如何為網絡安全“織”網？

如何為網絡安全“織”網？

在虛擬的“網絡世界”里，“安全事件”隨時都在發生。

學生或因木馬病毒失去重要資料；白領或因輕信詐騙“一夜回到解放前”；企業或因違法處理個人信息，收到天價罰款；國家或因黑客攻擊導致關鍵信息基礎設施癱瘓……

這些“安全事件”發生在“網絡冰山”的海平面之下，或許起初并不為人所知，但早已無人可以置身事外。

在這一年一度的國家網絡安全宣傳周，讓我們共同再談如影隨形的“網絡安全”。

01 個人視角下的網絡安全

 

先說，站在個體角度，我們如何理解網絡安全？

前不久，一張“WiFi罰單”引發廣泛關注。

南方某地公安機關接報警，發現一家牛肉湯館提供的無線網絡WiFi為開放式，輸入密碼即可登錄，且并未記錄用戶號碼。

最后，這家店因沒有履行網絡安全保護義務，被予以行政警告處罰。

處罰一出，也有一些人覺得，僅僅是公共WiFi而已，似乎顯得有些“小題大做”，殊不知大意失荊州，不少黑客成功入侵，往往利用的就是這一點。

用安全圈的說法就是，在信息安全鏈條中，人是最不穩定和脆弱的環節。

某城市張先生，就是使用公共場所的WiFi后，電腦被黑客入侵，在U盾、銀行卡都在自己身邊的情況下，他網銀上的6萬多元被人在兩天內盜刷69次，經調查，張先生的錢是通過三個第三方支付平臺“溜走”，并且他的手機還被黑客做了手腳，接收消費提醒短信的功能也被屏蔽，所以發生的69次交易他根本沒收到任何短信提示，錢在不知不覺中就全被轉走了。

說白了，很多黑客及詐騙集團就是利用人性弱點，通過欺騙手段而入侵計算機系統。

“電信詐騙”也正是這一邏輯，近期火爆的電影《孤注一擲》揭開了這層黑紗，犯罪分子起初大都是利用高薪工作、賺大錢等噱頭，吸引并“洗腦”了一批受害者，在異國他鄉失去人身自由。

大數據時代，每個用戶都是數據的擁有者和使用者，同時也是數據的提供者和分享者。

但顯然，并不是每個人都清楚何為“有所為”和“有所不為”。

據某地電信部門通報，稱本地存在違規開展外呼服務的第三方電信公司。經調查，當地某電信公司員工劉某軍為牟取不法利益，批量獲取電信運營商內部系統數據的程序，部署于電信運營商內網，并將程序使用權限出售至第三方電信公司，非法獲取公民個人信息后，用于進行精準營銷。

網絡特性使然，我們必須牢記這句話：網絡安全服務于人民，網絡安全也必須依靠于人民。

02 國家視角下的網絡安全

那么，如何站在國家角度，看待網絡安全？

與陸、海、空、天一樣，網絡空間其實已成為國家的第五疆域。網絡安全是國家安全的重要組成部分，也是維護國家安全的重要任務之一。

以去年9月，某重點高校遭受美國網絡攻擊一事為例。

經技術分析與追蹤溯源，美國國家安全局對中國實施網絡攻擊和數據竊密的證據鏈清晰完整，涉及在美國國內對中國直接發起網絡攻擊的人員13名，以及為構建網絡攻擊環境而與美國電信運營商簽訂的合同60余份，電子文件170余份。

報告顯示，美方先后使用41種專用網絡攻擊武器裝備，對該高校發起攻擊竊密行動上千次，竊取了一批核心技術數據。

而除了處心積慮的網絡攻擊，越來越多“網絡間諜”浮出水面的同時，也提醒著我們，網絡的滲透率有多廣，網絡所需的“安全網”就要有多大。

對于攻擊方而言，網絡攻擊成本和入侵難度小，收益卻不少。一些網絡論壇中提供的在線攻擊服務，甚至僅需10美元就可以在IP上進行DDoS攻擊，并且有眾多網站給予DDoS攻擊軟件。

而這些低成本的網絡攻擊，可能導致企業網站癱瘓、業務無法正常運行。更為復雜的勒索攻擊需要企業支付高昂的贖金。

對于個人而言，防范意識薄弱，保密素養堪憂。在某高校組織的一次“釣魚郵件”演練中，校方針對該校師生和教職工發送了4萬余封“釣魚郵件”，不到2小時后，就有8000人次訪問了該釣魚網站，不少人中招“泄露”了個人信息。

對于國家而言，潛在密源眾多，難于監督管控。不少專家在授課或日常交流中難免會出現“超綱”涉密內容；一些工作人員或因缺少保密意識，或因保密工作環境不完善等原因，存在利用非涉密網絡和終端處理敏感數據、起草重要論文、傳印涉密資料等現象。

可以看出，網絡安全和信息化對一個國家很多領域都是牽一發而動全身的。若網絡成為不法之地，那其“千里眼、順風耳”的特質，只會愈加成為網絡犯罪滋生的土壤。

03 不斷“升級迭代”的網絡安全

最后，讓我們回歸網絡的本質來看網絡安全。

網絡安全所涉及的范圍非常廣泛，包括了網絡基礎設施、傳輸介質、操作系統、應用程序、數據庫、網絡協議、身份驗證、加密技術、反病毒軟件等各個層面。

因而，技術的飛速發展也給網絡安全治理提出了新的挑戰。

個人層面，人工智能降低個人網絡犯罪門檻。美國專業安全技術公司邁克菲市場總監泰勒·麥基說，“我發現暗網上有很多暗黑版的GPT，價格低廉，容易獲取，有的每個月只需花90美元就能訂閱使用。這些暗黑版GPT不但能寫釣魚郵件，還能編寫惡意程序代碼”。

社會層面，人工智能偽造虛假信息會誤導社會公眾。人工智能深度偽造軟件簡單易用，能輕松將面部表情、技術動作和聲音三者融為一體，這種平民化和社會娛樂化的工具，使得大規模、低成本的針對個人的惡搞乃至污蔑成為可能，甚至破壞社會信任、擾亂社會秩序。

今年6月，某地警方在網上巡查時發現“某化工廠發生重大火災”的視頻，短時間內瀏覽量迅速攀升。警方核實后，確認視頻為人工智能技術深度合成，并很快鎖定某科技網絡公司有較大作案嫌疑。

當然，國家層面也在“馬不停蹄”，不斷加強對網絡安全和個人信息的保護工作。

法律方面，從2016年《中華人民共和國網絡安全法》的頒布，到2022年9月其迎來首次修訂，國家互聯網信息辦公室發布了《關于修改〈中華人民共和國網絡安全法〉的決定（征求意見稿）》，引入金錢罰、資格罰等懲戒措施，結合《個人信息保護法》等先后出臺的法律法規，將有關安全責任修改為轉致性規定。

可以明確的是，無論是法律制度還是基層建設，相關力度都還在進一步深入。

網絡“鏈接”了我們的生活，拉近了國與國、人與人之間的距離，但也帶來了些許不安全感、不確定感以及憂慮感。

對于我們每一個個體而言，把握時代機遇固然重要，但識得網絡世界存在的“安全陷阱”，識得必要的個人信息保護手段，與社會、國家合力“織”好網絡安全這張“大網”，才是我們“網上沖浪”的題中要義。