2318

　　也許這是繼大航海之後，人類遇到的最好的時代了，它叫做“互聯網時代”。網絡的澎湃動力，在改變人；網絡帶來的自由空間，讓信息、經濟、文化、社會行為都得到了井噴式的改變。
　　烏鎮上熱到發燙的互聯網大會，正以一群網絡人的集聚，宣告著互聯網的虛擬社會正從一組代碼、一個角色符號變成改變現實社會的隱性杠桿。
　　對於互聯網，人們從最初的迫不及待，到如今的小心翼翼。從今年年初的支付寶漏洞、攜程信息泄露，到這幾個月人們對於免費公共WIFI安全性的質疑，關於互聯網的安全問題，也在WIC上被與會嘉賓反覆提及。
　　這是一個世界性的話題，其衍生出來的網絡金融安全、網絡隱私泄露、網絡謠言和網絡暴力更是涉及了社會的方方面面。
　　互聯網正經歷從蠻荒時代進入文明時代的階段。真正的民主與自由，從來都不是無所限制的，缺乏限制只會帶來混亂與暴行。終結的力量也許來自網絡管理相關法制的健全，也許來自媒體“把關人”的到位，也許來自網民素質的提高及自律……
　　在今天，我們想從兩位和互聯網打了十多年交道的人眼中，倒映出中國網絡安全的問號—
　　一位闖盪了十多年的業界白帽子：網絡安全，除了技術還要“家規”
　　這幾天在烏鎮參加世界互聯網大會的浙商、杭州安恆信息公司總裁範淵，是一位“白帽子”(正面的黑客，有黑客的思維、技術能力，可以識別計算機系統或網絡系統中的安全漏洞，但不會惡意去利用，而是公佈、幫助修複漏洞)，從在美國硅谷的國際著名安全公司工作時起十幾年，他一直致力於研髮網絡安全產品。
　　大會期間，範淵參加了所有網絡安全相關的會議，他也向我們介紹了中國網絡安全的現狀、和未來的發展趨勢。他認為：要推動網絡安全的進一步發展，除了技術要努力，還需要有“家規”—各個國家自己的立法、規定；有“通法”—全世界共同合作解決網絡安全問題的通路。
　　中國的網絡立法，有望3年內建立
　　來看一組國家互聯網應急中心最新統計的2014年上半年的數據：
　　境內616萬臺電腦感染了木馬病毒；境外的1.9萬台主機，控制了我國境內619萬臺電腦；有2.5萬個網站，被篡改了內容。
　　同時，根據首屆世界互聯網大會的技術支持單位之一、杭州安恆信息技術有限公司全年的監看表明：中國400多萬個註冊網站，50%以上存在中等級別以上的漏洞。
　　“目前我們面臨的網絡安全形勢，是比較嚴峻的。”範淵分析，這種局面，急需內外合璧來改善。
　　在範淵看來，所有系統建立的基礎，也就是第一關身份驗證，就會遇到技術難點。
　　我們國家的居民身份證號碼，是一溜清晰可見的數字，這可能就會成為將來統一數字體系建立的一大挑戰。“因為如果惡意攻擊者得到了身份認證信息，經過高端的測試和"碰撞"(一種技術手段)，很有可能得到銀行卡號、密碼等一系列私密的信息。”
　　這一方面需要像安恆這樣的安全產品製造企業研發出更加可靠的保障產品，同時，需要強大的法律保障，來防止對大數據的侵犯和惡意利用。
　　“互聯網的立法，需要從兩個層面共同考量，一是各個國家對內，需要有獨立的互聯網法律、法規，而在國際上，各個國家要聯合起來進行深入的溝通、協作。”範淵認為，按照目前國家對網絡信息安全工作的推進情況，中國有望在3年之內，建立國內通行的互聯網法律、法規。
　　用戶數據丟了，大企業有責任
　　法律、法規的輻射對象有個人，更有掌握了大數據的企業。
　　在美國加州州立大學拿到計算機博士學位後，範淵曾在硅谷工作了7年，他非常瞭解美國在網絡安全領域制定的一些規定。“發達國家目前建立的一些規章制度，可以作為中國互聯網安全保護工作推進的借鑒。”
　　比如，美國加州的一項關於信息保護的規定是這樣的：如果企業將用戶的數據弄丟(被竊取)，那麼企業需要在第一時間，馬上點對點通知到所有的受害客戶。
　　同時，這家企業將接州立的相關機構對其受不同程度的罰款。
　　“對於用戶上億的公司來說，且不談罰款、通知用戶的人力、物力這筆經濟損失，要點對點通知到每個用戶自己沒能保護好他們的信息，這對一家公司信譽的消耗，是真正的"懲罰"。”
　　所以，當用戶的數據處於威脅的情況下，企業絕對不是把自己歸到受害者的位置，光是譴責盜取數據的不法者，企業是第一責任人。
　　一位從業十年的老網警：互聯網不是法外之地
　　切入描寫互聯網安全的角度千千萬萬，這一次，我們選擇從業十年的老網警視角。
　　肖福東，杭州網警分局法制大隊副大隊長。
　　最早，杭州警方有個部門叫信通處網絡安全監查科。
　　2003年開始，成立網監支隊。
　　現在，叫網警分局。
　　從科到支隊再到分局，這是最直觀的，也很能說明互聯網的地位變遷。當然，這背後的內涵和甘苦，更是值得玩味和思考的。比如，網警的辦案實踐，有了哪些變化；又比如，在網上造謠生事的，有了哪些新的手法。
　　網警們最大的感嘆是，互聯網的變化太快，眾多新情況層出不窮。網警要不被打敗，必須與時俱進。
　　互聯網不是“虛擬世界”，更不是法外之地
　　肖福東算是觸網較早的一族，最開始他和許多人一樣，認為互聯網是個“虛擬世界”。
　　“真的是這樣嗎？其實互聯網裡有的，都是現實中的反映，如果我們只以虛擬世界的視角來看待，肯定是不行的。”
　　肖福東的印象里，2003年網監支隊辦的第一個案子，是有三個人，在城西一處，搗鼓起了一個色情網站。“第一次自偵自辦的案子，電子取證還在摸索階段，所以取證就花了三個月時間。”網警收集了足夠的證據，才好收網抓捕。
　　這次抓捕是很成功的，只是三個嫌疑人的驚嘆很有代表性。“網上搞這些能被查到？這些……違法了？”肖福東和同事們當時反問過：“你在馬路邊賣黃碟，你覺得可以嗎？在網上，一樣啊！”
　　不過，在隨後的辦案實踐之中，很多嫌疑人都發出了類似的驚嘆。
　　“他們覺得這是虛擬世界，和現實無關，他們的驚嘆也促進了我們的反思，促進我們對互聯網的認識。”那個時候，肖福東不管是遇到朋友，還是面對嫌疑人，總是強調：互聯網不是法外之地。
　　這些年的互聯網犯罪，越來越隱秘
　　肖福東提到，近年來杭州網警參與辦了許多大案要案。
　　比如去年夏天，濱江出現了一個神秘的“詐騙堡壘”里，幾乎天天上演著電信詐騙。受害的，都是千里之外，臺灣島內的中老年民眾。他們冒充臺灣警方檢方，把假冒的拘留證通過傳真發給島內老鄉，通話中就說：你涉嫌犯罪，已被立案調查了，如果不交保證金，馬上拘留你！
　　去年9月4日，在杭州網警參與的專案組精心策劃之下，“詐騙堡壘”終被攻破，一舉抓獲犯罪嫌疑人22名(19名為臺灣籍人員)。他們在去年夏天犯的案子，僅僅目前查證的9起案件，案值就高達2000餘萬新臺幣。
　　這起案件，被臺灣刑事偵查局列為2013年島內第一大案。
　　“其實，這類案件偵辦起來是相當有難度的，比如不法分子所用的服務器可能在國外，而且隨著雲技術的發展，犯罪證據可能儲存在多個服務器里，而最終取贓款的，很可能是不知內情的人，他只是幫忙取錢，而且身在外地，總的一句話，利用互聯網犯罪，越來越隱秘，對網警也提出了更高的要求。”
　　肖福東提到，這就需要警方花大力氣收集林林總總的證據，且執法成本相當高。
　　（原標題：業內人士談中國網絡安全：除了技術還要“家規”）