王煜
“互联互通·共享共治——构建网络空间命运共同体”,这是本届世界互联网大会的主题,而网络安全正是这个共同体“命运”的保障。当下,网络安全正面临许多新的挑战。毋庸置疑的是,无论出现什么新情况,无论在安全的哪一个维度,各方力量的携手共营都是治理取得成效不二法门。
共营,才能共赢。
网络安全无处不在
“当下,网络安全的范围已有了很大扩展。”上海市信息安全行业协会副秘书长张凯说,随着智能化、网络化技术的广泛应用,网络安全的议题不再局限于传统的信息行业,像工业控制、智能家居等在以前相对不是很重视安全的领域,现在开始遭遇越来越多的考验。
他举例说:无人机、摄像头、智能手环甚至豆浆机,这些普通人在日常生活中经常接触到的东西,现在都已经成为网络攻击的目标。通过对WiFi和蓝牙连接的侵入,黑客可以从智能手环上获取用户的隐私数据,用于进一步违法行为;如果无人机和摄像头的控制权落入攻击者手中,则会让更多的个人隐私泄露。尤其值得注意的是,如果黑客侵入的是云端,则可能较为容易地控制一大批连接到这朵“云”的设备,造成的危害成倍放大。
“可信赖的云计算和大数据”是本届世界互联网大会分论坛的议题之一。2015年8月19日,国务院常务会议通过《关于促进大数据发展的行动纲要》,展示了国家对该领域的重视。贵州省作为在大数据领域“先行先试”的省份,已率先启动了首个大数据综合试验区建设,其中于去年上线的“云上贵州”系统,是云计算和大数据领域解决安全问题的一个很好的范例。
据贵州省经信委信产办负责人介绍,“云上贵州”是全国第一个政府和企业数据统筹存储、共享开放和开发利用的云平台,数据已经做到了省级的统筹。平台采用具有自主知识产权的阿里云飞天操作系统、国产服务器、交换机等产品搭建,符合有关安全规范及要求,实现了自主、安全、可控,可供12万核计算资源、100P存储资源、500T内存资源。由于大数据的安全架构由物理安全、系统安全、网络安全、应用安全、数据安全和管理安全六个维度组成,每一个维度都有一套完整、完善的解决方案,所以集中存储的数据比之前更加安全。
专业技术人士给记者举了个例子,“这就像运输一篮子鸡蛋和一卡车鸡蛋,如果出现事故,后者的损失会更大,因而运输者在安全保护上的投入就会更大,对每一个鸡蛋而言就会更安全。”
從“云上贵州”平台安全攻防数据来看,从2014年10月15日上线到2015年3月24日,7朵云41个应用系统防御了20次大规模互联网攻击,19万次黑客入侵,71万次网络流量攻击。“值得注意的是,这些攻击不是上云以后才有的,是过去一直存在而我们不知道的;现在我们不仅知道,而且也能防住它们。”
如果仅仅是存储,还远没有发挥大数据的作用。数据参与计算和交换交易、形成多维度的沟通,这才能真正产生价值。例如,“云上贵州”的交通云,每天通过收费车道通行的车辆能被其他云进行调用分析,旅游云分析客运车辆数据,就能对景区人流状况进行预测;货车通行情况,就能为工业云所用。
在数据交换的过程中,同样需要防范安全风险。以“云上贵州”为例,数据交换不仅发生在政府部门之间,还发生在政府和企业,企业和企业之间,各朵云的趋势也都是逐步增加数据开放的比例。安全性如何保证呢?贵州省大数据产业发展领导小组办公室负责人表示,除了技术层面的保障外,该平台还推行了“谁拥有,谁负责”和“谁开发,谁负责”的原则,来明确数据安全的责任主体。对于某些不适合在平台上进行交换的保密数据,但其他单位又需要调用,数据的拥有单位可以选择只把计算后的结果放上平台,而原始数据依旧处于安全状态,这能很好地平衡安全和开放之间的关系。据悉,在安全制度建设方面,“云上贵州”正在探索建立数据交易涉及的个人隐私、商业秘密保护,信用担保评级、风险管控等法规、制度和标准,力争在大数据存储、交换交易上的安全层面成为“瑞士银行”。
网络打黑反恐,需要携手共营
在张凯眼中,当下网络安全面临的一个严峻问题就是黑产从业者的违法犯罪成本很低、设备便携性强,而防御成本相对较高,这就增加了打击的难度。
例如,在即将结束的2015年里,他任职的上海市信息安全行业协会接到企业被DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的报告相当多。这种攻击利用网络上成千上万台被控制的傀儡电脑,同时对一台服务器发起访问,导致后者因负荷过大瘫痪。张凯说,DDoS攻击的原理简单,攻击者只需要花几十元的成本就能对目标倾泻十几GB的流量,造成服务器瘫痪后就向网站的拥有企业敲诈勒索,收到钱才停止攻击。
问题在于,许多企业都是在报案之前先向黑产者付款了事。张凯分析,对企业而言,网站瘫痪可能会引起用户的恐慌,影响自己的商业信誉,这在互联网金融领域尤其明显;另外,网站业务停止造成的损失,可能远远大于黑客勒索的金钱数目;“两害相权取其轻者”,企业会选择妥协,但这助长了黑产者的嚣张气焰。而且,黑产者现在经常索要的是比特币,由于其匿名性和虚拟性,公安机关不仅难以查证资金的流向,也很难对企业的损失定量。
在移动安全领域,张凯和他的同事近期开展了对全国重点城市公共WiFi安全性的测试,结果不容乐观。在上海的静安公园,他们就发现了假冒的WiFi,比如假冒的“iShanghai”,用户如果连入这类WiFi,输入的账号密码等敏感信息就会被收集盗取。通过技术手段分析,张凯发现,原来的假冒WiFi可能是“鱼目混珠”式的手段,比如将WiFi名称中的字母“I”换成数字“1”来欺骗用户;而现在的手段已经升级为“寄生虫”式,用户连接的是正常WiFi的名称,而实际接入的是假冒的WiFi网络。而这套设备的成本也很低,只需要100多元,而且小巧便携,可以直接装在连帽衫里,随时逃逸。
张凯表示:要防御假冒WiFi,先要让公众提升安全意识,在涉及资金交易等敏感数据的场合尽量不要通过公共WiFi进行;同时,要通过立法的方式,让公共WiFi的提供者确保网络连接的安全性,即“谁接入,谁负责”。也就是说,一家咖啡店如果为顾客提供WiFi,那么就要投入资金和设备来确保连接的安全,不然就不能开这个热点。
另外,手机木马病毒数量增长迅速,伪装手段越来越有迷惑性,正成为移动支付中最大的威胁。目前,手机木马主要通过钓鱼短信向用户传播,黑产者会伪装成朋友、亲戚、老师、银行客服甚至“小三”,引诱用户点击恶意链接。
互联网巨头如何应对这些问题?在本届世界互联网大会的网络安全论坛上,腾讯公司信息安全执行委员会主任杨鹏做了主题为“网络黑产打击与用户隐私保护”的演讲;而该公司信息安全业务负责人在接受《新民周刊》采访时表示,针对手机木马,他们建立了伪基站打击平台,黑产者在通过伪基站给周围的用户发木马短信时,该公司相关产品能够监测到,并及时反馈给警方精确打击。另外,他们正在产品中采用人脸识别技术作为身份验证手段,提升安全性。
面对网络黑产的威胁,腾讯以“雷霆行动”应对。这项2014年1月展开的行动,研究网上黑产不法信息存在的特点,沉淀黑产数据库,通过大数据分析,把握网络黑产的动向和作案方式,实现早发现、早准备、早对抗的打击方式;加强重点产品平台的清理策略,并对有害信息进行最大程度的过滤。
该负责人表示,移动支付领域的黑色产业链正逐渐团伙化、专业化。借助互联网技术的便利性,木马病毒制作者、传播者、洗钱者分工明确,经常进行跨平台、跨地区的合作犯罪性。网络黑产实际上是整个移动支付行业面临的共同挑战,打击黑产也需要强大的生态化联动力量。为此,2015年9月15日,腾讯“雷霆行动”携手京东、微店、滴滴出行、58同城、大众点评等行业伙伴,启动联合打击网络黑产的“战马计划”。
对公众进行持续全面的安全知识普及,鼓励群众举报也是必不可少的。“雷霆行动”设立了1000万扫黑举报奖金,为提供举报信息并帮助警方破案的网友提供从2000元开始,最高10万元的奖励。截至2015年底,雷霆行动配合深圳、广州、北京、江苏、广西等多地警方侦破各类网络犯罪案件394起,抓获犯罪团伙嫌疑人1023人,涉案金额6580万元人民币;奖励举报人290万元。
除了網络黑产外,不容忽视的是,以IS为代表的恐怖组织对网络的利用程度之深,给当前的网络安全提出了新的议题。
前些时间,一份34页的“IS网络安全手册”开始流传。在这份手册里,IS教他们的成员如何“安全上网”。在张凯看来,这虽然是恐怖组织的手册,但其中提到的网络安全原则却非常值得所有网民和机构借鉴:例如多重加密账户、使用足够复杂的密码并经常更换、采用安全手机、不点击可疑链接、在没有手机信号的情况下依然可以用手机通信……
根据手册中透露的大量技术细节指导来看,其对漏洞和新科技的走向判断很准确。而从现实情况来看,在前不久巴黎的恐怖袭击中,“安全的”通信工具很可能成为恐怖分子的一大帮凶。“IS比很多正规的互联网公司对网络安全有更深的理解。”看过手册的一位中国互联网安全研究员如是说。这就意味着,我们要在网络上战胜IS这样的恐怖组织,首先要比它们更有网络安全意识。
张凯透露,尽管IS在网络安全上的防范意识很高,但从技术上而言,还是可以找到它们的蛛丝马迹并且攻破的。“只是这样的代价很大,因为要从海量的信息中抓取可疑线索,耗费的时间和资源都很多。”如果只是某个机构、某个国家在做这件事,力量是不够的;同时,恐怖主义是全球性的,网络反恐必然需要跨国合作,需要各国之间建立更为顺畅的沟通渠道,这就更多牵涉到政治层面了。
作为负责任的大国,中国非常重视网络安全的国际合作。习近平主席在第二届世界互联网大会的开幕式上强调:“网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。各国应该携手努力,共同遏制信息技术滥用,反对网络监听和网络攻击,反对网络空间军备竞赛。”