移动互联网时代,网络安全议题的重要性正日益凸显。就在前几天,习近平总书记在全国网络安全和信息化工作会议上发表重要讲话,强调“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”而于26日至28日举行的第五届“4·29首都网络安全日”系列活动,主论坛也是以“新时代网络安全”为主题。
“没有网络安全就没有国家安全”,无疑是对“网络安全已成信息时代国家安全的战略基石”的再确认。而加强网络安全,绝非要骛于虚声:网络安全既涵盖信息基础设施安全,也包括公民隐私保护等,既是要防止核心技术受制于人、命脉喉咙动辄被扼住,也是要防止各种互联网黑灰产损害民众的网络治理获得感,既事关国家长治久安,也涉及民众切身福祉,来不得半点“假动作”。
现实中,人们对“网络不够安全”的直观认知,就体现在QQ中毒、被盗号、被泄露隐私、被网络诈骗等诸多方面。而徐玉玉案和“WannaCry勒索”等,也成了影响公众网络安全感的标志性事件。
饶是如此,很多人“永远不懂黑灰产业,像白天不懂夜的黑”。某种程度上,网络黑灰产之于网络,就像影子和人,只要有未照到的死角,就会如影随形。可因为经常处在“地下”,很多人都低估了网络黑灰产的存在密度、祸害广度和恶劣程度,直到中枪了才知道自己早已成靶子。
与其在黑灰产的“扳机”扣动后如惊弓之鸟,不如对其多些防范。防范起于认知,积于警惕。应看到,国家互联网应急中心于2015年发起的重点打击网络黑色产业专项行动中,就明确了“黑产”范围主要包括“黑客攻击”、“盗取账号”、“钓鱼网站”三大类。其上游则是恶意注册和虚假认证等“灰色产业”。现在常说的刷粉、刷榜、刷单,还有代秒族、网络黄牛党、薅羊毛党,都在此列。
黑灰产能干什么?简单来说,就是几个字:谋财,害命。他们连上wifi就可以为所欲为,随便拿着你的照片就能合成个3D照片绕过人脸识别,然后盗号、消费、刷流量、网贷,你还压根不知道。
如果说互联网技术发展迅猛是A面,那寄附在互联网肌体之上的网络黑灰产则处在B面上。这些年来,移动网络已将我国网民规模发掘到几乎已触顶的地步。与此同时,网络黑灰产也在潜滋暗长。
从操作层面讲,过去常见的半公开化黑客攻击,现在已给集团化、产业化运作让出了黑灰产“头把交椅”,网络攻击、盗窃、诈骗等链条式操作已成惯常路数;从数量上看,网络黑灰产的规模正呈病毒式扩张、产值则是几何式增长,单就立案数看,近十年来,中国电信诈骗案就以平均20%至30%的增速逐年递增;从向度和准度上看,那些从业人员也将祸祸的目标从PC端转向手机端,且能利用大数据和木马类软件、盗取账户软件、批量注册软件等实现精准诈骗。对此夕惕若厉,已成人们“吃N堑”后必须长的“一智”。
但从社会治理维度看,要避免让网络诈骗等成为“公众特烦恼”大戏中的“大反派”,还得靠更有效的源头治理。本质上,说黑灰产是网络之霾已属“淡化处理”,而靶向治理也该拿出治霾那样的决心和心力——这两年,在重拳治霾之下,空气质量的改善渐次明显,而治网络黑灰产也当祭出重拳。考虑到我国黑产从业人数已逾百万,规模更是千亿级别,重拳治理愈显迫切。
当下很多网络黑灰产已突破线上线下、地域、行业等方面的限制,也在产业链升级、技术化提级中被导入“精细”节奏。在此情境下,执法司法机关强化打击、确保内控数据安全、企业行业合作等共同发力,尤为重要。就像治霾所需的“社会共治”架构那样,治网络黑灰产也需要立法完善、司法协同、政府监管、企业合作、行业共享、全民参与等。
拿个人信息泄露来说,在徐玉玉事件后,保护个人信息安全的法规在明显加码:无论是民法总则增设“个人信息保护”条款,《网络安全法》将保护个人信息安全作为重点内容,还是“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对刑事司法实践中侵犯个人信息犯罪定罪量刑问题的明确,公安部申明“窃取个人信息不构成犯罪也要重罚”,都反映了这点。近年来,非法获取公民个人信息罪进入依法打击“射程”的频密程度,从案件数就能窥斑见豹。
在此背景下,互联网巨头们共同签署《个人信息保护倡议书》,有的平台基于数据安全能力成熟度模型推出“数据安全合作伙伴计划”,有的网站在个人敏感信息采集场景增加了“即时提示”、上线个人信息泄露在线举报模块,这些也值得往整个行业推广,并跟多方共治形成相互助推的合力。
时下的很多黑灰产从业者,就是躺在新技术风口上钻着漏洞就把钱给挣了。打个比方,现在人脸识别的应用场景越来越多,有些恶意攻击就玩起了“3D软件合成”的手段,然后轻松通过防御性较低的平台认证。鉴于此,国内多家企业推出了“活体检测”:像腾讯,就通过随机数字唇语、人脸场景进行分析;阿里巴巴则推出了1:1人脸验证产品,能通过嘴形识别、脸运动匹配传感器、脸外观匹配照明、焦距恢复形状、人脸连续性检测、人脸视频脉搏检测等技术,能识破PS,揪出假人脸。诸如此类的“魔高一丈,道要再高一丈”的智能技术反制,就是平台方面的打击举措。
安全无绝对,但多方联合打击网络黑灰产,应是“绝对”的。网络安全是整体而非局部的,是联动而非孤立的,共治也意味着,要摒弃一亩三分田式独自治理,进行协同和联动式治理。此前,有互联网巨头已推出国内首个互联网应急响应平台,这吸纳了无数“白帽黑客”参与,也向很多企业赋能,这也是“共治”的正确打开方式。
维护网络安全,是社会共同的责任。打击网络黑灰产,也需要企业主体防护责任和主管部门监管责任、依法打击责任的“同频共振”。也只有形成合力,像治霾那样治网络黑灰产,才能全方位打造网络安全的“金钟罩”,让民众从中受益。(麦徒)