聚焦媒体“隐形战线”

本刊记者｜闫城榛

互联网的迅猛发展极大地改变了人类的生活方式，给世界的经济、政治、文化带来了深刻的影响。但同时，随着互联网的普及，网络的安全问题却日益突出。

个人隐私愈受关注

据报道，全球平均每20秒钟就发生一起Internet计算机侵入事件，大量的政府和门户网站被攻陷。国外的政府网站及知名商业网站等都先后被黑客攻击导致服务中断，造成了很大的影响和损失。而在我国，每年因黑客入侵、计算机病毒的破坏给企业造成的损失同样令人触目惊心。计算机及计算机网络的安全问题正引起政府部门、企事业机关的高度重视。

媒体由于其特有的社会属性，通常承担着信息发布、舆论引导、社会服务等重大责任，其重要性不言而喻。信息安全已然成为了媒体在互联网时代的“隐形战线”——看不见、摸不着，却至关重要。严重的信息安全事件将会造成极大的政治、经济和社会影响。如何降低媒体信息安全风险，确保系统数据信息的安全性和可靠性，保障业务安全平稳的运行，同样是安全建设媒体工作系统的重点。

“隐私（Privacy）是每个人所保有的权利——能否选择孤独生活的权力。去银行取钱，你的资金情况有可能被别人获取；拿着手机，你的行动轨迹有可能被别人获取；哪怕是在IM上发表观点，也怕政治倾向有可能被别人获取；去医院看病，你的健康状况有可能被别人获取。而隐私，就是你选择这些信息不被他人获取的权利。” 360公司副总裁兼首席隐私官谭晓生在采访中对记者说。

2014年5月，一项由约瑟夫•朗特里改革基金会发起的调查显示，85%的网民认为，上网浏览记录等信息的保密工作“相当重要”；英国市场调研公司Mori最新的调查显示，仅有12%的受访者认为这些隐私是否被监控无所谓。2013年12月18日，联合国大会通过了一项 “数字时代隐私权”的决议。决议强调，隐私权是民主社会的基础之一，非法或任意监控通信以及收集个人数据，是侵犯隐私权和言论自由权利的行为，背离了民主社会的信念。决议也要求各国建立有效的国内监督机制，确保涉及通信监控和截取、以及对个人数据收集的透明度，并接受问责。

这项决议虽然没有强制效力，却在政治和道德层面体现了国际社会对保护网络和电子通讯使用者隐私权的态度，表达了对越界情报行动以及对个人数据大规模搜集的批评与忧虑，而这或许是斯诺登以及“棱镜门”带给整个世界的一个巨大的改变。

大数据和云计算 皆为“双刃剑”

如果说隐私是个人问题，那么信息安全则是全体人类社会所面临的共同课题。信息安全本身包括的范围很大。大到国家军事政治等机密安全，小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。

“信息安全中间的有一部分与隐私相关。通俗来说，信息安全是针对于信息的安全保障。”谭晓生说：“在没有计算机之前，政府核心部门的某份重要文件被窃取，其实也是信息安全被破坏的表现。当今，我们进入了网络时代，信息被数字化，无须通过物理上的接触就可以通过网络将指定信息窃取或破坏。”

“破坏信息安全”在不同的时代上演着不同的演绎方式，从物理上的窃取 文件，到无线电时代的电波干扰，再到互联网时代通过光纤对信息的进行的窃取和破坏。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。

大数据指对不同来源的海量数据进行分析并从中获得所需信息的一类技术。比如在这个数字时代，人们会经常收发邮件、网上购物、社交媒体发帖……每天都会产生大量数据。如果企业对这些数据进行有效分析，就能从中挖掘出巨大价值。

对此，新华社通信技术局信息安全办公室副主任肖国煜有所感慨道：“现在，很多公司都说自己与其说是‘互联网公司’，不如说是‘数据’更为妥当。其实对于当代的媒体也是一样的。在从前，传统主流媒体处于居高临下的主导地位；而如今进入互联网时代，信息更多的是以平等交流的方式传播。媒体需要采集、保存海量的数据对用户进行分析，而且是从原来的商业消费的行为分析，转变为信息消费的行为分析。”

但大数据时代的信息安全也存在巨大的隐患。全国人大代表、天津市经济和信息化委员会主任李朝兴将大数据时代的信息安全问题表现总结为三个层次：第一是网络安全。李朝兴说，我国目前的网络产业无论硬件软件都处于不设防的状态，使用的大多是国外企业生产的产品或者技术，网络本身不是自主研发的，很可能会因“后门”造成信息泄露，而发达国家在这方面则控制得很严。第二是数据安全。“我们存在邮箱、云端甚至电脑终端里面的数据，通过网络都有可能泄露出去，但目前的法律对此没有明确的规定，这些数据的所有权归谁？是否应该归产生数据的人自身所有呢？”李朝兴说。第三是信息安全。数据一旦泄露，稍加分析和加工就变成了有用的信息，对个人而言是隐私，而对企业乃至国家机关而言则有可能是机密。

提起大数据，就不能不谈谈云计算。云计算加快了数据的沉淀，为大数据的快速处理和分析提供了足够的计算能力，并且将计算变成一种公共服务，通过互联网输送到千家万户。

云计算的发展势头近年来日益迅猛，众多企业开始享受云计算便利的计算资源服务、大数据沉淀与挖掘带来的产业创新同时，业界也一直存在关于云服务安全方面的挑战与质疑。2013年，亚马逊AWS战胜IBM获得美国中央情报局6亿美元云计算系统订单，给质疑云计算安全的声音泼了一次冷水，对全世界范围内的云计算云服务进程是一次不小的推动。在中国，云计算服务经过3年多的发展实践，已经有了不小的规模，同时也产生了国外尚未涉足、对安全要求更高的金融行业等新的云计算服务领域。比如目前国内最大的单只基金-余额宝，国内第一家互联网保险公司-众安在线均是构建在阿里云的云计算平台上。

当然，对这一新鲜事物质疑与担忧也不少，据统计国内50%的企业不敢使用云计算服务的主要原因是对安全问题的担忧，现任阿里巴巴集团首席技术官王坚博士的观点认为“云计算更安全，这是一个思维变革的过程。”

云计算的特点是把信息化的资源颗粒化，比如存储、计算、软件、数据、管理资源，这些资源虚拟化而且被颗粒化以后形成各种资源池然后统一整合进行管理和利用，实时的按需分配。“就好比是以前家家户户自己打井汲水，现在由自来水公司集中管理全市用水，并且通过管道将自来水输送到各家各户。从井水到自来水的变迁让千家万户喝上了放心水，省去了挖井打水的功夫，不会有人担心自来水公司被投毒而拒绝接入自来水。”

“事实上，云比原来的方法更安全，就好像把钱放在银行事实上会比放在枕头底下更安全一样，需要克服的是心理障碍”。王坚博士认为这是一个思维变革的过程。

审查制度即将推出网络安全重要性到达新高度

中共中央总书记、中央网络安全和信息化领导小组组长习近平不久前提出“没有网络安全就没有国家安全，没有信息化就没有现代化”，“努力把我国建设成为网络强国”等重要论断，把对网络安全和信息化重要性的认识提到了一个新的高度，成为了国家战略层面的问题，为下一步推进网络信息安全和信息化建设指明了方向。

各种迹象表明，网络安全已经成为国家高层非常重视的问题，从中央网络安全和信息化领导小组的成立，到国际电联专门推出全球网络安全指数新概念；从美国政府“严密审查”联想收购IBM的低端x86服务器部门，到微软Windows XP“退役”引发中国两亿用户的安全顾虑，网络安全和信息化已成为社会关注的热点。

国家互联网信息办公室于5月22日宣布,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。

记者从国家互联网信息办公室获悉,互联网产品技术的安全性和可控性,将是网络安全审查重点。网络安全审查制度将针对重要信息技术产品及提供者,重点审查产品的安全性和可控性,以防产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。

相比美国已实行了10多年的网络安全审查制度,我国网络安全审查制度的空白短板,在产业层面让我国企业处于被动劣势。同时,无论是个体信息安全的迫切需要,还是国家层面的安全保障,都使得推出网络安全审查制度势在必行。

“信息安全审查机制并不是常规性的门槛制度，而是在发现有可能出现潜在危害时需要采取的必要行动。在这一方面，美、英、法、日等国很早就建立了相关制度。” 对于我国即将推出网络安全审查制度的新闻，中国工程院院士、北京邮电大学原校长方滨兴表示：“在信息安全领域，早就有信息安全产品认证的入市门槛制度，但这是白名单式的放行机制。信息安全审查制度不同，是战术层面的事情，需要通过对提供技术、系统、服务的企业进行背景审查，对所提供的技术、系统、服务的历史情况进行审查，对其带来的潜在危害性进行评估，然后才能考虑是否能够进入市场，或者有条件（例如必须达到某种要求）进入市场。这相当于黑名单式的禁止机制，并不是所有的技术、系统、服务都必须进行信息安全审查，但一旦纳入审查，就不能在未通过审查的前提下进入市场。这种方式可以有效防范那些被举报或被揭发的企业、技术、产品与服务等给我国带来潜在危害。”

信息安全：媒体在互联网时代的“隐形战线”

互联网的迅猛发展极大地改变了人类的生活方式，给世界的经济、政治、文化带来了深刻的影响。但同时，随着互联网的普及，网络的安全问题却日益突出。

据报道，全球平均每20秒钟就发生一起Internet计算机侵入事件，大量的政府和门户网站被攻陷。国外的政府网站及知名商业网站等都先后被黑客攻击导致服务中断，造成了很大的影响和损失。而在我国，每年因黑客入侵、计算机病毒的破坏给企业造成的损失同样令人触目惊心。计算机及计算机网络的安全问题正引起政府部门、企事业机关的高度重视。

大家一定对这样一件事情并不陌生：

北京时间2013年4月24日早间消息，美联社的Twitter账号周二被黑客劫持，并在被黑后发布消息称：“突发新闻：白宫发生两次爆炸，奥巴马受伤。”这一消息迅速在Twitter上引发了强烈反响，几秒钟之内被转发了数百次。但几分钟后，美联社的Twiter账号被暂时关闭，证明该账号遭到黑客入侵。美联社随后表示：“@AP账号被黑，白宫遇袭消息不实。”尽管这一消息只传播了几分钟，但依旧引发了美国股市的短暂跳水，道琼斯工业平均指数在该消息发出后瞬间下跌超150点。在此事件前后发生了一系列针对国际媒体机构的黑客攻击事件，美联社Twitter账号遭窃只是其中的一例。

Twitter的安全问题一直为人诟病。消息在Twitter上快速散播，但平心而论Twitter并不是一个可靠的新闻传播平台。如果Twitter不能采取措施解决其帐号的安全问题，或者不能确保其信息的准确性，Twitter可能将开始面临法律审查甚至诉讼。

其实，这个故事的本土化的版本每天也在中国的网络上重复上演着。扪心自问，当我们的媒体遇到类似事件的时候，是否有足够的能力进行预防、抵御、反击和善后工作呢？

媒体由于其特有的社会属性，通常承担着信息发布、舆论引导、社会服务等重大责任，其重要性不言而喻。信息安全已然成为了媒体在互联网时代的“隐形战线”——看不见、摸不着，却至关重要。严重的信息安全事件将会造成极大的政治、经济和社会影响。如何降低媒体信息安全风险，确保系统数据信息的安全性和可靠性，保障业务安全平稳的运行，是安全建设媒体工作系统的重点。

顶层设计 统筹考虑

“信息化是大趋势，网络安全和信息化密切相关。”清华大学教授、微电子学研究所所长魏少军指出，网络安全是信息化或者说信息基础设施当中需要解决的基本问题。综合考虑网络安全和信息化是一个非常重要的命题，国家需要顶层设计来整体统筹考虑。”

大到一个国家，小到一个企业，在做信息安全建设的时候都需要做好顶层设计，统筹考虑问题，媒体机构也不例外。

肖国煜在工作中体会到：“信息安全并不是从网络安全做起的，而应该是顺应整体业务发展的模式和逻辑而建立。信息安全的建设需要首先做好顶层设计，想清楚业务要求的保护程度，再据此从物理层面到组织层面的环节设计整体运营架构。”

聊到360在做信息安全的顶层设计时，谭晓生沉吟片刻总结出以下几点：“贯彻一个核心理念；不忘四个假设；一流人才是根本。”

他紧接着向记者进行了详细的阐述：

360公司副总裁兼首席隐私官谭晓生

第一，核心理念：信息安全的本质是“攻”和“防”。所谓“未知攻，焉知防？”想要做好防护，必须首先全方位地了解攻击。在建立防御系统的时候，要知道别人会以怎样的方式、途径、利用那些漏洞来进行攻击，才能更有针对性地做防御系统。这四个假设对做信息安全的人员来说称得上是“噩梦”一般的假设，因为它们意味着没有一个架构、一个环节、一个人是绝对牢固、可信任的。但在真正面临信息安全危机的时刻，在这四个假设的指导之下抽丝剥茧、层层排除，才能准确地找到问题的症结所在。

第二，四个假设。

1，假设使用的系统一定存在没有被发现的漏洞；

2.假设已经发现的漏洞，会因为各种原因未能被修补；

3.假设系统今天已经被人渗透了；

4.假设员工是不可靠的。

第三，一流人才是根本。所有“攻”和“防”都需要人，技高一筹，即为胜者，任何公司、机构都需要寻找、培养和留住一流的高手。

从“灭火器”到“滤水器”

中间为阿里巴巴集团首席技术官王坚

在2014年1月发布的《阿里云安全白皮书V1.2》对阿里云的信息安全团队进行了比较详细的阐释。

阿里云全职信息安全团队由超过50名的WEB应用安全、系统和网络安全、安全开发专家组成。这个团队负责设计、开发和运营基于阿里云云计算环境的云安全服务（云盾）；防御各类对阿里云服务、系统和网络的安全攻击及入侵；制定和监督云服务的安全开发流程。同时作为阿里云信息安全管理体系所有者代表方在安全策略和流程方面的设计、归档和执行中扮演重要角色。

（1）设计、开发和运营采用云计算架构和技术的云安全服务（云盾），对使用阿里云云服务的各类网站和应用，提供全自动防攻击和入侵的安全服务，例如防DDoS、防入侵、以及网站安全检测；

（2）依据不同数据类别及其安全等级设计访问控制策略，制定技术隔离措施和访问控制管理流程；

（3）依据代码、应用、系统、网络访问流程，审核访问申请，自动化监控可疑活动（例如：数据的非授权访问及修改）并实时审计；定期复查其执行情况；

（4）制定安全开发流程，并依据数据安全级别界定所有云服务的各环节安全开发要求，通过配置管理系统保证各开发环节遵循其对应的安全要求，并在上线前完成安全加固、通过安全审核；

（5）借助自动化运行在阿里云网络内部和外部的漏洞扫描程序，及时发现问题区域，并在预期的时间表内整治安全漏洞。

（6）遵循信息安全事件管理标准要求，依据对数据安全性的危害程度定义安全事件类别和响应流程，采用全天候系统和人工监控识别、分析和处理信息安全事件；

（7）基于预防和纠正云安全威胁根本成因来制定所有安全策略和控制措施；

（8）采用不断演练的方式评估安全策略和控制措施的适用性，并及时更新；

（9）遵照阿里云安全策略，为员工开发和提供培训课程，包括个人信息保护、数据安全认证和安全开发领域；

（10）通过第三方安全论坛接受外部安全专家的安全评估和建议。

可见，一支健全强有力技术团队是信息安全建设的基础和保障。信息安全团队所担任的不只是在灾难发生后救急的“灭火器”角色，更是在问题发生前防微杜渐、毫不松懈的“滤水器”。

“今天传统的网络安全产品提供商仍然在致力于逐门逐户的推广安全加固的‘井盖和井水净化剂’，安全产品防御容量也从‘企业级’走向了‘电信级’。当很多单位和企业其业务互联网后面对用户不可预知的攻击动机所引发的“现象级’安全保障挑战时，其在信息安全建设方面曾经经历的‘堆产品、上服务、组团队’等安全历程后、仍未能帮助解决‘攻击难预测、服务响应慢、安全人才一将难求’等方面的安全问题。究其原因是对于‘现象级’安全保障挑战，未能具备安全攻击自动响应、弹性防御的能力，从而无法保证安全防御能力不被海量用户的差异化访问而稀释。”王坚对记者说道。

培养企业信息安全文化

在2014年1月发布的《阿里云安全白皮书V1.2》对阿里云的信息安全团队进行了比较详细的阐释。

“信息流动更加便利”是互联网带给这个时代的红利，但同时也产生了一些问题，其一就是人们在互联网上发布的信息是不可能真正意义上“被撤回”的。我们在更加方便快捷地获取所需信息的同时，也一定会付出个人信息更加难以保护的代价。即使在未来有了法律的保护，我们也生活在一个越来越透明化的时代。

然而，人们对于信息安全重视程度仍然处于严重不足的状态。我们的信息、资产越来越数字化，比如工厂的设计图纸、公司的合同等，社会经济越来越数字化，比如工业系统的自动化控制等，与此同时，必须提高人们对于信息安全的重视。你可能无法想象，一只保存了26份机密文件的U盘，只是在非涉密的电脑上插了一下，这26份机密文件就悉数显示在了其他国家情报部门的屏幕上，然而，这些“骇人听闻”的事件是真实存在并在这个世界的每个角落随时上演的。

因而，媒体想要做好信息安全建设，必须从每位员工入手，提高其信息安全意识，培养企业的信息安全文化。

对此，谭晓生对记者分享了他的经验：“那时是2010年，我刚刚接手信息安全这方面的工作，立即对当时的公司高管们进行了一次‘渗透测试’。自此之后的四年里，我在信息安全方面的任何动作都没有遇到任何高管的反对。”谭晓生笑着说道：“当你想要阻止人们的某种行为时，最好的方法是让他们看到这么做的严重性。用事实告诉他们‘信息安全事件随时都有可能在你身上发生，并且造成实实在在的损失’。”

Information Security 信息安全：

诚然，信息安全无处不在。大到国家机密，小到邮箱密码，国计民生，各行各业，无所不包。与之相随的，是无孔不入、防不胜防的信息安全事件。2014年已经过去了将近一半。回顾上半年的IT圈不难发现，涉及互联网安全的讨论愈加热烈。从Windows XP系统停止服务致2亿用户“裸奔”，到小米携程用户信息泄露，抑或是全球互联网通行的安全协议OpenSSL到免费WIFI的安全隐患。无论是互联网还是移动端，涉及信息安全的问题频出，网民对安全上网的呼声越来越高。

媒体作为国民社会生活中不容忽视的一部分，其信息安全不仅关系到媒体自身的建设发展，还影响着社会的长治久安。互联网信息安全这条“隐形战线“，虽然看不见、摸不着，却是媒体迈入互联网时代的重要堡垒，需要实打实地、一步一个脚印地建设。从现在开始，还为时不晚。