如今,各种利用互联网技术偷盗、诈骗、敲诈等案件时有发生,各种围绕互联网黑灰产业正以极快的速度蔓延。维护网络安全,成为全社会的共同担当。6月1日起施行的《中华人民共和国网络安全法》标志着网络安全从此有法可依,迎来了我国网络安全保障的新时代。
网络空间面临新安全挑战
白领点击不明链接后存款被盗、清华大学教授被骗超千万巨款、山东考生徐玉玉被电信诈骗后猝死……互联网欺诈的危害已经从财产威胁扩展到人身伤害。网路安全、信息安全已经成为这个时代的必需品。
继马云提出“新零售”、“新制造”、“新金融”、“新技术”和“新能源”等“五新”概念后,网络“新安全”议题也开始受到关注。在7月26日至27日召开的“2017网络安全生态峰会”上,来自中央网信办、工业和信息化部、公安部等相关部门和百度、阿里巴巴、腾讯等多家互联网公司的有关负责人齐聚一堂,共话网络“新安全”,推动互联网事业安全发展。
什么是“新安全”?如何应对网络环境中的“新安全”问题?
“我理解的‘新安全’,是指在互联网大数据技术即将对社会方方面面产生重大颠覆的历史阶段,如何从国家、企业、专业机构甚至全体公民形成全方面的机制,如何升级安全理念和安全体系。”阿里巴巴集团风险委员会主席邵晓锋说。
《网络安全法》明确,国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
互联网复杂化趋势正使得网络安全发生着本质变化。线上线下融合安全、互联网作为新基础设施的安全和数据安全等“新安全”,正在成为网络时代新的命题和领域。对此,仅仅做到信息通信基础设施的安全已经远远不够,还需对业务层面做更多安全支撑。
“在安全领域,没有对手只有队友。”蚂蚁金服CEO井贤栋现场宣布,将进一步升级支付宝“你敢付,我敢赔”服务,推出“你敢扫,我敢赔”服务,把保障范围从线上延伸到线下。如果商家的收钱码被恶意替换、调包,其损失的资金将能通过保险公司获得赔付。此外,如果用户扫了可疑二维码,中了病毒或木马导致支付宝账户资金被盗,也能获得赔付。
“网络黑产”规模超千亿元
从5月份的Wannacry到6月份的Petya变种,勒索病毒今年两次大规模爆发,全球多国企事业单位、政府系统、银行系统、高校网络受到感染。勒索病毒的大规模、自动化传播,严重威胁到公共安全。
面对不断升级的黑客攻击,安全厂商应该如何提高“战斗武力值”?应对不断升级的公共安全威胁,软件厂商和安全厂商要注重基础安全设施建设。工业和信息化部网络安全管理局副局长张新提出,互联网企业要积极参与网络安全试点示范,深入开展针对漏洞挖掘、数据防泄露等研发,同时要在大数据、云计算、物联网等一些新领域推出更好的安全服务。
黑客攻击是典型的所谓“网络黑产”之一。国家互联网应急中心将“黑产”范围界定为3类:一是发动涉嫌拒绝服务式攻击的黑客团伙,二是盗取个人信息和财产账号的盗号团伙,三是针对金融、政府类网站的仿冒制作团伙。业内简称为“黑客攻击”、“盗取账号”、“钓鱼网站”,这些都是典型的网络违法犯罪行为。此外,网络黑产的上游产业是“恶意注册和虚假认证”,由于这种行为本身没有直接产生危害后果,又被称为“灰色产业”。
据统计,我国网络犯罪已占犯罪总数的三分之一,并以每年30%以上的速度增长。未来,绝大多数犯罪都将涉及网络。有机构测算,仅中国“网络黑产”从业人员就已超过150万人,市场规模也已高达千亿元级别。
由此,《网络安全法》强调网络运行安全,用很大篇幅突出“国家实行网络安全等级保护制度”和“关键信息基础设施的运行安全”;并以法律形式明确“网络实名制”,要求网络运营者收集使用个人信息,应当遵循合法、正当、必要的原则,“不得出售个人信息”。
据“猎网平台”统计,该平台2016年共收到全国用户提交网络诈骗举报20623例,举报金额1.95亿余元。与2015年相比,网络诈骗举报数量虽然下降了17.1%,但人均损失却增长了85.5%。这说明,网络诈骗呈现出结合个人信息精准行骗的趋势。
针对电信网络诈骗犯罪,今年的中央政法工作会议要求完善电信网络和互联网国际出入口诈骗电话防范系统,完善银行账户和支付账户异常资金交易风险防控系统,研究解决实名登记制中存在的漏洞,及时查封虚假、钓鱼网站,切断不法分子实施电信诈骗的网上通道。
联防联治将成新安全趋势
7月19日,“徐玉玉被电信诈骗案”一审宣判,山东临沂市中级人民法院以被告人陈文辉犯诈骗罪、侵犯公民个人信息罪,判处无期徒刑,剥夺政治权利终身,并处没收个人全部财产;以被告人郑金锋、黄进春、熊超、陈宝生、郑贤聪、陈福地犯诈骗罪,分别判处有期徒刑15年至3年不等,并处罚金60万元到10万元不等。
近年来,多部门联手出重拳,形成打击电信网络诈骗犯罪合力。2016年9月,最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、银监会等6部门共同发布《关于防范和打击电信网络诈骗犯罪的通告》,公布了一批源头治理的措施。此后,最高法、最高检、公安部联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,进一步明确法律标准,统一执法尺度。
据统计,2016年,公安机关共破获电信网络诈骗案件8.3万起,同比上升49.6%;北京、浙江、广东检察机关提前介入侦查,及时批捕起诉张智维等116人、罗兆隆等108人、崔培明等129人特大跨国电信网络诈骗案。
记者了解到,阿里巴巴集团每天都会应对垃圾注册、账号被盗、交易欺诈等10多种业务风险。基于大数据和机器学习,阿里巴巴构建了智能风控系统,其类似实践产品还包括专门反诈骗的钱盾App、团圆打拐系统、电商生态安全联盟和互联网志愿者安全联盟等。
“网络新安全不能照搬过去的方法,不能只靠个别企业,必须动员生态圈内的相关部门以及各种力量团结协作,才能解决好安全问题。”阿里巴巴集团首席风险官刘振飞说,要做到新安全保障需要有技术作为核心能力、数据作为基础保障,同时还需有创新与合作,并保持公益之心。
公安部网络安全保卫局副局长钟忠认为,网络安全新模式不同于传统的事后被动防御,而是转为事前事中主动管控,甚至具备主动进攻的能力,其核心武器在于大数据和新技术,以实现对威胁的提前感知与预测。
专家提出,培育守护网络安全新能力,首先强调基于大数据人工智能和生物识别技术在网络智能防御方面的应用。具体说,人工智能和生物识别技术可利用过往沉淀的数据资源对不同的网络行为“画像”,进而识别出哪些是有威胁的网络行为并智能阻断。
“保障网络安全还需要政府、企业和社会各界联合起来构建联防、联治的网络安全治理局面,要把构建良好的网络生态环境当作最重要的能力提升来看待。”中央网信办网络安全协调局副局长胡啸说。