注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

我是老鹰的博客

一只湿羽的鹰 振翅拍打淤积的云

 
 
 

日志

 
 
关于我

老鹰(1971- ?)  老鹰(1971~?)伟大的中国特色黑客文化倡导者,无产阶级空想家、幻想家和梦想家,中国鹰派联盟网的主要缔造者和领导人。

网易考拉推荐

“网络实名制”与互联网安全企业“信任危机”的反思与展望   

2013-01-02 22:45:00|  分类: 安全文化篇:走向 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

“网络实名制”与互联网安全企业“信任危机”的反思与展望

@IDF实验室 @黑客老鹰

2012年可谓是以“互联网安全年”,以“CSDN脱库门"开始,以全国人大审议发布对互联网信息安全加强监管的决定结束。尤其在2012年底,国内互联网安全业界出现了戏剧性的场面:方舟子与360公司的口水大战备受网友关注,这位曾依靠打假而名声大震而自身也充满争议的科普作家首次对国内互联网安全公司开火,公开质疑360公司部分安全产品涉嫌搜集、窃取用户隐私,360公司亦进行反击包括悬赏10万元举报“黑公关”。各大媒体的争相报道之下,由年初“黑客脱库门”引发的曾被央视315曝光过的中国互联网领域最被忽略的用户隐私安全问题终于在年底被央视等传统媒体再次强力推向了公众的视野,最终促使了包括网络实名制在内的“中国互联网史上最强监管决定”的出台。

但回顾2012年需要值得注意的是,与以往多为媒体报道政府介入的方式不同,在今天微博自媒体时代,不同于以往3Q3金大战中厂商和水军的口水,互联网用户个体也有了自我表达诉求的方式。去年支持方舟子的声音中就出现了“技术型用户”——方舟子转发新浪微博网友“Royfly”的爆料贴《一把菜刀:360搜集隐私程序员级的分析》,以及微博名为@独立调查员发表的《公开举报奇虎360——致工信部、公安部的公开信》中均采取详细的技术分析来质疑360安全卫士涉嫌窃取用户隐私以及证明360安全浏览器暗藏后门这让事态迄今还是扑朔迷离

2006年我曾作为志愿者参加过奇虎360支持的“反流氓软件联盟”活动并担任技术顾问,作为曾是360免费杀毒模式的热情支持者和360逐步从杀毒、安全卫士、浏览器和搜索的“颠覆式创新”的见证者,自然对此格外关注。随着事件愈演愈烈,笔者业余时间发起互联网情报威慑防御实验室(Intelligence Defense Friends Laboratory简称:IDF实验室)作为民间信息网络安全爱好者的技术评测机构,基于对民间独立安全测评模式的探讨与尝试,去年我们觉得有必要规避口水,用责任和技术专业性,特别是基于电子取证的严谨性的方式对有关投诉举证进行验证

2012年11月下旬,在克服了某些外部压力和阻力,并在业界技术同仁的帮助下,IDF实验室发布了两份客观严谨的独立测评报告:《关于360安全卫士涉嫌窃取用户隐私的独立检测报告》《关于360安全浏览器暗藏后门证据的独立检测报告》这是迄今为止唯一的360公司相关负责人微博也承认是专业客观严谨的独立检测报告

IDF实验室组织这次民间测评的愿景,是期望互联网安全业界可以逐步告别早期的草莽英雄时代和模式,进而推动隐私保护立法、治理和桌面安全与信任问题的改善。云计算和大数据产业的发展,有赖于安全与信任体系的建立。IDF实验室相信,未来随着国家在互联网监管立法上的完善和执法水平能力以及组织保障体系的提高基础上,政府相关部门必须要考虑建立对互联网安全企业与产品的定级与监管,尤其是涉及广大互联网用户权益与信任方面,坚决谴责惩罚利用信息不对称恶意捆绑欺诈利用用户的产品行为。

笔者曾在2010年底的《中国互联网漫游在黎明前黑暗的路口——3Q大战硝烟背后迟到的反思》中写到:在没有有效司法约束的中国互联网丛林,需要一种像自然界所存在的制衡力量,来把垄断公司作恶的行为限制在一定的可以忍受的范围。互联网发展到今天,已经融入中国社会日常生活的各个层面,而安全与信任开放式互联网正常健康运行的基础今天蔓延爆发的互联网安全信任危机如依然任由其各自口水演绎,而各自为战还以过去急流勇进的方式去发展云计算和大数据产业,那就像将象在沙硕上快速建设高楼大厦一样随时都有坍塌的危险,必须引发我们高度的重视和警惕

未来互联网安全产业的监管自律和他律结合

互联网安全企业应该要告别草莽江湖的时代,走向自律是广大用户的美好期望。不是通过“绑架用户”和信息不对称各类流氓或口水方式,而是应该通过提升产品的用户体验、满足用户需求谨守社会责任底线的方式去参与竞争。恶性竞争造成劣币驱逐良币,甚至许多原本有创新有理想的企业最终也不得不自甘堕落、同流合污,被迫采用灰色手段。因为如果不适应“弱肉强食”的丛林竞争法则,就会率先出局。

但是由于安全产品的特殊性,一定程度上需要操作系统的底层权限或控制优先,从技术角度上说,它同时也具备了和用户管理权限一样甚至高于用户权限的可能。巨大的诱惑和今天大数据时代的想象空间,以及跨界和混业经营模式的流行,如果没有有效独立监管和制衡,特别是在被中国特色的“免费经济 流量入口”模式冲击下“小白用户”普遍的状况下以及业绩压力下,相关企业是否作恶完全是掌舵人的一念之间。而法律与监管的缺失以及处罚惩治的轻微,以及电子取证的特殊性和专业性,包括以“云模式”为噱头实则更加隐蔽的产品植入运营方式,都加速扩大了互联网安全企业与用户之间的信息不对称,这些都一定程度上也会助长不良企业的窥探之心

一旦行业没有了底线,会促使业内众多企业都不会真正将用户权益放在首位,而是挖空心思巧取豪夺各类大战还会继续你方唱罢我登场。这种杀鸡取卵的短视行为将扼杀中国互联网公司创新源动力,并由于产业的扩大和渗透带拉埃巨大的社会风险很可能也出现今年火爆的韩国电视连续剧《幽灵》中那样可怕的情形:一家做杀毒软件的互联网安全企业因为负责人的野心和图谋,试图监控和操纵任何用户,甚至包括网络警察。

所以,虽然我们未来依然要积极推动互联网安全企业的自律,鼓励和支持有社会责任意识的企业发展。但必须要考虑“他律”的有效监管和行业谴责与有强大威慑力的处罚机制。

网络安全问题已经引起了国家相关部门的高度重视,“十二五”规划中已经上升到国家战略高度。在“十二五”规划中互联网发展部分,重点提及加强网络与信息安全保障,国家已经意识到网络安全对互联网战略发展起着至关重要的作用。

对于互联网安全企业的自律和他律,笔者想重复下在多次公众场合里提到的一个愿景——“桌面阳光化”:对于风险和权利双重拥有的互联网安全企业,特别是桌面安全产品厂商,其核心技术或自愿在引擎和病毒库,涉及部署到大量用户桌面端的系统控制权限机制和检测标准等这部分代码应该向社会开源,接受来自国家权威检测机构和民间专业安全技术爱好者的检查与监督,云端的控制管理特别是可能涉及用户隐私数据的存储访问机制也应向政府和社会独立检测机构备案,随时接受来自政府权威部门的抽查与监管以及来自社会的质疑这样,就可能避免再发生厂商之间的口水战,将问题集中呈现在阳光下解决,震慑不良企业,推动行业逐步走下自律,获取广大互联网用户的长期信任,促进整体互联网产业的公平竞争

互联网安全监管的反思与治理展望

由于中国互联网高速发展初期相关法律的滞后以及监管能力的不足,特别是互联网跨地域跨行业的特点,给网络犯罪和不良企业造就了利用技术谋取不法利益的机会,通过侵犯用户以及企业隐私和安全获取资讯和秘密,偷盗用户虚拟资产骗取钱财乃至企业知识产权等行为近年来愈演愈烈,20125月,中国电子信息产业发展研究院、中国软件评测中心发布的《公众个人信息保护意识调研报告》显示,超过60%的被访者遇到过个人信息被盗用的情况。

互联网安全与用户隐私问题,今天已经不仅仅是信息安全而是一个社会风险问题没有法律的保障和定义,是最根本的因素。随着新刑事诉讼法正式将“电子数据”规定为法定证据种类之一,电子证据在刑事诉讼中取得了合法地位。由此,加快隐私保护立法,修订反垄断法,将互联网企业特别是安全企业与产品纳入到法治监管的范畴是大势所趋。在法律的指引下,用户隐私就不是互联网安全厂商随意涂抹的桌布,而为用户维护自身权益、行业监管提供权威依据,对于云计算、大数据产业的长远发展与合理布局也有着良好的规范作用

在有充分的法律指引与保障下,我们还需重新审视互联网安全监管的组织安全问题。ISO27001的控制域中,安全组织有非常重要的地位。笔者认为,必须反思目前多头和地域管理的局限性,面对互联网日益的碎片化和云化,必须考虑传统基于严格职能划分和地域划分的组织局限性和资源分散型对于互联网安全监管的应对限制,考虑组织共享和监管组织云化,消除地域鸿沟,加强信息与资源共享与协同处理以及事件定级标准化管理,减少人治,提高监管效率,加强保障法治威慑力与影响力。而过去用大量人力物力采取“网格化”过筛子的做法,往往是增大了社会创新和创业的成本,却对大量小打小闹游击式的网络犯罪和不良企业作恶无能为力,而大量的互联网受害用户却又应投诉无门而怨声载道。

当然,惩戒机制是法律权威和信誉的重要体现。特别是当有特殊优势的互联网安全厂商越界时,用户可以清楚地知道谁负责并有能力可信赖做出评测或裁定,以及是否有用户通畅易达的投诉渠道。惩罚机制一定要有力度,有威慑力。而目前在中国,除了开办色情网站的处罚因为高院的司法解释比较明确,对于资金充裕的商业互联网公司特别是安全企业越界侵犯用户权益以及涉及垄断的做法,判决太轻,惩罚力度不够,不足以形成威慑。当然上述监管与治理的核心,是始终以保护和发展中国互联网产业,鼓励创新为根本目标

未来,我们也期望在互联网自媒体时代,国家给予行业协会、民间机构更大的空间和动力去要积极主张网络主权的存在,共同促进立法部门建立健全网络法制的体系框架,督促执法部门强化法律实施和执法力度,形成完善的网络安全法治机制。加强举证举报,配合执法部门严厉打击整治网络违法犯罪活动震慑不良企业的流氓行径

在互联网发展历史上,2006昙花一现的中国反流氓软件联盟的做法或许值得借鉴和反思。这个联盟曾号称由网友自发组成,通过技术帮助,法律诉讼等手段,在帮助网友解决实际困难的同时促进互联网相关立法,净化互联网空间。这个联盟曾有自发加入的律师有120余位,联盟会员达万余名,遍布全国各地,该联盟帮助网友起诉了中搜、雅虎、易趣、千橡、中国互联网信息中心等大型公司和机构,引发了央视、人民日报等大型媒体以及人大代表的关注,对保护网友权利,促进国家司法部门重视产生了巨大的社会反响

不良企业和网络犯罪团伙滥用、盗用个人信息和企业秘密,不仅仅给社会秩序和网民权益造成多重危害,甚至可能威胁到国家经济乃至社会安全。解放军副总参谋长、中国国际战略学会会长马晓天曾经指出,信息技术的发展和网络的普及,使得网络安全问题由虚拟空间向现实世界延伸,给各国安全和国际安全带来新的挑战。网络信息传播突破了时空限制,蝴蝶效应对社会生活的影响更加明显,给传统安全防范体系造成冲击。各国电信通讯、商业金融、能源交通、工业控制乃至国防等领域对信息网络的依赖程度不断加深,使得基础设施安全的脆弱性日渐凸显。一些网络系统运行失常甚至崩溃,将会给各国经济社会带来严重冲击,并直接影响国家安全所以,网络空间法制建设以及社会监督保障体系的推进虽任重道远也势必刻不容缓。

在今天的全球化和信息大爆炸的趋势下,一个国家和社会的安全程度和发展潜力已经与这个国家的信息文明成熟度紧密相连互联网安全与信任体系,作为国家安全体系中最为重要的基础部分,全社会尤其是行业主管部门理应给予高度重视。笔者认为让方舟子这样的社会公众人物来参与谴责介入行业问题,已经是互联网安全业界缺乏作为的耻辱。今天的中国互联网业界,包括安全业界,在资金、技术、人才储备等方面,经历十多年发展已经具备了一定的基础,并形成了有自己特点的优势,只要有法可依,执法必公,携手齐心,完全有能力力挽狂澜,让相关产业与竞争创新模式走向健康的发展道路。中国的互联网用户也在众多行业博弈事件和各种口水大战的迷雾散去后逐步走向成熟。告别黑暗森林,走向阳光自律,透明监管的时机已经到来。

目前,社会各界依然对全国人大对于加强互联网监管的决定存在一定争议,其中相当一部分原因是来自对互联网运营商是否具备承担“托管式实名制”能力与职业操守的质疑笔者认为今天的确更重要的并不是拘泥于某几家互联网企业的江湖恩怨,而是是否能够暨此契机优化改善互联网安全治理环境,促进行业对话,推动行业自律,鼓励发展民间测评与政府权威测评机构良性互动,提升全社会对互联网安全与隐私保护的重视程度与辨识能力。古人云:上善若水,水利万物而不争。笔者也呼吁互联网安全业界企业早日告别口水,共同致力于中国互联网用户的信息安全,为国家经济社会环境的信息安全,建立合理健康有竞争力的互联网产业环境共同努力最后借用启明星辰公司广告词里的那句话与各位同仁共勉:安全既需未雨绸缪,何不早日风雨同舟。

 

×作者简介:

万涛(@黑客老鹰),IDF互联网情报威慑防御实验室、益云(公益互联网)社会创新中心联合创始人中国电子学会计算机取证专家委员会成员。1993年毕业于北京交通大学,曾服务于普华永道、公安部冠群金辰等企业,现IBM公司云计算服务部首席安全顾问。 

  评论这张
 
阅读(3639)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017