安全亂象

劉　佳　侯大銀

“安全”已經(jīng)成為互聯(lián)網(wǎng)上最令人擔(dān)憂的關(guān)鍵詞。不久前，互聯(lián)網(wǎng)之父、TCP／IP協(xié)議聯(lián)合設(shè)計(jì)者溫頓·瑟夫(Vinton Cerf)向媒體表達(dá)了這樣的擔(dān)憂：“盡管互聯(lián)網(wǎng)1983年就投入了運(yùn)營(yíng)，并于1989年商業(yè)化，但目前互聯(lián)網(wǎng)仍然缺乏許多必需的功能，安全方面問(wèn)題尤為突出。”

McAfee Avert Labs的高級(jí)副總裁Jeff Green表示了對(duì)于互聯(lián)網(wǎng)安全的看法；“網(wǎng)絡(luò)罪犯正在制造計(jì)算機(jī)用戶無(wú)法識(shí)別的攻擊。釣魚欺詐、電子郵件攻擊、木馬和很多其它攻擊方式都是針對(duì)個(gè)人，即使最富經(jīng)驗(yàn)的人也可能落入精心策劃的社會(huì)工程陷阱中。不管您住在哪里或說(shuō)何種語(yǔ)言，網(wǎng)絡(luò)騙子都能利用人的本性，如恐懼、好奇心、貪婪和同情心等。罪犯了解人的弱點(diǎn)，并通過(guò)互聯(lián)網(wǎng)大加利用這些弱點(diǎn)。對(duì)于網(wǎng)絡(luò)騙子來(lái)說(shuō)，利用這種方式賺錢或竊取敏感數(shù)據(jù)非常容易。”

支付隱憂

因網(wǎng)絡(luò)安全問(wèn)題引發(fā)的真實(shí)財(cái)產(chǎn)的損失讓網(wǎng)民憂心忡忡。黑客、木馬盜用網(wǎng)銀資金、金融欺詐、大量銀行用戶數(shù)據(jù)信息被交易……今年央視“3.15晚會(huì)”對(duì)于網(wǎng)上銀行和網(wǎng)上支付安全隱患的曝光，令人觸目驚心。可以說(shuō)，消費(fèi)者對(duì)于網(wǎng)上支付的安全疑慮，成為了制約網(wǎng)絡(luò)消費(fèi)的重要瓶頸。根據(jù)艾瑞咨詢發(fā)布的一項(xiàng)調(diào)查顯示：有27.5％的網(wǎng)上銀行和網(wǎng)上支付用戶在晚會(huì)后決定減少使用網(wǎng)上銀行和網(wǎng)上支付，有3.0％的用戶決定不再使用。而網(wǎng)上銀行和網(wǎng)上支付的潛在用戶中，有57.6％決定推遲初次使用時(shí)間，有24.8％決定不再使用。

事實(shí)上，如今的電子支付早已跳出單純的在線買賣支付，越來(lái)越廣泛地滲透到航空、教育考試、水電繳費(fèi)等眾多消費(fèi)領(lǐng)域。艾瑞咨詢最新統(tǒng)計(jì)數(shù)據(jù)顯示，2009年第一季度網(wǎng)上支付交易額為1096億元，首次突破千億元大關(guān)，并繼續(xù)保持環(huán)比12.8％、同比129.3％的高速增長(zhǎng)。而隨著網(wǎng)絡(luò)交易量與網(wǎng)絡(luò)支付用戶數(shù)量的不斷攀升，支付安全問(wèn)題也呈現(xiàn)出幾何級(jí)數(shù)的擴(kuò)張趨勢(shì)。此前銀監(jiān)會(huì)在向各大銀行下發(fā)的文件中提出，第三方支付機(jī)構(gòu)信用風(fēng)險(xiǎn)、網(wǎng)絡(luò)黑客風(fēng)險(xiǎn)、信用卡非法套現(xiàn)風(fēng)險(xiǎn)、發(fā)生洗錢等犯罪行為風(fēng)險(xiǎn)以及法律風(fēng)險(xiǎn)，將是金融機(jī)構(gòu)和第三方支付平臺(tái)合作時(shí)首先需要評(píng)估的風(fēng)險(xiǎn)。

工欲善其事，必先利其器。網(wǎng)上支付的前景雖然美好，然而還有不少的技術(shù)障礙亟需解決，只有當(dāng)安全與信任共同建立，互聯(lián)網(wǎng)交易的屏障才會(huì)迎刃而解。目前來(lái)看，網(wǎng)絡(luò)支付的安全手段主要基于電腦本身，如讓用戶安裝加密安全控件、獨(dú)立的客戶端軟件、數(shù)字證書等等，下一步，如何在如何將各大銀行網(wǎng)銀、支付平臺(tái)、企業(yè)財(cái)務(wù)系統(tǒng)等支付各環(huán)節(jié)聯(lián)動(dòng)起來(lái)，提供更多有效的軟件甚至外設(shè)硬件來(lái)構(gòu)筑網(wǎng)上支付的安全防線，仍是需要業(yè)界不斷探索的問(wèn)題。

誰(shuí)動(dòng)了我的虛擬財(cái)產(chǎn)?

游戲幣被盜，裝備失竊……游戲近年逐漸成了網(wǎng)絡(luò)安全的泛紅區(qū)。隨著游戲玩家的增多，這里的安全威脅也日益突出。

前段時(shí)間，《魔獸》易主一直鬧得沸沸揚(yáng)揚(yáng)，但不管新東家是誰(shuí)，玩家們最關(guān)心的是游戲的數(shù)據(jù)轉(zhuǎn)移。他們希望看到，再次進(jìn)入《魔獸》時(shí)，等級(jí)、經(jīng)驗(yàn)和裝備依然完好無(wú)損。這樣的感情就像是在保護(hù)自己家中的那臺(tái)電腦，那張存折。

但實(shí)際上，在網(wǎng)絡(luò)里，虛擬財(cái)產(chǎn)卻不時(shí)受到侵?jǐn)_。當(dāng)玩家們正在為新練成的裝備而興奮時(shí)，幾天的辛勞成果卻不翼而飛。抑或正處于升級(jí)的快感中時(shí)，系統(tǒng)卻提示數(shù)據(jù)丟失。外界惡意的偷盜和運(yùn)營(yíng)商技術(shù)的不到位，都有可能對(duì)虛擬財(cái)產(chǎn)造成威脅。

無(wú)疑，外掛、私服、偷盜虛擬財(cái)產(chǎn)都是網(wǎng)游蓬勃發(fā)展中的冷箭。但是，對(duì)玩家來(lái)說(shuō)，游戲廠商有責(zé)任和義務(wù)保護(hù)玩家在虛擬世界中的安全，并且是無(wú)條件的保護(hù)，不因會(huì)員與否而改變。

隱私泄露：“重災(zāi)區(qū)”

伴隨著社交網(wǎng)站的興起，互聯(lián)網(wǎng)已進(jìn)入了全民SNS時(shí)代。然而，新的網(wǎng)絡(luò)時(shí)代帶來(lái)了新的網(wǎng)絡(luò)安全危機(jī)。當(dāng)你興奮地在SNS網(wǎng)站上廣泛結(jié)交好友的同時(shí)，也意味著你已經(jīng)將自己暴露于重重的安全隱患之中。

強(qiáng)調(diào)真實(shí)交友的社交網(wǎng)站，通常要求用戶填寫性別、年齡、教育程度、工作情況、婚姻情況、真實(shí)照片、手機(jī)號(hào)碼等真實(shí)個(gè)人資料，甚至是MSN賬號(hào)密碼、QQ賬號(hào)密碼等等。當(dāng)用戶將這些信息全部填寫完畢，幾乎再無(wú)隱私可言。

安全軟件制造商ESET研究人員Randy Abrams說(shuō)道：“由于不理解真正的威脅和危險(xiǎn)，部分人們默認(rèn)社交網(wǎng)站是安全的。這就像你走在街上然后信任你遇見的每個(gè)人一樣。”也許SNS的大部分擁躉們并沒有意識(shí)到社交網(wǎng)站所帶來(lái)的隱私威脅，而網(wǎng)絡(luò)黑客卻早已將攻擊目標(biāo)鎖定在大型社交網(wǎng)站。去年8月，F(xiàn)acebook有多達(dá)1800名用戶的用戶文檔遭到秘密安裝的木馬程序竄改#MySpace也有大量安全漏洞被安全專家披露。今年6月，國(guó)內(nèi)社交網(wǎng)站校內(nèi)網(wǎng)就遭遇了黑客的強(qiáng)行入侵，部分校內(nèi)網(wǎng)用戶反映，其日志被篡改并加入了“QQ千里眼”軟件下載引導(dǎo)的惡意代碼，隨后校內(nèi)網(wǎng)官方及時(shí)回應(yīng)對(duì)數(shù)據(jù)進(jìn)行及時(shí)恢復(fù)，并將聯(lián)系公關(guān)機(jī)關(guān)處理后續(xù)事宜。

“我們盡全力去保障Faceb00k安全，但我們無(wú)法為此擔(dān)保。”全球知名社交網(wǎng)站Facebook在一份告誡中如是說(shuō)。一位SNS活躍用戶向記者表示了自己的擔(dān)憂：“不論是黑客攻擊還是社交網(wǎng)站自身的問(wèn)題，這些事故讓我感覺自己在使用該網(wǎng)站時(shí)缺乏安全感，如果網(wǎng)站被黑客如履平地，或是我的賬號(hào)密碼被盜取，黑客將能夠隨意篡改、盜取我的個(gè)人信息，甚至向我的好友發(fā)送病毒網(wǎng)站鏈接或是欺詐性信息，這樣一來(lái)，不僅我的個(gè)人隱私無(wú)從保障，還可能對(duì)我在網(wǎng)上的無(wú)數(shù)好友帶來(lái)更大的危害。”

可靠的云?

“云計(jì)算”可謂是過(guò)去一年當(dāng)中最流行的IT詞匯。微軟、IBM、亞馬遜、Google……各大企業(yè)爭(zhēng)相推出看上去很可靠的“云計(jì)算”服務(wù)來(lái)吸引企業(yè)客戶。但事實(shí)上，當(dāng)企業(yè)將所有應(yīng)用程序和數(shù)據(jù)拋向“云端”的同時(shí)，也需要仔細(xì)考慮：“云”真的靠得住嗎?你是否真正放心將自己的重要信息甚至是涉及到商業(yè)機(jī)密、個(gè)人隱私的信息都存在“云”里?

就在今年4月舊金山召開的RSA會(huì)議上，云安全成為業(yè)界熱烈討論的話題，思科公司CEO John Chambers甚至直接稱云計(jì)算的安全問(wèn)題為“安全噩夢(mèng)”。而Gartner咨詢公司發(fā)布的一份名為《云計(jì)算安全風(fēng)險(xiǎn)評(píng)估》的報(bào)告中，列出了云計(jì)算技術(shù)存在的7大風(fēng)險(xiǎn)。即特權(quán)用戶的接入、可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、調(diào)查支持和長(zhǎng)期生存性。以“數(shù)據(jù)位置”為例，用戶在使用云計(jì)算服務(wù)時(shí)，并不清楚自己的數(shù)據(jù)儲(chǔ)存在哪里，用戶甚至都不知道數(shù)據(jù)位于哪個(gè)國(guó)家。

云計(jì)算的出現(xiàn)，讓正邪兩太陣營(yíng)再次找到對(duì)壘的戰(zhàn)場(chǎng)。以云計(jì)算技術(shù)為基礎(chǔ)的服務(wù)，如亞馬遜的Web服務(wù)、微軟的Azure等為企業(yè)和個(gè)人用戶提供的簡(jiǎn)單基礎(chǔ)運(yùn)算、按需租用的存儲(chǔ)空間等等云服務(wù)，但這些技術(shù)和服務(wù)同樣被黑客利用來(lái)發(fā)送垃圾郵件，或者發(fā)起針對(duì)下載、數(shù)據(jù)上傳統(tǒng)計(jì)、惡意代碼監(jiān)測(cè)等更為高級(jí)的惡意程序攻擊。

在2008年影響較大的Web2.0網(wǎng)絡(luò)故障事件中，也有多項(xiàng)

涉及到炙手可熱的云計(jì)算應(yīng)用。例如亞馬遜S3服務(wù)的中斷、GoogleApps(在線辦公應(yīng)用軟件)的中斷服務(wù)、Gmail服務(wù)的中斷等，讓那些本就處在“云里霧里”的企業(yè)和用戶更加憂慮和懷疑。就在不久前，多位知名度頗高的隱私和信息安全專家致信谷歌首席執(zhí)行官埃里克·施密特(Eric Schmidt)，要求谷歌云計(jì)算服務(wù)更改隱私設(shè)置以提升安全性。

在云計(jì)算日益流行的今天，如果服務(wù)廠商僅僅是給網(wǎng)絡(luò)服務(wù)貼上“云計(jì)算”的時(shí)髦標(biāo)簽，并不能讓用戶了解轉(zhuǎn)向云計(jì)算的真正價(jià)值。如果不將云計(jì)算的可靠性和安全性的軟肋問(wèn)題很好地解決，云計(jì)算的普及仍只是海市蜃樓。

網(wǎng)絡(luò)安全何處安放?

在線支付隱患、虛擬財(cái)產(chǎn)被盜、隱私泄露……，種種問(wèn)題挑戰(zhàn)著用戶的安全感，而運(yùn)營(yíng)商和“專家”們會(huì)給出如下的安全措施：

措施一：注意做好網(wǎng)絡(luò)安全防護(hù)措施，不僅僅是及時(shí)更新安全軟件、給系統(tǒng)打補(bǔ)丁，還得注意第三方應(yīng)用軟件的漏洞，比如瀏覽器、播放器，或者Flash等的漏洞。必要時(shí)，可以采用反釣魚網(wǎng)絡(luò)的瀏覽器插件和進(jìn)行Web安全檢測(cè)。

措施二：不要輕易泄露自己的隱私信息。盡量不要發(fā)布能確定自己身份的具體信息，比如真實(shí)姓名、生日、電話、住址、工作單位等信息。如果是采取實(shí)名制的網(wǎng)站，且你想使用真實(shí)信息的話，請(qǐng)?jiān)O(shè)置好隱私規(guī)則，將其設(shè)置為只對(duì)好友可見，阻止陌生人看到你的個(gè)人信息。對(duì)于來(lái)自陌生人的加為好友的請(qǐng)求，也要加強(qiáng)警惕，注意分辨。

對(duì)于網(wǎng)站用戶名，不要使用含有自己個(gè)人信息的用戶名，比如你的名字或者生日數(shù)字，此外還要設(shè)置一個(gè)安全的密碼。而注冊(cè)用的郵箱，最好也不要采用自己常用的郵箱，可以新建一個(gè)專門的郵箱用來(lái)注冊(cè)和接收網(wǎng)站信息。

不要在日志中記錄一些隱私方面的事情，更不要公布一些私密的照片，比如你的艷照，要知道，一旦這些信息被公布在網(wǎng)絡(luò)上，要立即根除這些信息是很麻煩的。

措施三：要對(duì)網(wǎng)上傳播的內(nèi)容要保持警惕，不要輕易點(diǎn)擊不明鏈接，不要貪圖小便宜，防范網(wǎng)絡(luò)釣魚。

措施四：向服務(wù)提供商尋求幫助，諸如QQ號(hào)被盜后的申訴，游戲道具失竊后的投訴等方法尋回丟失的財(cái)產(chǎn)。而此時(shí)，運(yùn)營(yíng)商還會(huì)要求用戶提供詳細(xì)的注冊(cè)信息，密碼、被盜時(shí)間、密保答案等等。

措施五……

如此之類的措施，用戶在每次安全問(wèn)題出現(xiàn)之后都會(huì)看到一大堆。但這些安全措施中有幾個(gè)是真正讓用戶感到安全的呢?盜號(hào)、隱私泄露、數(shù)據(jù)丟失等問(wèn)題依然存在，哪里才能找到真正的安全感?

用戶一直被廠商們標(biāo)榜為所有活動(dòng)的中心，但在盈利之外，用戶的權(quán)利是否得到了重視呢?繁冗的申訴程序、冰冷的客服服務(wù)、火熱的盈利模式探討……網(wǎng)民的權(quán)利在哪里?

歸根結(jié)底，互聯(lián)網(wǎng)是開放的，對(duì)所有人都平等。而對(duì)“手無(wú)寸鐵”的用戶來(lái)講，他們需要的不只是“防身術(shù)”，更是能從權(quán)利、環(huán)境方面給予支持的“保護(hù)傘”。