越來越多的人已經開始被手中的智能手機牽著鼻子走。
近日全國范圍大面積爆發手機木馬病毒,據報道波及用戶達幾十萬人。始作俑者雖然已被神速找到,但是受害人基本只能自認倒霉。雖然這款病毒只是針對安卓系統的手機用戶,但是智能手機的另一大用戶群體蘋果手機最近也不太平。近日,蘋果公司承認可以通過“后門”提取用戶數據,這一消息隨即引起軒然大波,俄羅斯政府已經要求蘋果提供源代碼,公職人員禁用蘋果智能手機也被炒得沸沸揚揚。
既然已經回不到“通訊靠吼”的年代,那么又該如何在信息時代保護好個人信息安全,甚至國家網絡安全呢?手機安全問題從來不是一蹴而就的。信息安全行業有句話:所謂安全,是三分技術七分管理。僅有技術,而沒有相應的法律法規,顯然是不能實現有效作用的。
盡快制定網絡安全技術標準
不得不承認,在給工作生活帶來極大便利的同時,智能手機、平板電腦等對個人信息的泄露也呈瘋狂之勢。此外,隨著無線通信技術的不斷發展,像利用“偽基站”等各種新型犯罪也層出不窮。這不僅要求從法律上明確這些新型犯罪,也對偵查機關針對新型犯罪的辦案能力提出新要求。
“必須加快網絡安全立法進程。網絡安全的技術標準制定是網絡安全立法內容之一。”中國人民大學物證技術鑒定中心副主任、中國電子學會計算機取證專家委員會專委謝君澤近日在接受《法制日報》記者采訪時指出,不管是手機還是電腦,制定切實可行的系統安全標準已成為當務之急。
謝君澤介紹,近些年來,世界很多發達國家都在致力此項工作。美國就一直在推進網絡安全技術標準的制定。美國《2010年網絡安全加強法案》的發起人之一、美國眾議院科技委員會主席戈登曾明確表示:這個法案將推動美國加大聯邦網絡安全研發投入,積極參與制定形成國際網絡安全技術標準。而美國《2012年網絡安全法案》更是直接提出私營的關鍵基礎設施公司必須遵守由政府制定的計算機系統安全標準,雖然該法案最終未獲通過。
“我國制定的網絡安全法應定性為網絡的基本法。從立法技術上講,在基本法中規定具體詳細的網絡安全技術標準是不太可行的。但如何制定網絡安全技術標準及其法律效力,是網絡安全法必須要明確的內容。”謝君澤說,“包括手機安全技術標準在內的各類具體技術標準,可以在網絡安全法的下位法中專門規定。從這個意義上講,這些具體的網絡安全技術標準,都屬于網絡安全法體系的內容。”
此外,謝君澤建議,為了保障手機用戶的安全,建立手機犯罪應急響應機制也十分必要。“據我了解,在手機木馬病毒事件發生后,中國電信、中國移動、中國聯通各自采取了多項應急處理措施。如,中國電信啟動全網處置行動,中國移動實施全網攔截和封堵并通過官方微博預警;中國聯通實施關鍵字攔截和WAP網關攔截。這無疑是手機犯罪應急響應機制的一次重要探索,這能否成為一種常規性的工作機制并在相關法律規定中加以明確,是十分值得思考的問題。”謝君澤說。
行業標準只能作為推薦標準
記者近日從工信部權威部門獲悉,涉及智能終端的個人信息保護的行業標準正在制定中,出臺后通過規范移動智能終端的安全技術標準與測試方法,可提高智能終端的安全性。
據一位業內專家介紹,此行業標準出臺如果能得到手機生產企業落實,可以一定程度上改善手機安全問題。目前該行業標準已經進行數次討論,但也存在一些爭議和分歧,最主要的是關于標準合理性以及最終如何落地。
“目前很多有實力且有責任感的大公司在沒有行業標準的現狀下,自己制定企業標準,比如做一些應用軟件的加固。但如果沒有法律法規的強制要求,行業標準只能作為推薦標準,其效果也將大打折扣。”這位專家直言。
這位專家介紹,制定該行業標準首要的關鍵問題是,識別出哪些內容屬于對用戶影響最大最重要的個人信息,比如涉及到個人的位置信息、郵件短信、電子商務的賬戶密碼以及個人的照片視頻等。其次,對這些信息設置具體的安全機制,并最終可以在智能終端上體現。最后,出臺相關的驗證方案并落地。
“這可能會涉及到手機芯片的改動,加大廠商的研發成本和生產成本,操作系統的改變也將帶來很大的工作量。因此廠家和通信運營商在落地問題上仍存在不小分歧。”這位專家同時指出,“他們都希望能保護好用戶的個人信息,也希望技術和管理兩方面能有效結合起來。一旦出現問題,如果有了相應的民事、行政、刑事等懲罰手段,會起到很好的規制作用。”
[page]
必須拿出自主過硬操作系統
據謝君澤介紹,這次所謂的“超級手機病毒”本身的技術含量其實并不高,眾多手機用戶中招的原因可以歸結為兩個:一是手機用戶對于開源手機系統的技術知識和安全隱患都缺少了解,二是開源手機系統的安全設計本身不夠科學。
所謂的開源手機系統,就是源代碼全部公開的手機系統。安卓就是典型的開源手機系統。這種系統有利于系統的二次開發和應用程序的兼容安裝,然而安全性、可靠性很難保證,惡意程序便有了活躍的空間。
“由于開源手機系統安全隱患要大得多,所以,開源手機系統應當提高安全標準。這種安全標準,既可以體現在技術上,也可以體現在管理功能上。”謝君澤說,比如,在這次手機病毒事件中,在手機短信、手機瀏覽器中收到安裝文件時,如果安卓系統設置更為明顯的警告,告知手機用戶其中潛在風險,可能會大大減少中毒手機的數量。
謝君澤特別強調指出,這次事件影射出一個更大的問題是我國缺少自主的智能手機系統。目前,國內智能手機的操作系統基本上都是谷歌Andriod系統、蘋果的IOS系統和微軟的Windows Phone系統。我國不僅缺少自主的桌面操作系統,也缺少自主的手機操作系統。
“Android系統由于是開放源代碼,因此得到各大智能手機產商的青睞。然而,開源的另一方面問題就是Android系統面臨著更大的安全隱患。這次超級手機病毒只針對Android系統,就足以說明這個問題。要根治手機安全問題,中國必須拿出自主的手機操作系統,而且必須是技術過硬的手機操作系統。”謝君澤說。
京公網安備 11010502049343號