在虚拟的“网络世界”里,“安全事件”随时都在发生。
学生或因木马病毒失去重要资料;白领或因轻信诈骗“一夜回到解放前”;企业或因违法处理个人信息,收到天价罚款;国家或因黑客攻击导致关键信息基础设施瘫痪……
这些“安全事件”发生在“网络冰山”的海平面之下,或许起初并不为人所知,但早已无人可以置身事外。
在这一年一度的国家网络安全宣传周,让我们共同再谈如影随形的“网络安全”。
个人视角下的网络安全
先说,站在个体角度,我们如何理解网络安全?
前不久,一张“WiFi罚单”引发广泛关注。
南方某地公安机关接报警,发现一家牛肉汤馆提供的无线网络WiFi为开放式,输入密码即可登录,且并未记录用户号码。
最后,这家店因没有履行网络安全保护义务,被予以行政警告处罚。
处罚一出,也有一些人觉得,仅仅是公共WiFi而已,似乎显得有些“小题大做”,殊不知大意失荆州,不少黑客成功入侵,往往利用的就是这一点。
用安全圈的说法就是,在信息安全链条中,人是最不稳定和脆弱的环节。
某城市张先生,就是使用公共场所的WiFi后,电脑被黑客入侵,在U盾、银行卡都在自己身边的情况下,他网银上的6万多元被人在两天内盗刷69次,经调查,张先生的钱是通过三个第三方支付平台“溜走”,并且他的手机还被黑客做了手脚,接收消费提醒短信的功能也被屏蔽,所以发生的69次交易他根本没收到任何短信提示,钱在不知不觉中就全被转走了。
说白了,很多黑客及诈骗集团就是利用人性弱点,通过欺骗手段而入侵计算机系统。
“电信诈骗”也正是这一逻辑,近期火爆的电影《孤注一掷》揭开了这层黑纱,犯罪分子起初大都是利用高薪工作、赚大钱等噱头,吸引并“洗脑”了一批受害者,在异国他乡失去人身自由。
大数据时代,每个用户都是数据的拥有者和使用者,同时也是数据的提供者和分享者。
但显然,并不是每个人都清楚何为“有所为”和“有所不为”。
据某地电信部门通报,称本地存在违规开展外呼服务的第三方电信公司。经调查,当地某电信公司员工刘某军为牟取不法利益,批量获取电信运营商内部系统数据的程序,部署于电信运营商内网,并将程序使用权限出售至第三方电信公司,非法获取公民个人信息后,用于进行精准营销。
网络特性使然,我们必须牢记这句话:网络安全服务于人民,网络安全也必须依靠于人民。
国家视角下的网络安全
那么,如何站在国家角度,看待网络安全?
与陆、海、空、天一样,网络空间其实已成为国家的第五疆域。网络安全是国家安全的重要组成部分,也是维护国家安全的重要任务之一。
以去年9月,某重点高校遭受美国网络攻击一事为例。
经技术分析与追踪溯源,美国国家安全局对中国实施网络攻击和数据窃密的证据链清晰完整,涉及在美国国内对中国直接发起网络攻击的人员13名,以及为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
报告显示,美方先后使用41种专用网络攻击武器装备,对该高校发起攻击窃密行动上千次,窃取了一批核心技术数据。
而除了处心积虑的网络攻击,越来越多“网络间谍”浮出水面的同时,也提醒着我们,网络的渗透率有多广,网络所需的“安全网”就要有多大。
对于攻击方而言,网络攻击成本和入侵难度小,收益却不少。一些网络论坛中提供的在线攻击服务,甚至仅需10美元就可以在IP上进行DDoS攻击,并且有众多网站给予DDoS攻击软件。
而这些低成本的网络攻击,可能导致企业网站瘫痪、业务无法正常运行。更为复杂的勒索攻击需要企业支付高昂的赎金。
对于个人而言,防范意识薄弱,保密素养堪忧。在某高校组织的一次“钓鱼邮件”演练中,校方针对该校师生和教职工发送了4万余封“钓鱼邮件”,不到2小时后,就有8000人次访问了该钓鱼网站,不少人中招“泄露”了个人信息。
对于国家而言,潜在密源众多,难于监督管控。不少专家在授课或日常交流中难免会出现“超纲”涉密内容;一些工作人员或因缺少保密意识,或因保密工作环境不完善等原因,存在利用非涉密网络和终端处理敏感数据、起草重要论文、传印涉密资料等现象。
可以看出,网络安全和信息化对一个国家很多领域都是牵一发而动全身的。若网络成为不法之地,那其“千里眼、顺风耳”的特质,只会愈加成为网络犯罪滋生的土壤。
不断“升级迭代”的网络安全
最后,让我们回归网络的本质来看网络安全。
网络安全所涉及的范围非常广泛,包括了网络基础设施、传输介质、操作系统、应用程序、数据库、网络协议、身份验证、加密技术、反病毒软件等各个层面。
因而,技术的飞速发展也给网络安全治理提出了新的挑战。
个人层面,人工智能降低个人网络犯罪门槛。美国专业安全技术公司迈克菲市场总监泰勒·麦基说,“我发现暗网上有很多暗黑版的GPT,价格低廉,容易获取,有的每个月只需花90美元就能订阅使用。这些暗黑版GPT不但能写钓鱼邮件,还能编写恶意程序代码”。
社会层面,人工智能伪造虚假信息会误导社会公众。人工智能深度伪造软件简单易用,能轻松将面部表情、技术动作和声音三者融为一体,这种平民化和社会娱乐化的工具,使得大规模、低成本的针对个人的恶搞乃至污蔑成为可能,甚至破坏社会信任、扰乱社会秩序。
今年6月,某地警方在网上巡查时发现“某化工厂发生重大火灾”的视频,短时间内浏览量迅速攀升。警方核实后,确认视频为人工智能技术深度合成,并很快锁定某科技网络公司有较大作案嫌疑。
当然,国家层面也在“马不停蹄”,不断加强对网络安全和个人信息的保护工作。
法律方面,从2016年《中华人民共和国网络安全法》的颁布,到2022年9月其迎来首次修订,国家互联网信息办公室发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,引入金钱罚、资格罚等惩戒措施,结合《个人信息保护法》等先后出台的法律法规,将有关安全责任修改为转致性规定。
可以明确的是,无论是法律制度还是基层建设,相关力度都还在进一步深入。
网络“链接”了我们的生活,拉近了国与国、人与人之间的距离,但也带来了些许不安全感、不确定感以及忧虑感。
对于我们每一个个体而言,把握时代机遇固然重要,但识得网络世界存在的“安全陷阱”,识得必要的个人信息保护手段,与社会、国家合力“织”好网络安全这张“大网”,才是我们“网上冲浪”的题中要义。
