文/阿碧
网络安全保卫战
Crowd Violence
文/阿碧
网络空间是人类第二生存空间,是继领土、领海、领空和太空之后的第五主权空间。如何依法治理网络空间,是摆在世界各国政府面前的棘手问题。
欧洲在欧洲,网络犯罪也日益泛滥。统计数据显示,全球每天约有一百万人成为各种网络犯罪的受害者,而网络犯罪每年导致受害者损失大约五千亿美元。欧洲民众对网络安全非常担忧,89%的网络用户会避免在网上公布个人信息,12%的网络用户曾遭受过网络欺诈。为此,欧盟委员会于2012 年12月成立了欧洲网络犯罪中心,以保护欧洲民众和公司不受网络犯罪的危害。欧盟委员会内政事务委员塞西莉亚·马尔姆斯特伦说,这一机构将提高欧盟打击网络犯罪的能力,从而维护一个自由、开放和安全的互联网。欧盟委员会称,由于网络犯罪的特殊性,在调查时往往涉及数以百计的受害者,加上犯罪嫌疑人又在全球不同地区,单靠一个国家的警力难以胜任。欧洲网络犯罪中心成立后,可以整合欧盟各国的资源和信息,支持犯罪调查,从而在欧盟层面上找到解决方案。
2012年12月2 8日,第十一届全国人大常员会第三十次会议表决通过了《关于加强网络信息保护的决定》。决定明确规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”此次立法对公民的网络信息安全进行保护,特别将公民个人电子信息安全的保护提升到了十分显著的位置,这是我国信息安全立法的重大突破,也标志着我国法制建设的更进一步。目前,世界各国的政府、网络服务商、网络用户都在一起努力,共同参与网络安全保卫战,有效防御和打击网络犯罪。那么,究竟可以采取哪些技术来有效保护网络安全呢?
美国美国各级执法部门也在整合资源,加强合作,更加严厉地打击日益猖獗的网络犯罪行为。目前,美国境内的网络犯罪行为日益猖獗,电脑、智能手机等终端和其他信息技术成为犯罪组织和个人从事网络犯罪的工具。2012年10月,美国奥兰治县为了打击网络信息犯罪,建立了“区域性计算机取证实验室”。这个实验室耗资七百万美元、历时三年建成,它已经开始为南加利福尼亚地区执法部门提供服务。通过这个实验室可以对网络犯罪的各种数据进行分析,帮助执法部门追踪网络犯罪嫌犯和组织。该实验室所追踪的网络犯罪行为包括传播电脑病毒、安插恶意软件、信用卡欺诈、黑客入侵、盗用网络身份、网络色情和网络“钓鱼”等。在美国,已经建立了十五个“区域性计算机取证实验室”。自联邦调查局在全美各地建立实验室以来,网络犯罪调查工作更加规范化,案件侦破率有所提高,美国的个人电子信息安全得到进一步加强。
中国在我国,网络安全的突出问题是网络信息犯罪。比如,光是电信诈骗一项,一年的涉案金额就多达60~70个亿。2011年,我国城镇居民人均可支配收入是2.1万多元。也就是说,按这个指标来换算,骗子们点点鼠标,打打电话,就能让超过十万个三口之家全年的收入血本无归。据公安部的统计,近年来,电信诈骗案件持续高发,不法分子通过拨打网络电话、发送手机短信,以获奖扣税、电话欠费、法院传票、社保信息被盗用、汽车退税等借口,冒用金融、社保机构和执法机关的名义实施诈骗。社会财富来之不易,不能任由骗子蚕食鲸吞。只有遏制信息诈骗犯罪,人们才会拥有安全感,社会才能安定祥和。 为此,我国在制定或者修改侵权责任法、刑法修正案、居民身份证法等法律时,完善了惩处危害网络安全和信息安全的违法犯罪行为,对侵犯公民个人信息和隐私等行为做出了刑罚方面的规定。
互联网上流传一句很有名的话:“在互联网上,没有人知道你是不是一条狗。”这就是网络的一个重要特征——匿名。这个特征让许多人沉溺于网络的虚拟身份和虚拟交往,人们享用到不同于现实的便捷性社交模式。然而,匿名也成为网络犯罪的根源之一。匿名加大了警方侦察犯罪活动的成本和难度,许多犯罪分子由此逍遥法外。由于目前网络犯罪的报案率和破案率都相对较低,越来越多的犯罪分子则逐渐把罪恶之手从现实转移到网络上。由于缺乏有效的监管,网络也正在逐渐成为一个失控的地带。匿名上网使人们不再谨言慎行。网络辱骂、造谣诽谤、恶意“人肉搜索”等网络暴力事件层出不穷,一些受害者甚至为此付出了生命的代价。利用网络可以轻而易举地捏造身份,也为信用卡诈骗等形形色色的网络犯罪提供了滋生的土壤。
如何应对日益混乱的网络世界?有人认为,推行网络实名制是一条可行的解决之道,它将为人们带来一个更安全、更友好的网络环境。全球最大社交网站脸谱网(Facebook)是率先采用网络实名制的网站之一。要成为该网站的用户必须使用实名注册。每次登录网站后,无论是发布、传送信息还是标记照片,用户的一言一行都会与线下的真实身份挂起钩来。自2008年以来,陆续有不少网站与脸谱网进行了整合,访问网站的网民中只有脸谱网用户才有发表评论的权利。这样一来,这些网站等于间接实现了实名制,因为每篇评论的作者身份都将有据可查。一些网站表示,与脸谱网的整合对于净化网上评论的效果可谓立竿见影。未整合前,有的网站几乎近一半的评论内容均为各种乌七八糟的垃圾信息,而现在绝大多数都是言之有物的有价值评论。
目前,包括新浪、搜狐、网易、腾讯在内的国内四大微博服务网站已经实行实名制认证。在网络匿名时代,不少网民为了保护自己的个人信息,往往在注册时故意输入错误的信息。实施网络实名制之后,网络对用户信息的真实性会通过技术手段(比如和警方的身份证系统联网)进行相关的认证,认证不能通过者就不能完成注册。这引发了网民对个人隐私泄露的担心。其实,在网络匿名时代,几乎所有网站都需要注册用户填写较为详细的个人信息,这些信息可能被转卖,也可能被窃取。大部分网民都老老实实地填写自己的真实个人信息,而那些网络犯罪分子的个人信息百分之百是假的。因此,网络匿名看似保护了个人隐私,实际上不但不能保护我们的电子隐私信息,反而“保护”了网络犯罪分子的身份信息。与此相反,实施实名制之后,每个人在网络上的行为举止能和行为者的真实身份挂钩,可以让警方像现实世界一样对犯罪行为进行追踪,这种追踪甚至可以更加快捷、高效。
世上没有完美无缺,再高明的犯罪分子在登陆网络时也会留下蛛丝马迹,综合起来就成了数字指纹。
尽管不少网站开始对用户身份进行监控和管理,但是还有很多网站没有实名制,即使实施实名制的网站也难以完全杜绝犯罪分子的身份资料造假行为。为此,一些研究人员开发出一些网络身份识别技术。就像现实生活中追踪犯罪分子会用到指纹一样,警方对网络犯罪也会搜索数字指纹。无论犯罪分子多细心、技术手段多高明,他们在登录网站时都会留下许多蛛丝马迹,这些痕迹综合起来就构成了数字指纹。这些痕迹包括以下几个方面:电脑中的字体,屏幕尺寸和显示精度,所安装的软件,IP地址,常用的语言,操作系统和所使用的版本,电脑、智能手机等设备的名称和型号,等等。
英国研究人员还开发出一种电子邮件写作风格识别软件,令警方可以有效查找利用电子邮件犯罪的人员。近年来,通过电子邮件发送垃圾信息、传播病毒,甚至实施诈骗的现象日益猖獗,造成的危害越来越大。为逃避处罚或是诱骗人们上当,这些邮件的发送者往往利用各种方法隐藏真实身份。然而,一些个人写作风格会泄露邮件书写者的真实身份。比如,有人喜欢用长句子,有人喜欢用短句子,有人习惯写得比较正式,有人习惯写得亲切自然,如果是英文邮件,可能还会存在各种细微的拼写差异,等等。要伪造邮件发件人姓名和地址很容易,但要惟妙惟肖地模仿邮件写作风格则困难得多。基于这一原理,一些软件通过特定的算法程序对电子邮件的写作风格进行分析。经测试,此类软件对邮件作者的身份识别准确率已达70%。专家预测,随着技术的不断成熟和完善,准确率还能进一步提高。
一旦发生网络上的个人信息窃取、篡改、非法访问的事件,难道用户只能被动挨打、自认倒霉吗?答案当然是否定的。现在,警方可以利用计算机取证和安全监控技术加强对网络的监管,增强网络的安全性:用户自己也可以利用取证和监控工具对重要的目标(虚拟主机、物理主机、敏感数据、网络流量等)实施监控,监控网络中可能发生的异常行为。当网络安全事件发生时,马上进行应急响应取得证据,利用监控数据或电子证据追溯异常行为所产生的源头,为下一步司法介入铺平道路。
如何保护好个人电子信息?从用户个人的角度来说,个人平时要养成不要在网络上发布隐私、敏感或保密信息外,还要保存好自己的相关网络账户及密码,对密码的设置要尽量复杂以增强安全性。更为重要的是,网络服务商正在加大技术开发力度,利用一些新技术来保护个人信息安全。访问控制是服务商增强网络信息安全的最重要的一个环节,它包括认证和授权两个方面。适当的访问控制可以保护网络服务器免受外来攻击,确保网络平台自身的安全;还可以满足网络用户的数据独立性,在未经授权的情况下,网络用户不能访问其他人的数据。
加密是服务商保证用户信息安全的基本手段。一部分与具体应用程序不相关联的数据是可以进行加密的,人们使用电子邮件、网络银行、即时通信等网络工具都需要加密。在服务商主动对用户的文件进行加密的同时,有时也需要用户对自己的账户和上传的文件进行加密,只有自己或获知密码的亲朋好友才能查阅。目前,对于一些可以公开发布个人信息的平台,如博客、微博、个人主页等,服务商是不会对这些信息进行主动加密的,因为网络的特点就是公众分享相关信息,如果对信息进行加密,就无法进行公开的查询和检索。因此,如果个人用户需要既要保护个人信息,又想在适当范围内和他人分享,则需要选择一些可以对信息进行加密的网站和软件。
栏目主持人:刘雨 lymjcfy@163.com