近十年來,隨著互聯(lián)網(wǎng)和計算機、手機使用的進一步普及,網(wǎng)絡安全威脅從有關機構和專家的視線中延伸到普通的網(wǎng)絡用戶、IT用戶。如今,類似蠕蟲、網(wǎng)絡釣魚、分布式拒絕攻擊等新的網(wǎng)絡攻擊手段防不勝防,各種安全漏洞層出不窮。
OpenSSL出現(xiàn)嚴重漏洞事件,只是漫長的網(wǎng)絡安全攻防站中的一個插曲。
著名網(wǎng)絡信息安全專家、北京郵電大學教授楊義先定義,網(wǎng)絡安全典型的表現(xiàn)形式包括:通過網(wǎng)絡竊取信息、破壞網(wǎng)絡上信息、非授權網(wǎng)絡訪問和網(wǎng)絡服務破壞等。隨著網(wǎng)絡應用增加,網(wǎng)絡安全問題又增加了許多新的變種,其中包括對基礎設施的攻擊,比如網(wǎng)絡中的核心服務器以及路由器、交換機等設備都存在不同程度的安全問題;還有網(wǎng)絡應用造成的安全威脅,例如對網(wǎng)絡服務的使用不當、不安全的用戶賬號和口令以及管理上的安全問題。
在法律層面,我國已對互聯(lián)網(wǎng)安全問題進行了一定的部署。互聯(lián)網(wǎng)法律專家、中國政法大學傳播法中心研究員朱巍向記者介紹,在刑事立法上,我國已經(jīng)制定了《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》,修訂了刑法第285條和第286條,以達到震懾黑客的效果;在民事立法上,全國人大常委會出臺了《關于加強網(wǎng)絡電子信息保護的決定》,最高人民法院出臺了網(wǎng)絡侵權司法解釋等,加強網(wǎng)絡服務提供者的責任;此外,中國互聯(lián)網(wǎng)協(xié)會等自律機構也出臺了很多相關自律準則。
在具體的安全問題上,以網(wǎng)絡漏洞預防和應對為例,朱巍介紹,我國從三個方面進行了部署:“一是國家層面會發(fā)布重大漏洞預警并組織應對;二是從網(wǎng)絡服務提供者層面不斷自查、更新和提供預警或補丁;三是專業(yè)安全軟件公司從提升防衛(wèi)技術層面應對。”
然而,這些措施并不能保障萬無一失,類似OpenSSL漏洞事件依然會不斷發(fā)生。
對此,朱巍認為仍有多項工作亟待加強,以進一步保障互聯(lián)網(wǎng)信息安全。
“最基本的就是要加強網(wǎng)站商業(yè)倫理建設。網(wǎng)站不能過度搜集和保存用戶信息,尤其是在用戶并不知情的情況下,將用戶敏感信息長期存放在商業(yè)網(wǎng)站中是極不安全的。前段時間,攜程網(wǎng)漏洞門事件就再次說明了這一點。”朱巍提出,即便在大數(shù)據(jù)時代,網(wǎng)站也不得以大數(shù)據(jù)分析作為過度采集用戶資料的理由。
此外,他認為應保持對黑客打擊的高壓勢態(tài)。黑客攻擊是造成網(wǎng)絡經(jīng)濟不安全因素的罪魁禍首,盡管兩高已經(jīng)出臺相關司法解釋,不過,打擊力度和偵破手段仍需提高。
在立法層面,朱巍強調(diào),應加強個人信息保護立法:“我國目前還沒有一部個人數(shù)據(jù)保護法,這就給隨意搜集使用個人信息的行為開了綠燈,也給了黑客生存的空間。在大數(shù)據(jù)時代中,數(shù)據(jù)的安全和數(shù)據(jù)的價值同樣重要,如果有所偏廢,將得不償失。”
京公網(wǎng)安備 11010502049343號