CSO进阶之路:从安全工程师到首席安全官
上QQ阅读APP看书,第一时间看更新

2.3 网络安全关系个人

如今,我们出门身上都会带有三样东西:钱包、钥匙和手机。假如我问你,这三样东西,哪一样最不能丢失?你可能会说是钱包,因为钱包里有现金、银行卡和身份证,补办起来很麻烦;也有可能说是钥匙,因为钥匙丢了就进不了家门;还可能说是手机,因为手机里有所有朋友和联系人的信息。先不用急着回答,假如我把问题的场景换一换,换到十年前,问同样的问题,你觉得你的答案是什么?可能大多数人会斩钉截铁地回答“钱包或者钥匙”。因为十年前钱包或钥匙比较重要。我们再换一个场景,假如时间换到十年后,还是同一个问题,你觉得你的答案会是什么?相信所有的人都会回答“手机”,因为到那时钱包几乎不使用了,手机已经替代现金实现支付和消费,银行卡和身份证会被淘汰,并与手机结合在一起,钥匙也会被淘汰,指纹锁、人脸识别锁或手机解锁会替代传统锁具,人们出门再也不用带钥匙了。

这就是信息技术对普通人生活的改变。各种新技术不断发展,导致人们的生活越来越依赖这些信息技术。未来这种改变将愈加深入。如今个人日常用到的主要智能设备无外乎计算机、手机、平板电脑等,而在未来,人们会发现不仅家中的冰箱、电视机、微波炉、洗衣机、空调等会变成智能设备,桌子、椅子、床、橱柜、镜子、马桶等也都会被智能化,甚至是身上的衣服、裤子、鞋子、眼镜、手表、皮带等。随着这些设备逐步进入人们的生活,除了带来极大的便利之外,是否也会带来更多的风险?答案是肯定的。因为如今人们在仅使用计算机、手机、平板电脑这3种设备时,就已经遇到那么多的安全问题,在未来,人们拥有了海量的智能设备,生活方式前移到网络空间,那么网络安全事件和网络犯罪更难避免。因此,我们从现在开始保障智能设备安全、保障智能设备所链接的网络安全,就是在维护人们的根本利益。

习近平总书记指出:“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。”因此,发展网络安全事业就是在贯彻以人民为中心的发展思想,“要适应人民期待和需求,让亿万人民在共享互联网发展成果上有更多获得感”。

2.3.1 网络安全关系个人财产

2013年1月张小姐突然收到一条短信:“尊敬的网银用户,您申请的中行一令卡即将过期,请您尽快登录www.boccr.com进行升级,带来的不便,敬请谅解。【中国银行】”

信以为真的张小姐马上登录了对方提供的中国银行网站,并根据网页上的升级提示,输入网上银行的用户名密码及动态口令进行登录,登录失败并反复尝试后,始终无法正常完成系统升级,张小姐以为是网络繁忙导致无法完成操作,所以就关闭了网页,准备过一段时间再上网试试。过了30分钟,当她再次登录中国银行官方网站查询时,却发现账户里的70余万元已消失得无影无踪了。此时张小姐才意识到自己上当了,她再次仔细阅读短信,发现上面的中国银行网址多了“cr”这两个字母,也就是说她登录的是钓鱼网站。

网上银行、网络购物、手机支付等新型消费方式的普及,便捷了老百姓的生活,但由此也催生了利用高技术手段侵害网民电子财产和虚拟财产的互联网犯罪分子,他们通过网络钓鱼、账号盗取、信息诈骗等手段,危害网民的上网安全、资金安全。可见,网络安全关系每个普通老百姓的切身利益。

据调查,自2015年以来,中国网民在网上遭受的经济损失超过5000亿元,在网络安全事件中54.8%网民的损失在100元以内,约有13.4%网民的损失在600元以上,手机用户风险远高于台式机和笔记本电脑用户,损失的原因可以用三个字来概括:偷、骗、费。

偷是指网民的账号、卡号和密码被犯罪分子通过木马病毒、网络钓鱼、网络攻击等方式窃取后,后者非法转移其中的钱款或者虚拟财产。

骗即利用网民的心理弱点或者信息不对称,欺诈网民将钱款转到犯罪分子手里,或者网民付出钱款后没有得到承诺的服务或商品,抑或承诺的商品不一致。信息诈骗、网络购物后“货不对价”或者根本不给货,都是典型的骗取行为。

费指的是遭受侵害而产生的额外费用、时间精力,比如为修复中毒的计算机和手机而花费的时间和维修费;为清理垃圾短信、垃圾邮件所花费的时间;因个人信息泄露不得不更换住处、手机号码的花费;遭到大数据“杀熟”,支付了额外的多余费用等。

随着二维码支付、近场支付、无现金城市、无人超市等的发展,人们的资金和资产正在向网络空间转移。2020年4月17日,人民银行数字货币研究所的负责人宣布,数字人民币将在深圳、苏州、雄安新区、成都及未来的冬奥场景进行试点测试,标志着数字人民币的正式发布,这进一步加速了财产虚拟化的趋势。

以前,人们将现金装在钱包中进行消费,保护钱包的办法是把它放在衣服的内袋或手提包的夹层里,而现在手机就是钱包,指纹就是钱包,人脸就是钱包,如何管好这种“电子钱包”,保证数字财产安全,会是人们生活中关注的最大问题之一。

2.3.2 网络安全关系个人隐私

2014年5月,谷歌在欧洲的一宗关于数据隐私限制的重要案件庭审中败北。这一案件源自一名西班牙公民的投诉,这位西班牙公民要求谷歌删除与他的住房有关的链接—他的房屋正由于未能支付税款而遭到拍卖。西班牙最高法庭做出了有利于这一投诉的判决。而谷歌辩称公司没有责任删除在其他网站上合法发布的信息,并拒绝删除相关内容。出于这个原因,西班牙最高法庭将该案提交给欧洲法院。欧洲法院的法官认为,谷歌在处理其服务器上的数据时扮演的是“监控者”的角色。他们还认为,“搜索引擎的业务活动是对网页出版商业务活动的补充,对于隐私权和个人数据的保护权等基本权利都有可能产生重大影响”。该案凸显言论自由支持者与隐私保护支持者在网络空间意见不一,后者认为自己拥有“被遗忘权”—换句话说,他们应当有权删除自己在互联网上留下的数字痕迹。

近年来,随着数字技术的发展,人们在享受便利的同时,发现数据隐私问题也渐渐凸显。泄露隐私等问题频频发生,人们不得不开始担忧自己的信息是否已经被个别平台有意或无意地泄露甚至是进行交易。

据对中国最有影响力的10家网站所进行的统计,网民每天发表的论坛贴文和新闻评论达300多万条,微博每天发布和转发的信息超过2亿条。有统计表明,Facebook每天更新的照片量超过1000万张,每天人们在网站上点击“喜欢”(Like)按钮或者写评论大约30亿次。YouTube每月接待多达8亿的访客,平均每一秒钟就会有一段长度在一小时以上的视频被上传。Twitter上的信息量几乎每年翻一番,平台每天都会发布超过4亿条短消息。

其实,有关我们生活的点点滴滴都正逐渐变成数据,并存储在云端。合理利用和分析大数据会使人类更精确地掌握城市、交通、医疗、民生等情况,甚至可能通过数据分析洞察未来的变化,这无疑会极大地造福人类。

数字技术的发展与“云”的出现为人类生活打开了一扇方便、快捷之门,更为开放的社会也由此拉开了序幕。不过,所有的技术变革都是双刃剑,我们既要看到其积极效果,也要看到由此引发的危机,无所不在的数字摄取工具、精准的地理定位系统、云存储和云计算又将人们推进一个透明的时空之中。数字技术存在异化的可能,人也许会被自己创造的技术奴役。

当我们使用数字设备的时候,行为信息被转化为数字碎片,经由算法,这些碎片将还原出与现实相对应的数据化个体,由此每个人都在数字空间中被“凝视”着。美国著名计算机专家迪博德曾分析,当你在银行存钱、取款的时候,你留下的信息绝不仅仅是一笔银行交易,其实你还告诉了银行在某一时刻你所处的地理位置。这些信息很可能会成为你的其他行为的解释,从而泄露你的隐私。迪博德进一步总结,在信息时代,计算机内的每一个数据或字节都是构成一个人隐私的血肉。信息加总和数据整合对隐私的穿透力不仅仅是“1+1=2”,很多时候是大于2的。

2016年8月19日,山东临沂女孩徐玉玉因电信诈骗而殒命,由此掀起了整个社会的滔滔舆情。在徐玉玉的悲剧中,除了诈骗者的主观故意外,个人信息被过度收集且能通过不明途径流入诈骗行为实施者手中也是重大诱因。此类过度收集个人信息的行为,近几年来一直被社会所诟病。

毫无疑问,正确的数据收集是信息时代的基础,但是过度收集则没必要,特别是在没有数据安全保障措施下的过度收集。在当前信息技术条件下,个人隐私数据完全处于“裸奔”状态,这让所有民众都面临隐私被滥用的巨大风险。

2.3.3 全民网络安全意识薄弱

调查显示,65%的网民账号口令的设置不符合强密码要求,75%的网民对自己的计算机操作系统的安装功能知之甚少,84%的网民对自己拥有哪些需要得到保护的重要信息资产[1]一无所知。社会在发展,时代在进步,30年前我们想使用计算机,需要学打字,学习操作系统的使用,花费不菲。而现在这些技能已成为基本常识,同理,在以前网络安全知识对普通网民而言可能是一种比较高深的学问,但随着云计算、大数据、人工智能、5G等新技术的落地,更多智能设备被开发、使用和普及,它也应该成为常识。然而,我国全民网络安全意识仍然薄弱,其主要体现在以下三方面。

(1)网络法律意识薄弱

我国对网络安全立法工作一直十分重视,制定了一批相关法律法规和规章等规范性文件,涉及网络与信息系统安全、信息内容安全、信息安全系统与产品保密及密码管理、计算机病毒与危害性程序防治等,但普通网民对在计算机和互联网使用过程中自身享有的权利和义务尚不清楚,不了解哪些可以做,哪些不能做,常常误食恶果。2012年10月,为推销保险业务,某人寿保险公司业务员刘某从网上购买了1000多条包含姓名、手机号码等内容的人员信息,以用于电话推销,后遭群众举报而被捕,因涉嫌非法获取公民个人信息,获刑7个月。刘某觉得很冤枉,他平时工作也很努力,原来只是希望通过购买一些客户信息来提高工作业绩,却不想因此获刑。很多网民其实与刘某一样,在进行一些网上操作时,对自己的行为并不注意,在涉及法律法规底线时,并没有足够清醒的认识,因此造成各种意想不到的后果。

(2)知识产权意识薄弱

很多网民都喜欢使用盗版的操作系统免费软件,殊不知不花钱的系统和软件往往会让人因小失大。调查显示84%的盗版软件缺少正版软件的某些关键功能,76%的盗版软件在下载链接中植入了病毒或木马,可致使数据或信息泄露,甚至会导致个人计算机和设备被不法分子远程控制。广东省深圳市的李女士由于工作关系需要升级自己智能手机里的一款办公软件,她在网上下载了一款盗版软件,不料由于误装了带有盗号木马的软件,导致与手机绑定的银行账户被盗,损失1万余元。所以,了解盗版软件带来的风险和隐患,尊重软件开发者的知识产权,倡导使用正版软件是我们必须具备的网络安全意识之一。

(3)网络安全常识匮乏

所谓网络安全常识,主要是指对网络安全相关内容的了解,对网络安全相关工具和知识的掌握。通过学习了解一些网络安全的基础理念,弄清楚网络犯罪分子的常规作案手段、安全产品的使用方法、安全上网的基本防范知识,同时懂得网络安全事件一旦发生的应对和处理手段、网民受保护的网络权益等,从而形成安全上网的习惯,抵御来自网络的未知风险。然而,国内网民的网络安全常识匮乏,与使用的先进信息化工具之间形成极大的落差,这是导致网络安全犯罪和网络安全事件层出不穷的原因之一。

以上三点体现了全民网络安全意识薄弱,这成为信息科技进一步发展的阻碍。同时,由于网络安全意识薄弱,个人不仅在生活中无法妥善地应对网络问题,而且会把这种情况延展到企业中,导致企业内部出现网络安全问题。

因此,我国自2014年起,每年定期举办“国家网络安全宣传周”,以“共建网络安全,共享网络文明”为主题,围绕社会公众关注的热点问题,充分利用电视、广播、报纸杂志、网络等平台,进行集中式网络安全意识宣传,向广大人民群众宣传网络安全知识,并开展多种多样的网络宣传活动,营造网络安全人人有责、人人参与的良好氛围。从2018年开始,我国逐步推进网络安全宣传教育从小抓起,加强对青少年的网络教育,将网络安全教育纳入学校教学内容当中,促使青少年依法上网、文明上网、安全上网。


[1] 信息资产是指信息、数据及其载体共同组成的有价资产,它可以是有形的,也可以是无形的,网民的文件、数据账号、虚拟财产、计算机软件、操作系统、第三方服务等都是个人的重要信息资产,重要的信息资产得到了全方位的保护,网民的网络安全才算得到基本保障。