安全亂象

劉　佳　侯大銀

“安全”已經成為互聯網上最令人擔憂的關鍵詞。不久前，互聯網之父、TCP／IP協議聯合設計者溫頓·瑟夫(Vinton Cerf)向媒體表達了這樣的擔憂：“盡管互聯網1983年就投入了運營，并于1989年商業化，但目前互聯網仍然缺乏許多必需的功能，安全方面問題尤為突出?！?/p>

McAfee Avert Labs的高級副總裁Jeff Green表示了對于互聯網安全的看法；“網絡罪犯正在制造計算機用戶無法識別的攻擊。釣魚欺詐、電子郵件攻擊、木馬和很多其它攻擊方式都是針對個人，即使最富經驗的人也可能落入精心策劃的社會工程陷阱中。不管您住在哪里或說何種語言，網絡騙子都能利用人的本性，如恐懼、好奇心、貪婪和同情心等。罪犯了解人的弱點，并通過互聯網大加利用這些弱點。對于網絡騙子來說，利用這種方式賺錢或竊取敏感數據非常容易。”

支付隱憂

因網絡安全問題引發的真實財產的損失讓網民憂心忡忡。黑客、木馬盜用網銀資金、金融欺詐、大量銀行用戶數據信息被交易……今年央視“3.15晚會”對于網上銀行和網上支付安全隱患的曝光，令人觸目驚心?？梢哉f，消費者對于網上支付的安全疑慮，成為了制約網絡消費的重要瓶頸。根據艾瑞咨詢發布的一項調查顯示：有27.5％的網上銀行和網上支付用戶在晚會后決定減少使用網上銀行和網上支付，有3.0％的用戶決定不再使用。而網上銀行和網上支付的潛在用戶中，有57.6％決定推遲初次使用時間，有24.8％決定不再使用。

事實上，如今的電子支付早已跳出單純的在線買賣支付，越來越廣泛地滲透到航空、教育考試、水電繳費等眾多消費領域。艾瑞咨詢最新統計數據顯示，2009年第一季度網上支付交易額為1096億元，首次突破千億元大關，并繼續保持環比12.8％、同比129.3％的高速增長。而隨著網絡交易量與網絡支付用戶數量的不斷攀升，支付安全問題也呈現出幾何級數的擴張趨勢。此前銀監會在向各大銀行下發的文件中提出，第三方支付機構信用風險、網絡黑客風險、信用卡非法套現風險、發生洗錢等犯罪行為風險以及法律風險，將是金融機構和第三方支付平臺合作時首先需要評估的風險。

工欲善其事，必先利其器。網上支付的前景雖然美好，然而還有不少的技術障礙亟需解決，只有當安全與信任共同建立，互聯網交易的屏障才會迎刃而解。目前來看，網絡支付的安全手段主要基于電腦本身，如讓用戶安裝加密安全控件、獨立的客戶端軟件、數字證書等等，下一步，如何在如何將各大銀行網銀、支付平臺、企業財務系統等支付各環節聯動起來，提供更多有效的軟件甚至外設硬件來構筑網上支付的安全防線，仍是需要業界不斷探索的問題。

誰動了我的虛擬財產?

游戲幣被盜，裝備失竊……游戲近年逐漸成了網絡安全的泛紅區。隨著游戲玩家的增多，這里的安全威脅也日益突出。

前段時間，《魔獸》易主一直鬧得沸沸揚揚，但不管新東家是誰，玩家們最關心的是游戲的數據轉移。他們希望看到，再次進入《魔獸》時，等級、經驗和裝備依然完好無損。這樣的感情就像是在保護自己家中的那臺電腦，那張存折。

但實際上，在網絡里，虛擬財產卻不時受到侵擾。當玩家們正在為新練成的裝備而興奮時，幾天的辛勞成果卻不翼而飛。抑或正處于升級的快感中時，系統卻提示數據丟失。外界惡意的偷盜和運營商技術的不到位，都有可能對虛擬財產造成威脅。

無疑，外掛、私服、偷盜虛擬財產都是網游蓬勃發展中的冷箭。但是，對玩家來說，游戲廠商有責任和義務保護玩家在虛擬世界中的安全，并且是無條件的保護，不因會員與否而改變。

隱私泄露：“重災區”

伴隨著社交網站的興起，互聯網已進入了全民SNS時代。然而，新的網絡時代帶來了新的網絡安全危機。當你興奮地在SNS網站上廣泛結交好友的同時，也意味著你已經將自己暴露于重重的安全隱患之中。

強調真實交友的社交網站，通常要求用戶填寫性別、年齡、教育程度、工作情況、婚姻情況、真實照片、手機號碼等真實個人資料，甚至是MSN賬號密碼、QQ賬號密碼等等。當用戶將這些信息全部填寫完畢，幾乎再無隱私可言。

安全軟件制造商ESET研究人員Randy Abrams說道：“由于不理解真正的威脅和危險，部分人們默認社交網站是安全的。這就像你走在街上然后信任你遇見的每個人一樣。”也許SNS的大部分擁躉們并沒有意識到社交網站所帶來的隱私威脅，而網絡黑客卻早已將攻擊目標鎖定在大型社交網站。去年8月，Facebook有多達1800名用戶的用戶文檔遭到秘密安裝的木馬程序竄改#MySpace也有大量安全漏洞被安全專家披露。今年6月，國內社交網站校內網就遭遇了黑客的強行入侵，部分校內網用戶反映，其日志被篡改并加入了“QQ千里眼”軟件下載引導的惡意代碼，隨后校內網官方及時回應對數據進行及時恢復，并將聯系公關機關處理后續事宜。

“我們盡全力去保障Faceb00k安全，但我們無法為此擔保?！比蛑缃痪W站Facebook在一份告誡中如是說。一位SNS活躍用戶向記者表示了自己的擔憂：“不論是黑客攻擊還是社交網站自身的問題，這些事故讓我感覺自己在使用該網站時缺乏安全感，如果網站被黑客如履平地，或是我的賬號密碼被盜取，黑客將能夠隨意篡改、盜取我的個人信息，甚至向我的好友發送病毒網站鏈接或是欺詐性信息，這樣一來，不僅我的個人隱私無從保障，還可能對我在網上的無數好友帶來更大的危害?！?/p>

可靠的云?

“云計算”可謂是過去一年當中最流行的IT詞匯。微軟、IBM、亞馬遜、Google……各大企業爭相推出看上去很可靠的“云計算”服務來吸引企業客戶。但事實上，當企業將所有應用程序和數據拋向“云端”的同時，也需要仔細考慮：“云”真的靠得住嗎?你是否真正放心將自己的重要信息甚至是涉及到商業機密、個人隱私的信息都存在“云”里?

就在今年4月舊金山召開的RSA會議上，云安全成為業界熱烈討論的話題，思科公司CEO John Chambers甚至直接稱云計算的安全問題為“安全噩夢”。而Gartner咨詢公司發布的一份名為《云計算安全風險評估》的報告中，列出了云計算技術存在的7大風險。即特權用戶的接入、可審查性、數據位置、數據隔離、數據恢復、調查支持和長期生存性。以“數據位置”為例，用戶在使用云計算服務時，并不清楚自己的數據儲存在哪里，用戶甚至都不知道數據位于哪個國家。

云計算的出現，讓正邪兩太陣營再次找到對壘的戰場。以云計算技術為基礎的服務，如亞馬遜的Web服務、微軟的Azure等為企業和個人用戶提供的簡單基礎運算、按需租用的存儲空間等等云服務，但這些技術和服務同樣被黑客利用來發送垃圾郵件，或者發起針對下載、數據上傳統計、惡意代碼監測等更為高級的惡意程序攻擊。

在2008年影響較大的Web2.0網絡故障事件中，也有多項

涉及到炙手可熱的云計算應用。例如亞馬遜S3服務的中斷、GoogleApps(在線辦公應用軟件)的中斷服務、Gmail服務的中斷等，讓那些本就處在“云里霧里”的企業和用戶更加憂慮和懷疑。就在不久前，多位知名度頗高的隱私和信息安全專家致信谷歌首席執行官埃里克·施密特(Eric Schmidt)，要求谷歌云計算服務更改隱私設置以提升安全性。

在云計算日益流行的今天，如果服務廠商僅僅是給網絡服務貼上“云計算”的時髦標簽，并不能讓用戶了解轉向云計算的真正價值。如果不將云計算的可靠性和安全性的軟肋問題很好地解決，云計算的普及仍只是海市蜃樓。

網絡安全何處安放?

在線支付隱患、虛擬財產被盜、隱私泄露……，種種問題挑戰著用戶的安全感，而運營商和“專家”們會給出如下的安全措施：

措施一：注意做好網絡安全防護措施，不僅僅是及時更新安全軟件、給系統打補丁，還得注意第三方應用軟件的漏洞，比如瀏覽器、播放器，或者Flash等的漏洞。必要時，可以采用反釣魚網絡的瀏覽器插件和進行Web安全檢測。

措施二：不要輕易泄露自己的隱私信息。盡量不要發布能確定自己身份的具體信息，比如真實姓名、生日、電話、住址、工作單位等信息。如果是采取實名制的網站，且你想使用真實信息的話，請設置好隱私規則，將其設置為只對好友可見，阻止陌生人看到你的個人信息。對于來自陌生人的加為好友的請求，也要加強警惕，注意分辨。

對于網站用戶名，不要使用含有自己個人信息的用戶名，比如你的名字或者生日數字，此外還要設置一個安全的密碼。而注冊用的郵箱，最好也不要采用自己常用的郵箱，可以新建一個專門的郵箱用來注冊和接收網站信息。

不要在日志中記錄一些隱私方面的事情，更不要公布一些私密的照片，比如你的艷照，要知道，一旦這些信息被公布在網絡上，要立即根除這些信息是很麻煩的。

措施三：要對網上傳播的內容要保持警惕，不要輕易點擊不明鏈接，不要貪圖小便宜，防范網絡釣魚。

措施四：向服務提供商尋求幫助，諸如QQ號被盜后的申訴，游戲道具失竊后的投訴等方法尋回丟失的財產。而此時，運營商還會要求用戶提供詳細的注冊信息，密碼、被盜時間、密保答案等等。

措施五……

如此之類的措施，用戶在每次安全問題出現之后都會看到一大堆。但這些安全措施中有幾個是真正讓用戶感到安全的呢?盜號、隱私泄露、數據丟失等問題依然存在，哪里才能找到真正的安全感?

用戶一直被廠商們標榜為所有活動的中心，但在盈利之外，用戶的權利是否得到了重視呢?繁冗的申訴程序、冰冷的客服服務、火熱的盈利模式探討……網民的權利在哪里?

歸根結底，互聯網是開放的，對所有人都平等。而對“手無寸鐵”的用戶來講，他們需要的不只是“防身術”，更是能從權利、環境方面給予支持的“保護傘”。