輸入的賬號密碼等敏感信息就會被收集盜取。通過技術手段分析，張凱發現，原來的假冒WiFi可能是“魚目混珠”式的手段，比如將WiFi名稱中的字母“I”換成數字“1”來欺騙用戶;而現在的手段已經升級為“寄生蟲”式，用戶連接的是正常WiFi的名稱，而實際接入的是假冒的WiFi網絡。而這套設備的成本也很低，只需要100多元，而且小巧便攜，可以直接裝在連帽衫里，隨時逃逸。

張凱表示：要防御假冒WiFi，先要讓公眾提升安全意識，在涉及資金交易等敏感數據的場合盡量不要通過公共WiFi進行;同時，要通過立法的方式，讓公共WiFi的提供者確保網絡連接的安全性，即“誰接入，誰負責”。也就是說，一家咖啡店如果為顧客提供WiFi，那么就要投入資金和設備來確保連接的安全，不然就不能開這個熱點。

另外，手機木馬病毒數量增長迅速，偽裝手段越來越有迷惑性，正成為移動支付中最大的威脅。目前，手機木馬主要通過釣魚短信向用戶傳播，黑產者會偽裝成朋友、親戚、老師、銀行客服甚至“小三”，引誘用戶點擊惡意鏈接。

互聯網巨頭如何應對這些問題？在本屆世界互聯網大會的網絡安全論壇上，騰訊公司信息安全執行委員會主任楊鵬做了主題為“網絡黑產打擊與用戶隱私保護”的演講;而該公司信息安全業務負責人在接受《新民周刊》采訪時表示，針對手機木馬，他們建立了偽基站打擊平臺，黑產者在通過偽基站給周圍的用戶發木馬短信時，該公司相關產品能夠監測到，并及時反饋給警方精確打擊。另外，他們正在產品中采用人臉識別技術作為身份驗證手段，提升安全性。

面對網絡黑產的威脅，騰訊以“雷霆行動”應對。這項2014年1月展開的行動，研究網上黑產不法信息存在的特點，沉淀黑產數據庫，通過大數據分析，把握網絡黑產的動向和作案方式，實現早發現、早準備、早對抗的打擊方式;加強重點產品平臺的清理策略，并對有害信息進行最大程度的過濾。

該負責人表示，移動支付領域的黑色產業鏈正逐漸團伙化、專業化。借助互聯網技術的便利性，木馬病毒制作者、傳播者、洗錢者分工明確，經常進行跨平臺、跨地區的合作犯罪性。網絡黑產實際上是整個移動支付行業面臨的共同挑戰，打擊黑產也需要強大的生態化聯動力量。為此，2015年9月15日，騰訊“雷霆行動”攜手京東、微店、滴滴出行、58同城、大眾點評等行業伙伴，啟動聯合打擊網絡黑產的“戰馬計劃”。

對公眾進行持續全面的安全知識普及，鼓勵群眾舉報也是必不可少的。“雷霆行動”設立了1000萬掃黑舉報獎金，為提供舉報信息并幫助警方破案的網友提供從2000元開始，最高10萬元的獎勵。截至2015年底，雷霆行動配合深圳、廣州、北京、江蘇、廣西等多地警方偵破各類網絡犯罪案件394起，抓獲犯罪團伙嫌疑人1023人，涉案金額6580萬元人民幣;獎勵舉報人290萬元。

除了網絡黑產外，不容忽視的是，以IS為代表的恐怖組織對網絡的利用程度之深，給當前的網絡安全提出了新的議題。

前些時間，一份34頁的“IS網絡安全手冊”開始流傳。在這份手冊里，IS教他們的成員如何“安全上網”。在張凱看來，這雖然是恐怖組織的手冊，但其中提到的網絡安全原則卻非常值得所有網民和機構借鑒：例如多重加密賬戶、使用足夠復雜的密碼并經常更換、采用安全手機、不點擊可疑鏈接、在沒有手機信號的情況下依然可以用手機通信……

根據手冊中透露的大量技術細節指導來看，其對漏洞和新科技的走向判斷很準確。而從現實情況來看，在前不久巴黎的恐怖襲擊中，“安全的”通信工具很可能成為恐怖分子的一大幫兇。“IS比很多正規的互聯網公司對網絡安全有更深的理解。”看過手冊的一位中國互聯網安全研究員如是說。這就意味著，我們要在網絡上戰勝IS這樣的恐怖組織，首先要比它們更有網絡安全意識。

張凱透露，盡管IS在網絡安全上的防范意識很高，但從技術上而言，還是可以找到它們的蛛絲馬跡并且攻破的。“只是這樣的代價很大，因為要從海量的信息中抓取可疑線索，耗費的時間和資源都很多。”如果只是某個機構、某個國家在做這件事，力量是不夠的;同時，恐怖主義是全球性的，網絡反恐必然需要跨國合作，需要各國之間建立更為順暢的溝通渠道，這就更多牽涉到政治層面了。

作為負責任的大國，中國非常重視網絡安全的國際合作。習近平主席在第二屆世界互聯網大會的開幕式上強調：“網絡安全是全球性挑戰，沒有哪個國家能夠置身事外、獨善其身，維護網絡安全是國際社會的共同責任。各國應該攜手努力，共同遏制信息技術濫用，反對網絡監聽和網絡攻擊，反對網絡空間軍備競賽。”