?���。对拢比?�,《中華人民共和國網(wǎng)絡(luò )安全法》正式施行��。這是我國首部網(wǎng)絡(luò )安全法���,保護個(gè)人信息是其重要內容�����。
近年來(lái)�����,我國個(gè)人信息泄露事件頻發(fā)�����,竊取個(gè)人隱私手段不斷翻新��,移動(dòng)互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)的快速發(fā)展又給網(wǎng)絡(luò )安全帶來(lái)新的隱患——《網(wǎng)絡(luò )安全法》值得全社會(huì )共同關(guān)注���。
竊取手段五花八門(mén)
“老同學(xué)聚會(huì )拍的照片你自己看吧���,哈哈�,大家沒(méi)怎么變呢���。查看請點(diǎn)開(kāi)下面鏈接……”不久前參加過(guò)同學(xué)聚會(huì )的郭先生收到這條短信后�����,沒(méi)多想就點(diǎn)了鏈接�,但沒(méi)看到同學(xué)聚會(huì )的照片�。幾天后他用手機登錄銀行賬戶(hù)時(shí)出現異常情況�����,就到銀行柜臺詢(xún)問(wèn)��,結果被告知賬號已被盜�����。
讓郭先生中招的是一種名為“相冊”的木馬病毒����,它能在手機中植入竊取信息的惡意程序���,手機感染后不僅會(huì )造成信息泄露��,甚至還可能引發(fā)財產(chǎn)損失�。不久前�����,國家互聯(lián)網(wǎng)應急中心發(fā)布的《2016年我國互聯(lián)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢綜述》顯示�����,2016年共發(fā)現“相冊”類(lèi)惡意程序47316個(gè)��,累計感染用戶(hù)超過(guò)101萬(wàn)�����。
“相冊”類(lèi)木馬只是諸多竊取個(gè)人信息程序中的一種���。在移動(dòng)互聯(lián)網(wǎng)時(shí)代���,不法分子由傳統的仿冒網(wǎng)址釣魚(yú)欺詐轉變成與短信��、欺詐電話(huà)���、手機木馬等手段相結合的復雜欺詐��,網(wǎng)民不需要在釣魚(yú)網(wǎng)站上輸入個(gè)人信息����,也可能被不知不覺(jué)地竊取信息����。
移動(dòng)互聯(lián)網(wǎng)應用(APP)也是惡意程序的重要傳播載體����,一些冒牌應用或帶有惡意程序的應用��,威脅著(zhù)個(gè)人信息的安全�?���!毒C述》顯示��,2016年����,國家互聯(lián)網(wǎng)應急中心通過(guò)自主捕獲和廠(chǎng)商交換獲得移動(dòng)互聯(lián)網(wǎng)惡意程序的數量達205萬(wàn)余個(gè)���,近7年來(lái)持續保持高速增長(cháng)的態(tài)勢�����。
截至2016年12月�,我國網(wǎng)民規模達7.31億人����,手機網(wǎng)民規模達6.95億人����。購物�����、支付類(lèi)應用場(chǎng)景的增加����,也讓個(gè)人信息更有牟利價(jià)值��。在利益驅使下��,一些不法分子販賣(mài)個(gè)人信息����,甚至形成了龐大的灰色產(chǎn)業(yè)鏈���。
安全專(zhuān)家�����、北京天融信科技有限公司副總裁唐寧表示���,除了傳統病毒木馬威脅����,近年來(lái)勒索軟件開(kāi)始猖獗�����,成為面向個(gè)人信息安全的重要威脅���。
另一種對個(gè)人信息安全造成威脅的是網(wǎng)絡(luò )運營(yíng)平臺信息泄露�����。2013年年底����,一家為全國4500多家酒店提供網(wǎng)絡(luò )服務(wù)的公司因系統存在安全漏洞��,致使全國2000萬(wàn)條賓館住宿記錄泄露��,泄露的信息包括用戶(hù)姓名�、證件號�����、聯(lián)系方式��、住宿時(shí)間等��。
國家互聯(lián)網(wǎng)應急中心運行部高級工程師李佳表示�,網(wǎng)站等運營(yíng)平臺的漏洞被攻破�����,黑客就能入侵并植入后門(mén)�����,造成大面積的海量信息泄露����。
李佳說(shuō)����,一些網(wǎng)絡(luò )運營(yíng)商��、平臺服務(wù)商�����、手機應用還會(huì )讀取��、上傳用戶(hù)的短信���、通話(huà)記錄等信息���,而有時(shí)候用戶(hù)并不知情�����。
網(wǎng)絡(luò )安全專(zhuān)家����、綠盟科技副總裁李晨說(shuō)����,一些軟件也會(huì )記錄用戶(hù)上網(wǎng)習慣��,收集賬號登錄信息���,甚至捆綁或植入其他軟件����。他認為��,當前黑客技術(shù)門(mén)檻變低��,竊取信息變得更加容易�����。與此同時(shí)���,網(wǎng)絡(luò )犯罪出現職業(yè)化的傾向�,已經(jīng)形成網(wǎng)絡(luò )黑色產(chǎn)業(yè)鏈條�����,工具開(kāi)發(fā)者����、工具應用者和利用工具實(shí)施犯罪者都有明確的分工��,形成了一套體系����。
新技術(shù)成為“雙刃劍”
“因為網(wǎng)絡(luò )服務(wù)升級��,您所辦理的寬帶業(yè)務(wù)需要更新�,收到信息及時(shí)聯(lián)系專(zhuān)線(xiàn)4008162378辦理變更申請……”家住北京的梁女士半年前辦理了一個(gè)寬帶套餐�,這條信息讓她差點(diǎn)信以為真���。多虧她留了個(gè)心眼�,向寬帶公司電話(huà)咨詢(xún)后才察覺(jué)這是一條詐騙短信�����。
盡管沒(méi)有上當����,梁女士還是疑惑不解:為什么對方知道我的真實(shí)姓名����、手機號�、家庭住址�?這些信息為何被泄露了�����?
李佳說(shuō)�����,一些掌握了大量用戶(hù)個(gè)人信息的傳統公司�����,比如房產(chǎn)����、中介����、銀行���、保險����、快遞等�����,由于內部管理不嚴等原因���,個(gè)人信息常被偷偷售賣(mài)�。
?���。玻埃保的曛?����,大數據技術(shù)開(kāi)始進(jìn)入實(shí)戰應用階段�����,在推進(jìn)了不少行業(yè)和領(lǐng)域變革的同時(shí)����,也對網(wǎng)絡(luò )安全提出了新挑戰�。唐寧表示��,在大數據����、云計算等信息技術(shù)的支撐下�����,企業(yè)收集����、保存���、處理數據的成本大大降低����。包括個(gè)人信息在內的數據只有通過(guò)流動(dòng)��、共享甚至交易才能充分發(fā)揮其社會(huì )價(jià)值��、經(jīng)濟價(jià)值�,而這些數據在流動(dòng)和交易過(guò)程中����,又極易產(chǎn)生個(gè)人信息擴散��、失控的危險�,個(gè)人隱私泄露的威脅將持續存在����。
此外���,隨著(zhù)物聯(lián)網(wǎng)的興起����,個(gè)人在擁抱智能生活���、享受便利的同時(shí)���,也面臨著(zhù)越來(lái)越多的風(fēng)險��?����!毒C述》顯示����,2016年針對物聯(lián)網(wǎng)設備的網(wǎng)絡(luò )攻擊增多�。2016年國家信息安全漏洞共享平臺(CNVD)收錄物聯(lián)網(wǎng)智能設備漏洞1117個(gè)����,主要涉及網(wǎng)絡(luò )攝像頭���、智能路由器���、智能網(wǎng)關(guān)等設備����,漏洞類(lèi)型主要為權限繞過(guò)�����、信息泄露����、命令執行等�����。
“萬(wàn)物互聯(lián)�����,使信息暴露更多端點(diǎn)�,這就帶來(lái)了潛在的隱患�,且一些智能設備本身的防護能力比較薄弱��,容易被攻擊者利用漏洞獲取設備控制權限�����,或用于用戶(hù)信息數據竊取��,或用于控制形成大規模僵尸網(wǎng)絡(luò )�����。”李晨說(shuō)��。
李佳介紹說(shuō)��,國家互聯(lián)網(wǎng)應急中心檢測發(fā)現�,目前物聯(lián)網(wǎng)設備中各種智能攝像頭的隱患最為嚴重����。2016年�,監測發(fā)現超過(guò)13萬(wàn)個(gè)聯(lián)網(wǎng)攝像頭存在漏洞�,有被黑客入侵控制的風(fēng)險��。“這些攝像頭未來(lái)都會(huì )連接互聯(lián)網(wǎng)�,一旦被黑客入侵��,后者就可以遠程查看攝像頭拍攝的視頻���,可能導致個(gè)人信息的泄露����。”
李晨認為���,個(gè)人信息泄露之所以頻發(fā)�����,很重要的原因是個(gè)人信息被暴露的環(huán)境和應用場(chǎng)景增加����。網(wǎng)絡(luò )犯罪是人類(lèi)社會(huì )違法活動(dòng)的網(wǎng)絡(luò )化呈現�,只要有利可圖就難以從根本上杜絕���。
劍指信息保護“痛點(diǎn)”
竊取個(gè)人信息違法活動(dòng)屢禁不止�、打擊黑客難度大的一個(gè)重要原因�����,是個(gè)人信息獲取��、存儲和利用的環(huán)節更加復雜���,線(xiàn)下和線(xiàn)上傳播具有隱蔽性和復雜性��。與此同時(shí)���,追本溯源成本高����,發(fā)現���、查處難度大�,處罰�����、賠償力度小����,也使販賣(mài)及非法使用個(gè)人信息黑灰色產(chǎn)業(yè)鏈有了巨大的投機空間���。
法律缺失也是個(gè)人信息違法活動(dòng)猖獗的原因之一�����。在《網(wǎng)絡(luò )安全法》出臺之前�,相關(guān)管理部門(mén)雖然制定并頒布了多個(gè)網(wǎng)絡(luò )信息安全的規定和辦法�,但立法層級比較低����,對一些網(wǎng)絡(luò )安全違法行為界定不清晰��,處罰力度不夠����,缺乏足夠的威懾力�。
據介紹����,針對個(gè)人信息保護的“痛點(diǎn)”�����,《網(wǎng)絡(luò )安全法》在信息收集使用��、網(wǎng)絡(luò )運營(yíng)者應盡的保護義務(wù)等方面提出了明確要求�。比如��,網(wǎng)絡(luò )運營(yíng)者不得泄露��、篡改���、毀損其收集的個(gè)人信息�,未經(jīng)被收集者同意�����,不得向他人提供個(gè)人信息�����,但是經(jīng)過(guò)處理無(wú)法識別特定個(gè)人且不能復原的除外�����。
針對取證難��、追責難的困局�,《網(wǎng)絡(luò )安全法》還明確了網(wǎng)絡(luò )信息安全的責任主體��,確立了“誰(shuí)收集��,誰(shuí)負責”的基本原則���。
李佳說(shuō)�����,保護個(gè)人信息�����,個(gè)人用戶(hù)也要提高自身安全意識���。如非必要��,盡量不要在一些網(wǎng)站上提交個(gè)人信息����;要訪(fǎng)問(wèn)正規的網(wǎng)站���,避免被釣魚(yú)網(wǎng)站騙取個(gè)人信息等��。
網(wǎng)絡(luò )安全管理部門(mén)和產(chǎn)業(yè)界則呼吁��,建立協(xié)同處理安全風(fēng)險的機制�����,快速響應并加強對安全態(tài)勢的監測和感知����。
國家互聯(lián)網(wǎng)應急中心副主任劉欣然介紹說(shuō)��,當前我國處理網(wǎng)絡(luò )安全面臨的問(wèn)題主要體現在3方面:一是注重自己的領(lǐng)域�,行業(yè)溝通不足��;二是系統孤立�����,技術(shù)成果和能力難以共享�;三是在機制上缺乏標準����,沒(méi)有組織化和體系化��。他建議��,要盡快建立監測���、研判�����、預警���、處置和追蹤的網(wǎng)絡(luò )安全問(wèn)題聯(lián)合處置機制�����。(喻思孌)
