新安全 共擔(dān)當(dāng)

錢玉娟

要建設(shè)一個(gè)良好的網(wǎng)絡(luò)生態(tài)環(huán)境，其目的是對(duì)網(wǎng)絡(luò)社會(huì)每個(gè)領(lǐng)域發(fā)展提供有效保障，需要各方多元化協(xié)同治理，共同打造互聯(lián)網(wǎng)的安全新局面。

6月28日，全球再次出現(xiàn)大規(guī)模網(wǎng)絡(luò)攻擊事件，新一輪超強(qiáng)電腦病毒在俄羅斯、英國等歐洲多個(gè)國家迅速蔓延，俄羅斯最大的石油公司、烏克蘭銀行和一些跨國企業(yè)被報(bào)告感染病毒。而僅在一個(gè)月內(nèi)，勒索病毒席卷全球，短短一周時(shí)間里，上百個(gè)國家和地區(qū)受到影響，至少30萬臺(tái)電腦被病毒感染。

如此連續(xù)且強(qiáng)烈肆虐的病毒，為人們的網(wǎng)絡(luò)安全意識(shí)敲響了警鐘。而今，全球化和信息技術(shù)的廣泛應(yīng)用已然“連接”一切，同時(shí)也讓威脅不斷升級(jí)。如何維護(hù)網(wǎng)絡(luò)世界安全，共建網(wǎng)絡(luò)生態(tài)環(huán)境已成為當(dāng)前不可回避的重要議題。正是在此背景下，2017年網(wǎng)絡(luò)安全生態(tài)峰會(huì)（簡稱ISS）如期在北京舉行。

《中國經(jīng)濟(jì)信息》記者了解到，始于2014年的ISS致力于網(wǎng)絡(luò)安全生態(tài)領(lǐng)域建設(shè)，由中央網(wǎng)信辦網(wǎng)安局指導(dǎo)，中國互聯(lián)網(wǎng)協(xié)會(huì)、中國網(wǎng)絡(luò)空間協(xié)會(huì)、阿里巴巴集團(tuán)、螞蟻金服集團(tuán)聯(lián)合主辦。在今年主題為“新安全，共擔(dān)當(dāng)”的峰會(huì)上，匯集了眾多互聯(lián)網(wǎng)行業(yè)領(lǐng)軍企業(yè)和人物，他們就如何維護(hù)網(wǎng)絡(luò)安全、建設(shè)生態(tài)網(wǎng)絡(luò)環(huán)境，推動(dòng)中國互聯(lián)網(wǎng)事業(yè)的安全發(fā)展展開討論。

嚴(yán)厲打擊“黑灰產(chǎn)”

“這是最好的時(shí)代，但也是最壞的時(shí)代。”邵曉鋒認(rèn)為，以互聯(lián)網(wǎng)大數(shù)據(jù)為代表的信息技術(shù)革命，對(duì)人類社會(huì)產(chǎn)生著極大的推進(jìn)作用。然而像不久前爆發(fā)的勒索病毒一樣，各種利用互聯(lián)網(wǎng)技術(shù)偷盜、詐騙、敲詐等案件不斷發(fā)生，各種圍繞互聯(lián)網(wǎng)的黑灰產(chǎn)業(yè)正以極快的速度蔓延。

從各個(gè)主要國家的統(tǒng)計(jì)數(shù)據(jù)看，每年涉及互聯(lián)網(wǎng)的犯罪以超過30%的增速在增長。“國內(nèi)各種系統(tǒng)攻擊、竊取信息、利用互聯(lián)網(wǎng)平臺(tái)進(jìn)行敲詐、偷盜、勒索、欺詐等犯罪行為，也在迅速增長。”邵曉鋒指出，據(jù)測算，僅中國“網(wǎng)絡(luò)黑產(chǎn)”從業(yè)人員就已超過150萬，市場規(guī)模也已高達(dá)千億級(jí)別。“互聯(lián)網(wǎng)黑灰產(chǎn)對(duì)國家、企業(yè)和公民個(gè)人都造成了巨大的威脅。”

基于互聯(lián)網(wǎng)大數(shù)據(jù)而產(chǎn)生的一些新行業(yè)在迅速發(fā)展中，伴隨產(chǎn)生了大量的“黑灰產(chǎn)”。“黑灰產(chǎn)”是指黑色、灰色兩條產(chǎn)業(yè)鏈。國家互聯(lián)網(wǎng)應(yīng)急中心對(duì)“黑產(chǎn)”的范圍進(jìn)行了界定，包括三類：一是發(fā)動(dòng)涉嫌拒絕服務(wù)式攻擊的黑客團(tuán)伙，二是盜取個(gè)人信息和財(cái)產(chǎn)賬號(hào)的盜號(hào)團(tuán)伙，三是針對(duì)金融、政府類網(wǎng)站的仿冒制作團(tuán)伙。灰產(chǎn)則是指“惡意注冊(cè)和虛假認(rèn)證”，由于其行為本身沒有直接產(chǎn)生危害后果，系游走在法律邊緣，因而得名，是黑產(chǎn)的上游產(chǎn)業(yè)鏈。

邵曉鋒指出，當(dāng)下時(shí)代不僅給予業(yè)內(nèi)同仁以責(zé)任，更給予了機(jī)遇。在他的理解中，“‘新安全就是基于互聯(lián)網(wǎng)大數(shù)據(jù)這一信息技術(shù)革命背景下，我們的能力提升、機(jī)制提升、技術(shù)提升，把所有單點(diǎn)防御、被動(dòng)防御更多變成聯(lián)合防御、聯(lián)合打擊、主動(dòng)防御。”更為理想的狀態(tài)是，或?qū)⑿纬梢粋€(gè)集企業(yè)政府、公民個(gè)人、專業(yè)機(jī)構(gòu)等立體聯(lián)動(dòng)的構(gòu)建體系，以保衛(wèi)互聯(lián)網(wǎng)的生態(tài)安全，真正把互聯(lián)網(wǎng)大數(shù)據(jù)帶來的新時(shí)代變成一個(gè)最好的時(shí)代。

安全需要“生態(tài)聯(lián)動(dòng)”

早在2005年，為了“天下無賊”，支付寶就曾在業(yè)內(nèi)率先推出“你敢付、我敢賠”的承諾，用戶資金被盜后全額獲得賠付。面對(duì)全新的網(wǎng)絡(luò)安全形勢，井賢棟在會(huì)上宣布升級(jí)保障計(jì)劃，正式推出“你敢掃，我敢賠”服務(wù)，對(duì)用戶的安全保障范圍從線上延伸到線下，用戶在線下掃碼導(dǎo)致被盜，商家的二維碼被調(diào)換、被覆蓋造成資損的，都將獲得賠付。

在井賢棟看來，安全是新金融發(fā)展的基石，沒有強(qiáng)大的安全做保障，就沒有新金融的未來。隨著新金融的發(fā)展，網(wǎng)絡(luò)安全也出現(xiàn)了一些新挑戰(zhàn)。“只有運(yùn)用技術(shù)驅(qū)動(dòng)，采取生態(tài)共建的方式，加上企業(yè)勇于擔(dān)當(dāng)，才能共同推動(dòng)網(wǎng)絡(luò)安全升級(jí)，護(hù)航新金融。”

另外，新金融要以用戶為中心，使安全將更注重與用戶體驗(yàn)的平衡。在線上線下一體化的趨勢下，一端的風(fēng)險(xiǎn)可能來源于另一端，安全的內(nèi)涵在不斷延伸。“以前用戶更關(guān)注的是資金安全，現(xiàn)在，數(shù)據(jù)安全、隱私保護(hù)也是用戶十分關(guān)心的安全問題。”不僅網(wǎng)絡(luò)灰黑產(chǎn)業(yè)鏈的作案手段不斷翻新，甚至網(wǎng)絡(luò)安全事件也呈現(xiàn)出了生態(tài)環(huán)節(jié)交叉?zhèn)鲗?dǎo)的情形，一個(gè)環(huán)節(jié)上出現(xiàn)漏洞可能影響到其他環(huán)節(jié)。

“在這一新形勢下，網(wǎng)絡(luò)安全的參與方需要升級(jí)技術(shù)、生態(tài)和責(zé)任。”技術(shù)將成為安全的核心驅(qū)動(dòng)力。井賢棟披露，目前支付寶的資損率已長期小于百萬分之一，而運(yùn)用“人臉+眼紋”等生物識(shí)別技術(shù)后用戶身份識(shí)別率則達(dá)到99.99，超過人眼的97%。在井賢棟看來，網(wǎng)絡(luò)安全需充分運(yùn)用創(chuàng)新技術(shù)，變“人防”為“技防”。

安全需要從“單維治理”變“生態(tài)聯(lián)動(dòng)”。井賢棟倡議，行業(yè)各方、科研部門、執(zhí)法部門等不同主體之間開展全面合作。螞蟻金服作為一家科技公司，已對(duì)外開放了部分安全技術(shù)，幫助金融機(jī)構(gòu)、商戶提升安全能力。“未來將有更多的安全技術(shù)和能力開放，攜手各方，創(chuàng)造更安全的數(shù)字金融環(huán)境。”

人性化服務(wù)“三準(zhǔn)則”

“網(wǎng)絡(luò)黑產(chǎn)技術(shù)發(fā)展‘迅速，以往技術(shù)一刀切的應(yīng)對(duì)方法，已經(jīng)不能滿足實(shí)際需要，急需建立網(wǎng)絡(luò)安全人性化服務(wù)。”丁珂指出，針對(duì)當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)黑產(chǎn)形勢，騰訊安全基于以往18年的黑產(chǎn)打擊經(jīng)驗(yàn)，從實(shí)際需求出發(fā)，首次提出了網(wǎng)絡(luò)安全人性化服務(wù)的“三條準(zhǔn)則”。

一個(gè)不容忽視的事實(shí)是，安全技術(shù)的最終目的是保護(hù)好人，打擊壞人。但為何在某些階段卻反倒讓很多好人受到困擾。“這是一個(gè)很復(fù)雜的問題。”恰恰為了解決這一困擾，騰訊安全形成了一套以“技術(shù)升級(jí)、人性服務(wù)、可信保障”三個(gè)維度為準(zhǔn)則的人性化服務(wù)體系。

“技術(shù)升級(jí)是人性化服務(wù)的基礎(chǔ)保障。”丁珂說，作為全球最大的安全云庫，騰訊安全云庫積累了包括詐騙電話、銀行賬號(hào)、木馬病毒、釣魚網(wǎng)址等在內(nèi)的數(shù)億反詐騙大數(shù)據(jù)，通過大數(shù)據(jù)算法進(jìn)行機(jī)器學(xué)習(xí)和批量處理可智能識(shí)別惡意網(wǎng)址，每天識(shí)別惡意網(wǎng)址百萬級(jí)，有效打擊黑產(chǎn)，避免技術(shù)誤判。

“第二是建立面向站長人性化服務(wù)標(biāo)準(zhǔn)體系。”據(jù)丁珂介紹，騰訊安全與站長合作建立了Notice協(xié)議，通過制定標(biāo)準(zhǔn)化通知協(xié)議，建立站長和安全廠商的聯(lián)系通道，確保第一時(shí)間幫助站長定位并解決問題。與此同時(shí)，騰訊安全還推出了站長服務(wù)平臺(tái)，協(xié)助站長更好地推送網(wǎng)站漏洞、被利用的鏈接，更好地降低安全問題對(duì)用戶和站點(diǎn)帶來的影響。endprint

“更重要的是，騰訊安全還面向監(jiān)管機(jī)構(gòu)、行業(yè)開放合作建立起可信保障體系。”丁珂說到，在與政府權(quán)威部門合作打擊黑產(chǎn)的實(shí)踐中，騰訊成立的守護(hù)者計(jì)劃以大數(shù)據(jù)構(gòu)建反詐騙閉環(huán)，通過串聯(lián)起公安、銀行、互聯(lián)網(wǎng)企業(yè)、運(yùn)營商、網(wǎng)民五大閉環(huán)，形成事前預(yù)防、事中提醒、事后挽救的反詐騙全產(chǎn)業(yè)鏈生態(tài)共治體系，既有效保護(hù)了網(wǎng)民財(cái)產(chǎn)安全，還在信任的基礎(chǔ)上共同構(gòu)筑起綠色的網(wǎng)絡(luò)空間環(huán)境。

安全攻防也有新趨勢

作為國際知名的安全專家，鄭文彬曾帶領(lǐng)360安全戰(zhàn)隊(duì)在今年P(guān)wn2Own世界黑客大賽上成功加冕“Master of Pwn”（世界破解大師）總冠軍。他指出，勒索病毒在今年出現(xiàn)兩次大規(guī)模爆發(fā)，全球多國企事業(yè)單位、政府系統(tǒng)、銀行系統(tǒng)、高校網(wǎng)絡(luò)受到感染，更為值得警惕的是，自去年起，微軟和 Adobe 的零日漏洞被攻擊的案例也頻頻出現(xiàn)。“政府、安全廠商以及公眾都應(yīng)該意識(shí)到網(wǎng)絡(luò)武器庫、漏洞庫泄露帶來的惡劣影響，安全廠商應(yīng)在基礎(chǔ)安全設(shè)施以及漏洞對(duì)抗技術(shù)、虛擬化安全、安全的虛擬化方面做出努力。”

面對(duì)不斷升級(jí)的黑客攻擊，安全廠商應(yīng)該如何提高戰(zhàn)斗武力值？360作為國內(nèi)最大的網(wǎng)絡(luò)安全企業(yè)，不僅在事件公開后緊急推出了“NSA武器庫免疫工具”，能夠一鍵檢測修復(fù)NSA黑客武器攻擊的漏洞，對(duì)XP、2003等已經(jīng)停止更新的系統(tǒng)，免疫工具可以關(guān)閉漏洞利用的端口，防止用戶計(jì)算機(jī)被病毒入侵。鄭文彬說，“通過攻破最新操作系統(tǒng)、手機(jī)、最新的瀏覽器、應(yīng)用、最新的虛擬機(jī)，可以告訴公眾真實(shí)世界的威脅和可能性，也告訴軟件廠商和安全廠商，真實(shí)攻擊的向量和防御方向。”

鄭文彬還建議，應(yīng)對(duì)不斷升級(jí)的公共安全威脅，軟件廠商和安全廠商要注重基礎(chǔ)安全設(shè)施建設(shè)，同時(shí)在漏洞對(duì)抗技術(shù)、虛擬化安全以及安全的虛擬化方面加強(qiáng)研究，不斷推出更優(yōu)質(zhì)的解決方案。另外，公眾、企業(yè)也需要提高安全意識(shí)，了解最新的網(wǎng)絡(luò)攻擊方法，確保個(gè)人信息安全。同時(shí)，當(dāng)前的網(wǎng)絡(luò)攻擊往往呈現(xiàn)出全球化、異地攻擊的趨勢，國家安全層面也需要建立完善的應(yīng)急處理機(jī)制，確保網(wǎng)民使用安全。

結(jié)束語：

當(dāng)前，中國已經(jīng)成為名副其實(shí)的網(wǎng)絡(luò)大國，網(wǎng)民人數(shù)全球第一，但繁榮之下也暴露出諸多安全隱患和問題。數(shù)據(jù)顯示，截止目前國內(nèi)有近3億人曾遇網(wǎng)絡(luò)詐騙。我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律《網(wǎng)絡(luò)安全法》也應(yīng)聲落地。

但獨(dú)行快，眾行遠(yuǎn)，維護(hù)網(wǎng)絡(luò)安全推動(dòng)網(wǎng)絡(luò)治理和秩序構(gòu)建，既要求各方加強(qiáng)合作，更亟需各方創(chuàng)新技術(shù)，用科技賦能社會(huì)治理，助力互聯(lián)網(wǎng)生態(tài)健康發(fā)展。endprint