網絡安全保衛戰

文/阿碧

網絡安全保衛戰

Crowd Violence

文/阿碧

網絡安全問題日益突出

網絡空間是人類第二生存空間，是繼領土、領海、領空和太空之后的第五主權空間。如何依法治理網絡空間，是擺在世界各國政府面前的棘手問題。

歐洲在歐洲，網絡犯罪也日益泛濫。統計數據顯示，全球每天約有一百萬人成為各種網絡犯罪的受害者，而網絡犯罪每年導致受害者損失大約五千億美元。歐洲民眾對網絡安全非常擔憂，89%的網絡用戶會避免在網上公布個人信息，12%的網絡用戶曾遭受過網絡欺詐。為此，歐盟委員會于2012 年12月成立了歐洲網絡犯罪中心，以保護歐洲民眾和公司不受網絡犯罪的危害。歐盟委員會內政事務委員塞西莉亞·馬爾姆斯特倫說，這一機構將提高歐盟打擊網絡犯罪的能力，從而維護一個自由、開放和安全的互聯網。歐盟委員會稱，由于網絡犯罪的特殊性，在調查時往往涉及數以百計的受害者，加上犯罪嫌疑人又在全球不同地區，單靠一個國家的警力難以勝任。歐洲網絡犯罪中心成立后，可以整合歐盟各國的資源和信息，支持犯罪調查，從而在歐盟層面上找到解決方案。

2012年12月2 8日，第十一屆全國人大常員會第三十次會議表決通過了《關于加強網絡信息保護的決定》。決定明確規定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。”此次立法對公民的網絡信息安全進行保護，特別將公民個人電子信息安全的保護提升到了十分顯著的位置，這是我國信息安全立法的重大突破，也標志著我國法制建設的更進一步。目前，世界各國的政府、網絡服務商、網絡用戶都在一起努力，共同參與網絡安全保衛戰，有效防御和打擊網絡犯罪。那么，究竟可以采取哪些技術來有效保護網絡安全呢？

美國美國各級執法部門也在整合資源，加強合作，更加嚴厲地打擊日益猖獗的網絡犯罪行為。目前，美國境內的網絡犯罪行為日益猖獗，電腦、智能手機等終端和其他信息技術成為犯罪組織和個人從事網絡犯罪的工具。2012年10月，美國奧蘭治縣為了打擊網絡信息犯罪，建立了“區域性計算機取證實驗室”。這個實驗室耗資七百萬美元、歷時三年建成，它已經開始為南加利福尼亞地區執法部門提供服務。通過這個實驗室可以對網絡犯罪的各種數據進行分析，幫助執法部門追蹤網絡犯罪嫌犯和組織。該實驗室所追蹤的網絡犯罪行為包括傳播電腦病毒、安插惡意軟件、信用卡欺詐、黑客入侵、盜用網絡身份、網絡色情和網絡“釣魚”等。在美國，已經建立了十五個“區域性計算機取證實驗室”。自聯邦調查局在全美各地建立實驗室以來，網絡犯罪調查工作更加規范化，案件偵破率有所提高，美國的個人電子信息安全得到進一步加強。

中國在我國，網絡安全的突出問題是網絡信息犯罪。比如，光是電信詐騙一項，一年的涉案金額就多達60～70個億。2011年，我國城鎮居民人均可支配收入是2.1萬多元。也就是說，按這個指標來換算，騙子們點點鼠標，打打電話，就能讓超過十萬個三口之家全年的收入血本無歸。據公安部的統計，近年來，電信詐騙案件持續高發，不法分子通過撥打網絡電話、發送手機短信，以獲獎扣稅、電話欠費、法院傳票、社保信息被盜用、汽車退稅等借口，冒用金融、社保機構和執法機關的名義實施詐騙。社會財富來之不易，不能任由騙子蠶食鯨吞。只有遏制信息詐騙犯罪，人們才會擁有安全感，社會才能安定祥和。 為此，我國在制定或者修改侵權責任法、刑法修正案、居民身份證法等法律時，完善了懲處危害網絡安全和信息安全的違法犯罪行為，對侵犯公民個人信息和隱私等行為做出了刑罰方面的規定。

實名制讓網絡犯罪分子現形

互聯網上流傳一句很有名的話：“在互聯網上，沒有人知道你是不是一條狗。”這就是網絡的一個重要特征——匿名。這個特征讓許多人沉溺于網絡的虛擬身份和虛擬交往，人們享用到不同于現實的便捷性社交模式。然而，匿名也成為網絡犯罪的根源之一。匿名加大了警方偵察犯罪活動的成本和難度，許多犯罪分子由此逍遙法外。由于目前網絡犯罪的報案率和破案率都相對較低，越來越多的犯罪分子則逐漸把罪惡之手從現實轉移到網絡上。由于缺乏有效的監管，網絡也正在逐漸成為一個失控的地帶。匿名上網使人們不再謹言慎行。網絡辱罵、造謠誹謗、惡意“人肉搜索”等網絡暴力事件層出不窮，一些受害者甚至為此付出了生命的代價。利用網絡可以輕而易舉地捏造身份，也為信用卡詐騙等形形色色的網絡犯罪提供了滋生的土壤。

如何應對日益混亂的網絡世界？有人認為，推行網絡實名制是一條可行的解決之道，它將為人們帶來一個更安全、更友好的網絡環境。全球最大社交網站臉譜網（Facebook）是率先采用網絡實名制的網站之一。要成為該網站的用戶必須使用實名注冊。每次登錄網站后，無論是發布、傳送信息還是標記照片，用戶的一言一行都會與線下的真實身份掛起鉤來。自2008年以來，陸續有不少網站與臉譜網進行了整合，訪問網站的網民中只有臉譜網用戶才有發表評論的權利。這樣一來，這些網站等于間接實現了實名制，因為每篇評論的作者身份都將有據可查。一些網站表示，與臉譜網的整合對于凈化網上評論的效果可謂立竿見影。未整合前，有的網站幾乎近一半的評論內容均為各種烏七八糟的垃圾信息，而現在絕大多數都是言之有物的有價值評論。

目前，包括新浪、搜狐、網易、騰訊在內的國內四大微博服務網站已經實行實名制認證。在網絡匿名時代，不少網民為了保護自己的個人信息，往往在注冊時故意輸入錯誤的信息。實施網絡實名制之后，網絡對用戶信息的真實性會通過技術手段（比如和警方的身份證系統聯網）進行相關的認證，認證不能通過者就不能完成注冊。這引發了網民對個人隱私泄露的擔心。其實，在網絡匿名時代，幾乎所有網站都需要注冊用戶填寫較為詳細的個人信息，這些信息可能被轉賣，也可能被竊取。大部分網民都老老實實地填寫自己的真實個人信息，而那些網絡犯罪分子的個人信息百分之百是假的。因此，網絡匿名看似保護了個人隱私，實際上不但不能保護我們的電子隱私信息，反而“保護”了網絡犯罪分子的身份信息。與此相反，實施實名制之后，每個人在網絡上的行為舉止能和行為者的真實身份掛鉤，可以讓警方像現實世界一樣對犯罪行為進行追蹤，這種追蹤甚至可以更加快捷、高效。

世上沒有完美無缺，再高明的犯罪分子在登陸網絡時也會留下蛛絲馬跡，綜合起來就成了數字指紋。

利用數字指紋追蹤網絡犯罪

盡管不少網站開始對用戶身份進行監控和管理，但是還有很多網站沒有實名制，即使實施實名制的網站也難以完全杜絕犯罪分子的身份資料造假行為。為此，一些研究人員開發出一些網絡身份識別技術。就像現實生活中追蹤犯罪分子會用到指紋一樣，警方對網絡犯罪也會搜索數字指紋。無論犯罪分子多細心、技術手段多高明，他們在登錄網站時都會留下許多蛛絲馬跡，這些痕跡綜合起來就構成了數字指紋。這些痕跡包括以下幾個方面：電腦中的字體，屏幕尺寸和顯示精度，所安裝的軟件，IP地址，常用的語言，操作系統和所使用的版本，電腦、智能手機等設備的名稱和型號，等等。

英國研究人員還開發出一種電子郵件寫作風格識別軟件，令警方可以有效查找利用電子郵件犯罪的人員。近年來，通過電子郵件發送垃圾信息、傳播病毒，甚至實施詐騙的現象日益猖獗，造成的危害越來越大。為逃避處罰或是誘騙人們上當，這些郵件的發送者往往利用各種方法隱藏真實身份。然而，一些個人寫作風格會泄露郵件書寫者的真實身份。比如，有人喜歡用長句子，有人喜歡用短句子，有人習慣寫得比較正式，有人習慣寫得親切自然，如果是英文郵件，可能還會存在各種細微的拼寫差異，等等。要偽造郵件發件人姓名和地址很容易，但要惟妙惟肖地模仿郵件寫作風格則困難得多。基于這一原理，一些軟件通過特定的算法程序對電子郵件的寫作風格進行分析。經測試，此類軟件對郵件作者的身份識別準確率已達70%。專家預測，隨著技術的不斷成熟和完善，準確率還能進一步提高。

網絡加密保護個人信息

一旦發生網絡上的個人信息竊取、篡改、非法訪問的事件，難道用戶只能被動挨打、自認倒霉嗎？答案當然是否定的。現在，警方可以利用計算機取證和安全監控技術加強對網絡的監管，增強網絡的安全性：用戶自己也可以利用取證和監控工具對重要的目標（虛擬主機、物理主機、敏感數據、網絡流量等）實施監控，監控網絡中可能發生的異常行為。當網絡安全事件發生時，馬上進行應急響應取得證據，利用監控數據或電子證據追溯異常行為所產生的源頭，為下一步司法介入鋪平道路。

如何保護好個人電子信息？從用戶個人的角度來說，個人平時要養成不要在網絡上發布隱私、敏感或保密信息外，還要保存好自己的相關網絡賬戶及密碼，對密碼的設置要盡量復雜以增強安全性。更為重要的是，網絡服務商正在加大技術開發力度，利用一些新技術來保護個人信息安全。訪問控制是服務商增強網絡信息安全的最重要的一個環節，它包括認證和授權兩個方面。適當的訪問控制可以保護網絡服務器免受外來攻擊，確保網絡平臺自身的安全；還可以滿足網絡用戶的數據獨立性，在未經授權的情況下，網絡用戶不能訪問其他人的數據。

加密是服務商保證用戶信息安全的基本手段。一部分與具體應用程序不相關聯的數據是可以進行加密的，人們使用電子郵件、網絡銀行、即時通信等網絡工具都需要加密。在服務商主動對用戶的文件進行加密的同時，有時也需要用戶對自己的賬戶和上傳的文件進行加密，只有自己或獲知密碼的親朋好友才能查閱。目前，對于一些可以公開發布個人信息的平臺，如博客、微博、個人主頁等，服務商是不會對這些信息進行主動加密的，因為網絡的特點就是公眾分享相關信息，如果對信息進行加密，就無法進行公開的查詢和檢索。因此，如果個人用戶需要既要保護個人信息，又想在適當范圍內和他人分享，則需要選擇一些可以對信息進行加密的網站和軟件。

欄目主持人：劉雨 lymjcfy@163.com