【导读】企业网站遭遇“安全联盟”风险提示,变成疑似“钓鱼网站”。企业要想解封,需交年费900元;“安全联盟”回应:解封肯定不花钱。《天天315》本期重点关注:维护网络安全引发的纠纷。
央广网财经北京4月22日消息 据经济之声《天天315》报道,先来说说什么是安全联盟。
安全联盟旨在促成一个中立、公正、可控的第三方组织,团结有实力的安全类相关公司进行资源共享,建立被行业公认的互联网安全标准,优化中国互联网使用环境,促成互联网用户对于联盟及参与者的信赖。目 前已经与百度、腾讯、招商银行等近800家机构、企业等官方网站达成合作。
安全联盟通过完善的技术和网络平台,从传播源头、展示渠道、访问行为等多方面对网络不良信息进行治理;另一方面,安全联盟还联动政府监管部门,发动全民乃至全社会力量,加大力度净化网络环境、普及安全上网知识。
安全联盟的出现,是一件好事,旨在净化网络环境,普及网上安全知识。可是,最近《天天315》节目组接到企业的投诉电话说,自己正常运行了好几年的企业网站,突然被安全联盟打上了“钓鱼网站”的标签。
工作人员:我是我们厂子已经在职12年的一个员工,是厂子的中层,我是负责销售工作的。我给我们厂子做了一个网站,这个网站已经正常运行5、6年了,但上个星期六的时候突然发现,百度把我的网站加了一个风险提示,就是告诉浏览的人,说我这个网站有可能是钓鱼网站。关于这个事我觉得挺不可思议的,我这是通过合法的渠道找到一个B2B的电子商务平台,叫做自助贸易,找它这个网站,当时也提交了我们企业的三证,就是企业法人营业执照、组织机构代码证,还有税务登记证,他才帮我们建了这么个网站。百度这个风险提示写的是,这个网站有可能存在着钓鱼的危险,意思就是说请谨慎浏览,这对我的网站影响很大。
这家企业的工作人员说,安全联盟要求他们交900块钱的年费就给解封。
工作人员:我已经跟他们联系了,他说帮我解封,但我也觉得我挺冤枉的,因为在星期六和星期天,有很多客户都向我反映说,人家说你这是钓鱼网站,对我们挺不信任,我觉得这个影响挺不好的。它这个所谓的安全联盟,是百度还有一些什么公司自发组织的一个民营收费机构,它并不是一个公益组织,它没有权力通过它的技术手段在我这个合法网站上加一个风险提示,它这样对我的影响很不好。我觉得钱不是问题,只是觉得有点像敲诈。
今天交了钱,事情是不是就算完呢?明天、后天企业是不是会遭到没完没了的交钱骚扰呢,这也是企业所担心的问题。
工作人员:我想的是,比如说百度这个安全联盟给我加了这个提示,我就给它交900块钱。过两天再有其他的一些民营机构如果也上我的网站来挂一些东西,我又要给别人交钱……我觉得这就没完了。
但是不交钱,这个“钓鱼网站”的风险提示就不能解封了吗?企业的工作人员开始和安全联盟进行交涉。
工作人员:首先他们的电话是不轻易对外公开的,我不知道什么原因,一般正常的企业法人机构单位,它的电话号码会很公开很透明,但是我打了北京的电话,它推到成都去,成都那边又始终没有人接电话,接电话也说不是这个业务,反正它的电话号码就不是一个公开能够互相交流的正常渠道。只能通过QQ,而它那个QQ又只管认证不管解封,所以我们一直都是通过向网站发一些函这种方式解封,非常不方便。他们现在给了我一个书面答复,说是已经解除了,但我在百度搜索的时候,这个风险提示还在。据其他一些也被这样弄过的其他网站站长说,这个要好几天才能消除。这绝对不光是我个人的问题,这个的影响面肯定很大。
当记者提示企业,有没有可能这个所谓的安全联盟本是就有问题呢?企业工作人员否认了这个想法。
工作人员:这个安全联盟网络实名简称叫安全联盟,它下面有好几家民营单位搞的,百度是其中一家…如果您通过百度去搜索安全联盟,第一位的那个就是。
最后,企业说,几百块钱,准备认了,只有交钱才能解封。
工作人员:我们还没交钱,但是也预备打算低头了。本来我是不想低头的,但我想着如果它总是给我加风险提示,我的客户看到这个网站就会不相信,我就会损失很多订单,所以只好打算向他交钱了。但我也觉得心里挺难受的,因为比如说他今天给我加了一个风险提示,我就要被迫向他交钱,明天别人又过来加个什么提示,那我还要给别人交钱,觉得心里有点不太甘心。毕竟我是一个小小的商户,就是做个平台,我并没有那么高超的技术手段可以去打败百度或者是打败谁,所以就觉得挺冤枉的,而且这个事肯定不在少数。
根据企业这边的投诉,记者联系到安全联盟核实情况。在安全联盟方面的核实、查证之下,记者得到了一个令人啼笑皆非的答案。
安全联盟:这个事情我把它定性为是一个误会,但这个误会当中确实存在一定的问题。根据我们调查的结果,这个网站存在一个OPEN SSL的漏洞,这个漏洞是比较严重的,金山毒霸这边侦测到了这个问题,说这个网站存在一个严重的漏洞风险,然后它就把相关的数据推送给安全联盟和百度,就是同时推送到安全联盟的合作平台,比如说百度的搜索引擎,还有安全联盟的数据中心。但这里面有一个问题,金山这边在数据推送的规则里面存在一个算是不合理的地方,今天下午已经紧急联系金山把这个规则给改了。金山把具有Open SSL漏洞风险的网站和钓鱼欺诈网站的数据放一块推送过去了,所以那边就会识别出来说是同一种类型,就是说钓鱼网站。当时了解到这个情况,我就紧急让金山和百度全部把这个问题给处理掉,因为毕竟网站存在风险和网站存在钓鱼欺诈性是两个不同的概念。我们这边也非常重视这个事情,就立即把它处理掉了,把相关的风险提示去掉了。我为什么说是一个误会呢?实际上就是金山那边推送过来的数据规则导致的。
而对于因为解封而产生的费用,安全联盟负责人张毅是这样说的:
张毅:因为出了这事比较着急,他就跟我联系,他认为是不是我们给网站报了风险,是想让他购买服务或者怎么着的,但实际上在安全联盟这边的业务当中,网站解除风险预警和网站认证实际上是两块不同的业务。实际上我当时跟他说了,我们官方解除是完全免费的,实际上这完全就是一个误会。另外,我当时接到这个消息的时候还比较担心一点,在网上包括比如说淘宝,有很多坑蒙拐骗的打着安全联盟的旗号告诉用户说,我可以收你的钱,然后帮你去安全联盟解封,但这些全部都是骗子。我当时还怕这个问题,我当时还告诉他,千万不要相信那些所谓收费的,我们这边的解封是完全免费的。作为安全联盟来说,我们是个第三方的中立组织,所以不存在说把你的网站拦截掉,然后让你过来交钱怎么着的,因为毕竟我们安全联盟是由几家中国最大的互联网公司和安全公司一起来做的,包括腾讯、百度、金山、知道创宇,是这样一个概念。
记者又再次联系了企业,对这样的结果,他们感到满意。
工作人员:由于您帮助了我,他马上就把问题解决了,比正常的渠道快了好几天呢,非常感谢您。
记者:我不知道他们给你解释没有,为什么给你企业的网站打上了钓鱼网站的标签,是因为什么原因?
工作人员:他说是金山毒霸那边给他推送的数据说我们的网站有安全漏洞,并不是钓鱼。他今天还给我发了个QQ又重复解释一遍,他说金山那边安全漏洞和钓鱼分为同一类,不区分是啥。而且我听说自助贸易这个网昨天就有好几十家网站都被他们加上风险提示了。
记者:解封这边是不收取费用的,对吗?
工作人员:解封不收取费用。他没有讲解封不收取费用,首先,他没表明这一点;再有,它解封和认证在同一页面,我没办法区分是解封还是哪个是收费的。
而对于安全联盟,也许更多的网友和企业应该对它有更多的认识。安全联盟的负责人介绍了这个组织的作用。
张毅:安全联盟是2012年9月份成立的,由百度、腾讯、金山、北京知道创宇这四家联合发起的一个中立的第三方组织。目前互联网上对网民危害最大的实际上是坑蒙拐骗、钓鱼网站、仿冒、色情等网站,成立这个联盟的初衷就是一线的互联网大公司包括安全企业对网络上的安全定义没有一个联合的标准,发起安全联盟就是为了统一各家标准,来维护互联网,比如说消除不良信息什么的,共同来打击这些坑蒙拐骗的网站。
专家点评
经济之声特约评论员赵占领做客节目,就此事发表观点和看法。
这个案例经过了解是一个乌龙案,但是我们也从中看出了一些问题。首先,安全联盟中金山把网站存在安全漏洞和钓鱼网站用同样的数据进行推送,导致本来应该补救漏洞的企业被无端打上钓鱼网站的标签,这是什么性质的问题?
赵占领: 对于其他软件或者网站拦截标注应该说这是安全软件行业目前普遍在做的事情,因为目前上网安全确实是一个比较大的问题,而且现在的安全不再像以前那样局限于传统的病毒木马,现在的钓鱼和欺诈网站越来越多,导致网民上网信息泄露,财产遭受损失,所以安全软件的业务范围也在不断扩大,拦截包括钓鱼网站在内的恶意网站已经成为一个非常重要的业务。
拦截的一个基本原理是,它先制定一个恶意网址的判定标准,然后再去主动收集或者是根据用户的举报收集汇总,最后形成一个恶意网址的数据库。当用户访问到某一个网站的时候,安全软件会自动比对,一旦这个网站跟它数据库的网址一致的话,安全软件就会自动提醒用户,这个网站是钓鱼占或者是欺诈网站,存在风险。这样来看的话,这个做法对于普通的网民还是有帮助的,有助于维护上网安全。但也会或多或少存在一些问题,就是有可能会误判,误判的一个原因就在于它的判断标准有一定的问题,它把存在安全漏洞和钓鱼网站放在一起了,而这两个问题是完全不同的概念。
就这个案件来讲,安全软件因为存在很大的公信力,一旦误判的话它会给被误判的网站会带来一些影响,可能会导致声誉受损,销售量降低,所以许多网站会因此投诉甚至起诉这个安全软件,要求他承担名誉侵权的责任。这个案件是一个误判的案件,可能在法律上会有一定的问题。
为什么会出现这样的一些问题,导致我们的企业会被误判呢?
赵占领: 主要是两个原因:第一个,判断的标准有可能不是非常合理,因为这个标准是它自己制定的,可能没有经过公开,制定的标准本身是否合理是存疑的。第二个,在执行这个标准的过程中,在程序方面可能也有一些问题。在这个过程中,它没有给被拦截被标注的网站一个申诉的机会,先拦截然后再申诉,这个过程中有时间差,会对被拦截的企业造成一定的影响。
从这个个案问题的解决来看,安全联盟解决得非常迅速,安全联盟方面也向企业解释了费用的问题,说他们是一个第三方中介组织,而且是纯公益的,所以不会产生费用。对安全联盟目前的作为,怎么看?
赵占领: 它这个做法还比较及时,首先及时解决了误判的问题,对误判的网站进行了解封,最大限度的降低了对这个网站的负面影响。另外,关于解封的费用他也及时澄清了。我个人觉得安全联盟这几家企业都是国内非常顶尖的互联网企业,规模很大,有的营收甚至高达数百亿,而且安全软件的业务模式普遍是免费的,然后通过其他业务获利,这是普遍的商业模式,没有必要将解封费用作为商业模式,而且如果把解封费作为商业模式的话,是一种违法的商业模式,甚至可能会涉嫌犯罪,敲诈勒索。我觉得有一点不能完全排除,就是一些企业内部极个别的员工自己存在违法行为,借解封的机会收费。所以建议这些企业加强内部管理,严格排查,而且要建立一个举报和查处的机制。
对于这几大网站,百度、腾讯、金山等联合组建的安全联盟,如何评价?这样的一个纯民间的非官方的中介组织的存在,给我们互联网的安全带来的是什么?
赵占领: 维护互联网的安全,除了需要政府部门发挥作用,实际上也需要发挥企业尤其是安全企业软件的作用,组建安全联盟有助于发挥这些安全软件厂商的优势,形成一个协同效应。第一点,可以实现资源的共享,因为现在各家企业自己收集恶意网址库,它是基于自己的业务经营收集的,所以各有侧重点,联盟可以把各自长期积累的数据库整合在一起,减少误判和漏判的可能。第二点,这几家企业除了金山和瑞星是以安全业务为主之外,百度和腾讯是综合性的互联网企业,还有搜索引擎业务、网络社交业务,这些是钓鱼网站最重要的一个访问入口和主要的传播渠道,所以组建这种安全联盟可以在入口和传播渠道方面最大限度地打击钓鱼网站等恶意网站。
安全联盟回应全文:
关于安全联盟“解封收费”不实报道的郑重声明
4月22日,中央人民广播电台经济之声《天天315》栏目组播出《安全联盟误判企业网站存钓鱼风险,解封需交900元年费》,并编辑为文字版本发布至网络,引发网络媒体大量转载。这种以不符事实标题博取眼球的新闻报道,对安全联盟各成员单位及合作伙伴(百度、腾讯、金山、知道创宇等)造成了巨大伤害,为正视听,特发声明如下:
1、 安全联盟对报道中的站长提供了完全免费的网站“风险提醒”解除服务,没有收取任何费用。安全联盟没有开展任何所谓的“解封收费”业务,过去没有,现在没有,将来也不可能有!一切利用解封网站名义骗取、贿赂、开设网店的行为都是欺诈行为,我们必将依据国家法律追究责任。一些所谓的“意见领袖”利用博客平台散布的谣言也是毫无根据、妄自揣测的荒谬言论。中央人民广播电台经济之声《天天315》栏目组此次采访安全联盟工作人员,利用媒体号召力编撰文不对题的“标题党”新闻博得眼球的作法,对安全联盟造成了巨大的伤害。
2、 为维护安全联盟的尊严和形象,必要时我们将借助法律保护我们的名誉权,并要求进行不实报道和转载的媒体公开道歉并赔偿损失。
3、 作为国内最权威、中立的网络安全联盟,安全联盟所有成员单位以保护网民上网安全为使命,每天对虚假欺诈网址进行数十亿次风险提醒和拦截,每天避免数亿网民因网络钓鱼恶性犯罪导致的数千万经济损失。我们联合了百度搜索、腾讯QQ、微信、腾讯微博、新浪微博、搜狗号码通、QQ浏览器、电脑管家、百度卫士、金山毒霸、瑞星、小红伞、浙江卫视、湖南卫视、网上交易保障中心、国家漏洞共享平台等上百家网络平台、电视媒体、行业协会、国家机构来共建互联网安全标准,优化中国互联网安全环境。
4、 安全联盟始终致力于不断加强网络犯罪行为的识别能力,从而提高对恶意网址处理的准确性。安全联盟每天在多个庞大的安全云集群之间交换数十亿条恶意网址数据,这些数据由多家安全公司的内容安全检测引擎、网站漏洞检测引擎、网站被黑客篡改和入侵检测引擎等自动化输出。在如此庞大的数据处理体系中,全球范围内任何一家安全公司都不可能保证自动检测引擎能够达到100%的准确性。在这样的机制下,我们设立安全联盟“网站风险提醒解封业务审核组”, 解决了站长在过去几年里因网站安全风险提醒需要“挨家挨户”申请解封的困扰。大大缩短了站长因自身网站安全性、或偶发性误报导致了安全风险提醒解除的周期。义务对偶发的误报情况开辟了专门的解封通道,且不论网站是否主动作恶、被动产生安全问题,安全联盟也保持高度负责任的态度义务受理站长的解封申请,我们严格按照国家法律法规以及安全联盟风险定义的标准(点击查看)执行解封。对恶意网站绝不姑息,对正规网站坚决保护!
5、 安全联盟欢迎社会各界的监督,并呼吁所有媒体在进行相关报道时尊重事实,切莫追求“标题党”制造矛盾、博取眼球、放大小概率事件而抹杀安全联盟的社会价值,应以正面舆论引导为己任。安全联盟希望同所有媒体朋友一起,帮助中国互联网健康发展,共同与虚假欺诈网站作斗争。
安全联盟
2014年4月25日