杭州安恒信息公司总裁范渊谈网络安全
让互联网远离科技恶魔
 |
本报乌镇11月20日电
记者 章咪佳
也许这是继大航海之后,人类遇到的最好时代了,它叫做“互联网时代”。网络的澎湃动力,在改变人;每个人的改变,导致积累起来的社会、时代的改变。
但是互联网科技在以更快的速度、更大的力量影响人类的同时,很有可能把人类带到另一个方向,网络安全的问题,就像之前原子弹等许多科技一样,引起了大家惊醒:怎样让互联网不变成科技恶魔?
这几天在乌镇参加世界互联网大会的浙商、杭州安恒信息公司总裁范渊先生,是一位 “白帽子”(正面的黑客,有黑客的思维、技术能力,可以识别计算机系统或网络系统中的安全漏洞,但不会恶意去利用,而是公布、帮助修复漏洞),从在美国硅谷的国际著名安全公司工作时起,十几年来一直致力于研发网络安全产品。
大会期间,范渊参加了所有与网络安全相关的会议,他也向我们介绍了中国网络安全的现状、未来的发展趋势。他认为:要推动网络安全的进一步发展,除了技术要努力,还需要有“家规”——各个国家自己的立法、规定;有“通法”——全世界共同合作解决网络安全问题的通路。
网络安全形势严峻
来看一组国家互联网应急中心最新统计的2014年上半年数据:
境内625万台电脑感染了木马病毒;境外的1.9万台主机,控制了我国境内619万台电脑;有2.5万个网站被篡改了内容。
同时,根据首届世界互联网大会的技术支持单位之一、杭州安恒信息技术有限公司全年的监看表明:中国400多万个注册网站,50%以上存在中等级别以上的漏洞。
“目前我们面临的网络安全形势,是比较严峻的。”范渊分析,这种局面,急需里外呼应来改善。
立法惩治网络犯罪
智慧城市的进一步建设,各个系统的数据资源会越来越集中、联合。比如,我们每个人的社保系统,入学、工作等系统,都会和我们投资的金融产品系统联通。每个人都会拥有一个基于网络、非常庞大的个人数据体系。
“当然,要建立这样的体系,会遇到非常大的挑战。”范渊说,比如,所有系统建立的基础,也就是第一关身份验证,就会遇到技术难点。
我们国家的居民身份证号码,是一溜清晰可见的数字,这可能会成为将来统一数字体系建立的一大挑战。“因为如果恶意攻击者得到了身份认证信息,经过高端的测试和‘碰撞’(一种技术手段),很有可能得到银行卡号、密码等一系列私密的信息。”
这一方面需要像安恒这样的安全产品制造企业研发出更加可靠的保障产品,同时,需要强大的法律保障,来防止对大数据的侵犯和恶意利用。
“互联网的立法,需要从两个层面共同考量,一是各个国家需要有独立的互联网法律、法规,而在国际上,各个国家要联合起来进行深入的沟通、协作。”范渊认为,按照目前国家对网络信息安全工作的推进情况,中国有望在3年之内,建立国内通行的互联网法律、法规。
企业是第一责任人
法律、法规的辐射对象有个人,更有掌握了大数据的企业。
在今天上午的高峰对话上,谈到网络数据安全的话题,搜狐公司首席执行官张朝阳谈到一个观点:在这个数据越来越集中的时代,从技术角度讲,许多平台完全可以轻松地知道用户“你是谁、你在干吗、你有什么样的上网习惯”等大量个人信息。稍微做点动作,就可以大面积侵入隐私信息。“所以那些大公司,尤其是掌握上亿用户的公司,是有社会责任的。”
范渊非常赞同这个观点。在美国加州州立大学拿到计算机博士学位后,范渊曾在硅谷工作了7年,他非常了解美国在网络安全领域制定的一些规定。“发达国家目前建立的一些规章制度,可以作为中国互联网安全保护工作推进的借鉴。”
比如,美国加州的一项关于信息保护的规定是这样的:如果企业将用户的数据弄丢(被窃取),那么企业需要在第一时间,点对点通知到所有的受害客户。同时,这家企业将接受相关机构的罚款。
“对于用户上亿的公司来说,且不谈罚款、通知用户的人力、物力这笔经济损失,因没能保护好用户信息的信誉缺失,才是真正的惩罚。”
所以,当用户的数据处于威胁的情况下,企业绝对不是把自己归到受害者的位置,光是谴责盗取数据的不法者,企业是第一责任人。
国际社会加强合作
那么在网络安全保障的国际合作方面,目前到了什么程度?
在今天下午举行的“网络空间安全和国际合作”的分论坛上,中国国家互联网应急中心主任黄澄清先生向大家介绍了网络安全事件处置的两个案例,这将是未来各国进行相关问题解决的共同思路和趋势。
2014年年初,索契冬奥会前期,中国国家互联网应急中心接到投诉:中国某一个IP地址攻击了索契冬奥会官方网站。国家互联网应急中心组织了专家进行分析,发现位于中国的主机仅仅是跳板机,早已被攻陷。“实际上,在1月10日,有法国的黑客扫描了主机,成功破解了主机。在冬奥会开幕前期,从位于立陶宛的主机攻击了冬奥会。”我们经过处理给各方作了报告,配合俄罗斯及时解决了问题。
“网络安全事件处置,一定是建立在大家充分认识互联网无国界特点的基础上,网络安全事件处置需要多方参与,特别是国际合作。”范渊说。