制图 吴名遂
本报记者 陆绮雯
刚刚过去的2012年对于互联网行业来说又是一个话题年,而对于网络安全的各种事件和热议也让网络安全史无前例地成为全社会的话题焦点,在刚刚发布的《2012年个人网络安全年度报告》中,79.9%网民希望网络安全立法改善我国网络安全现状。
令人欣喜的是,继《关于加强网络信息保护的决定》在第十一届全国人大常委会第三十次会议上审议通过并开始施行后,中国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》也定于2月1日起实施,种种迹象表明,我国在网络信息安全立法方面的工作开始进入实质性阶段。
2013年,网络安全现状真的有望破局吗?
“金钱损失”和“隐私泄露”
公司白领小张刚刚发了年终奖,他想在网上买点年货带回家。刚点开一个在论坛上看到的购物网址,电脑上安装的腾讯电脑管家就弹出一个醒目红色字体的提示窗口“危险网站,千万别访问”,小张惊恐地关掉了网站。虽然一场可能发生的网络钓鱼事件被阻止,但小张仍然不放心,不知道无意点开的危险网址是否会给他的电脑安全留下“后遗症”……这样的事情每天都会在千万台电脑上“重演”,然而,这样的事情也只是网络安全问题的冰山一角。
根据艾瑞市场咨询机构与腾讯电脑管家最新发布的《2012年个人网络安全年度报告》,2012年有84.8%的中国网民遭遇个人资料泄露、网购支付等网络不安全事件,总人数达4.56亿,共造成直接经济损失194亿元,人均损失553.1元,70%左右的网民对网络安全形势表示担忧。《报告》显示,最受网民关注的网络安全问题依次是“网络支付不安全”、“个人信息被泄漏”和“账号被盗取”。相比2011年,网民对网络危险的担心点更多集中在“金钱损失”和“隐私泄露”:“金钱损失”相对2011年上涨7.4%,“隐私泄露”则上涨4.9%。
分析认为,对支付安全和隐私安全的忧虑与网络安全环境的日趋恶化不无关系。资料显示,2012年,互联网上新增与网购相关的钓鱼网站数量达到39.27万家,比去年同期增长155%,支付交易类、金融证券类、媒体传播类成网络钓鱼主要传播渠道,占总量的92.74%。其中,支付交易类钓鱼网占到了总量的51.99%。涉及假冒淘宝网、建设银行(601939,股吧)、中国银行(601988,股吧)、工商银行(601398,股吧)四家单位的钓鱼网站总量占全部统计量的75.51%。而另一方面,“电商用户信息遭集体泄漏”、“360涉嫌窃取用户隐私”、“快递公司被疑快递单信息泄露”等一系列安全事件的爆发,则引爆了网民对个人隐私安全的关注。
此外,借助社会热点与节假日进行作案也是一段时间以来网络安全的“重灾区”,数据显示,去年“十一”黄金周期间,腾讯电脑管家每天拦截的虚假票务钓鱼网址峰值高达65万条。而当前正处春运高峰,消费者更要警惕与机票、火车票相关的网络陷阱。
“产业”运作 损失惊人
网络安全的乱象影响着每个网民的生活,在网络世界生存,似乎没有人能够“独善其身”。
腾讯公司副总裁曾宇认为,产生以上变化的背景来源于互联网行业的快速发展。其一,随着互联网商业模式在推陈出新中不断走向成熟,互联网病毒所针对的产业也越来越集中于游戏、搜索、电子商务等现金流快速增长的领域;其二,移动互联网的爆发式增长,使得移动终端安全成为越来越重要的“反黑”战场;其三,在巨大商业利益的驱使下,传统松散的黑客组织也在分化整合,形成了成熟的产业链,由此造成损失惊人,这一状况在中国尤为严重。
不难发现,相比原来的网络病毒更多是炫耀技术,如今的钓鱼网站则更具有趋利性。在2012年拦截的恶意URL上,网上虚假购物占据了所有拦截的75%,主要包括虚假成人药品、虚假保健品、虚假二手车交易网、虚假金融网站及各类电商仿冒网站等。据中国电子商务协会发布的数据显示,过去一年,全国网民因网络诈骗遭受的损失高达300亿元。
此外,还需要指出的是,网络钓鱼及欺诈危害已经超过传统的木马病毒,成为威胁网民财产及隐私安全的“第一杀手”。据了解,目前,网络钓鱼及诈骗呈现出“集团作案,产业链协作,精细分工,跨境作案”特征,其游击战术致线索零散不容易被追溯及侦破;钓鱼利益集团在与反钓鱼攻防中不断提升钓鱼技术,通过频繁更换域名、钓鱼网站加密及调整网站内容及架构等方式对抗反钓鱼识别,隐蔽性更强,不易捕捉;而SNS、微博、微信等社会化媒体平台的兴起为钓鱼集团犯罪活动提供了更多入口及机会,反钓鱼拦截增添难度,用户被诈骗几率提升。“网络钓鱼已经形成一个完整的产业链。从钓鱼网站源代码编写-销售-建立假银行、假QQ网站-实施钓鱼欺诈-骗钱,每个环节都有专职人员提供服务,集团化作案,诈骗手段也更加隐蔽。”网络安全专家吴波称。
法律+技术 重拳出击
网络安全乱象的背后,很大程度上是因为法律法规相对滞后,以及互联网特殊环境造成的追讨惩罚力度不足。对此,专家认为,一方面是要完善各类法律法规,另一方面,也要从技术上“堵住”网络安全漏洞。
从去年底《关于加强网络信息保护的决定》出台,到今年初《信息安全技术公共及商用服务信息系统个人信息保护指南》实施,法律法规日益“扎紧篱笆”,全社会都从中看到了“风向”,相信网络安全方面的立法和执行一定会以快于以往的速度向前发展。此外,金山、瑞星等安全厂商,企业界、学术界、法律界、新闻媒体及国家相关机构已积极行动起来,就如何构建互联网安全行业制度及规范标准、尽快出台更严格的安全立法而努力;方舟子、独立调查员、IDF实验室等民间监督力量也积极参与,努力唤醒网民对个人隐私安全的维权意识,这对于正处高速发展期的中国互联网行业、网络安全行业以及亿万网民而言无疑是利好的。
有技术人员告诉记者,拿网络钓鱼来说,由于危害原理不同,相比查杀病毒,恶意网址的拦截需要庞大的数据库比对和自动识别技术来支持,而且由于钓鱼犯罪分子建一个钓鱼网站只需几分钟,这就要求安全厂商在反钓鱼方面具有极高的响应效率,能及时主动快速抓取恶意网址信息。
作为安全厂商,技术问题似乎难不倒腾讯电脑管家,但电脑管家显然希望集全社会之力打击网络“黑产业”。曾宇表示,很多人会认为网络安全维护应该是国家部门和网络安全厂商的事,其实网络自身的特殊性和对社会生活的全面渗透,决定了与每个网民和各个厂商、政府机构都密不可分。在当前我国暂时还没有关于反钓鱼方面专门法律法规的形势下,来自民间自发的反网络钓鱼行动就显得格外难得。这是一场需要全社会共同参与的“战役”。正是出于这样的考虑,腾讯电脑管家日前发起了“亮剑2013”反网络钓鱼活动,与以往网络安全活动不同的是,该活动把“全民参与”作为活动核心,腾讯将携手7亿腾讯用户向“网络钓鱼、欺诈”等违法犯罪活动发起全面追踪,此举在反网络钓鱼的“战争”中,可谓规模之最。记者登录活动官方网站发现,活动举行仅2周,来自网友举报的恶意网址数已经超过4万多条,且数量还在持续增加。
搜索巨头百度也通过收购国内安全公司“超级巡警”加入了网络安全维护的阵营。日前,百度还加入了春运反钓鱼行动,其开展的“阳光行动”春运网络诈骗专项严打行动,通过加强技术与人工排查打击、加强权威机构合作、官方客服正向信息引导等举措,对虚假票务类搜索结果进行打击。
可以预见,随着全社会、全行业力量的高度“聚焦”,国内互联网安全领域必将步入良性发展的轨道。2013破局,网民或许可以从举报一条恶意网址开始。