“在移動互聯(lián)網(wǎng)大背景下，我國目前缺乏相應的法律法規(guī)對移動應用市場進行規(guī)范，同時，對上線的應用程序的安全審核缺乏有效的管理制度和技術保障，諸多移動應用程序存在安全問題，充斥著各種病毒。”

“網(wǎng)絡安全工作在推進過程中，速度趕不上變化。對于網(wǎng)絡安全問題，往往是還沒有研究清楚的時候，隨著新技術的誕生，新的問題又產(chǎn)生了?！?/p>

南方周末記者 李潔茹 發(fā)自武漢

“飛機掉了，火車撞了，電網(wǎng)淪陷全城沒電了，人們生活在黑暗之中，我們的社會還存在嗎？”2016年9月19日，在2016年國家網(wǎng)絡安全宣傳周上，剛剛榮獲“2016年國家網(wǎng)絡先進典型”的中國工程院院士沈昌祥在接受媒體采訪時說，網(wǎng)絡安全陷阱除了臭名昭著的電信詐騙外，更嚴峻的將是威脅到國家基礎設施，甚至國家安全。

這并不是危言聳聽。2015年12月23日，烏克蘭電網(wǎng)發(fā)生世界首例因遭受黑客攻擊而造成的大規(guī)模停電事故，烏克蘭首都基輔部分地區(qū)和烏克蘭西部140萬名居民家中突然停電。

據(jù)媒體報道，根據(jù)聯(lián)合國寬帶可持續(xù)發(fā)展委員會發(fā)布的2016年版《寬帶狀況報告》顯示，截至2016年底，全球將有35億人口用上互聯(lián)網(wǎng)，高于2015年的32億人，相當于全球人口總數(shù)的47%。而中國網(wǎng)民人數(shù)將達到7.21億人，為全球第一大互聯(lián)網(wǎng)市場。

但是，如此之大的市場其實也暗藏巨大的危機。2016年4月21日，國家互聯(lián)網(wǎng)應急中心發(fā)布的《2015年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》顯示，2015年，互聯(lián)網(wǎng)應急中心發(fā)現(xiàn)的移動互聯(lián)網(wǎng)惡意程序數(shù)量近148萬個，且我國移動互聯(lián)網(wǎng)惡意程序數(shù)量連續(xù)三年呈現(xiàn)大幅增長態(tài)勢。

對此，杭州安恒信息技術有限公司董事長兼總裁范淵解釋，在移動互聯(lián)網(wǎng)大背景下，我國目前缺乏相應的法律法規(guī)對移動應用市場進行規(guī)范，同時，對上線的應用程序的安全審核缺乏有效的管理制度和技術保障，部分渠道甚至完全通過聚合方式推廣應用，導致諸多移動應用程序存在安全問題，充斥著著各種病毒。

“中國網(wǎng)絡安全還處于起步階段，可以說很不安全?！薄吨袊畔踩冯s志社副社長秦安認為，從老百姓的角度來說網(wǎng)絡安全已成為重大的民生問題，直接影響日常生活和社會穩(wěn)定?！巴苿右婪ㄖ螄鸵婪ㄖ尉W(wǎng)力度，就像防范洪水猛獸一樣，利用網(wǎng)絡報警、多方聯(lián)動等方式，為普通百姓搭起國家治理現(xiàn)代化和法制化的安全屏障?！?/p>

漏洞和攻擊

“實際上，政府網(wǎng)站才是遭遇攻擊的重災區(qū)?！?/p>

1994年4月20日，中國實現(xiàn)與國際互聯(lián)網(wǎng)全功能鏈接，正式成為互聯(lián)網(wǎng)大家庭中一員。22年來，網(wǎng)絡安全事件如影隨形，伴隨一次次觸目驚心的事故，逐步上升到了國家治理層面。

2014年上半年爆發(fā)的兩次網(wǎng)絡安全事故讓秦安記憶猶新。

第一次是“1·21全國DNS大劫難”。2014年1月21日下午3時10分許，國內(nèi)通用頂級域的根服務器忽然出現(xiàn)異常，導致眾多知名網(wǎng)站出現(xiàn)故障，用戶無法正常訪問，部分地區(qū)用戶“斷網(wǎng)”現(xiàn)象持續(xù)數(shù)個小時，至少有2/3的國內(nèi)網(wǎng)站受到影響。

第二次是2014年4月8日，黑客利用安全套接字層密碼庫（OpenSSL）爆出的安全漏洞，實時獲取約30%的以https開頭網(wǎng)址的用戶登錄賬號密碼，影響至少兩億中國網(wǎng)民。

吉林大學王奕飛《中國網(wǎng)絡安全戰(zhàn)略研究》一文中說，域名系統(tǒng)薄弱是制約我國網(wǎng)絡安全的主要原因。域名系統(tǒng)是互聯(lián)網(wǎng)運行的核心，域名解析服務安全與否直接影響互聯(lián)網(wǎng)的穩(wěn)定運行。攻擊者的攻擊方式防不勝防，可以通過漏洞對域名解析記錄隨意篡改，還有的通過數(shù)據(jù)攻擊等方式致使域名系統(tǒng)崩潰。

在本屆國家網(wǎng)絡安全周的重頭戲——網(wǎng)絡安全博覽會上，作為我國互聯(lián)網(wǎng)基礎設施重要的建設者、運行者和管理者——中國互聯(lián)網(wǎng)信息中心，展示了“中國國家域名數(shù)據(jù)安全預警系統(tǒng)”，實時監(jiān)控著互聯(lián)網(wǎng)的“神經(jīng)系統(tǒng)”安全。中國互聯(lián)網(wǎng)絡信息中心首席安全官胡安磊告訴南方周末記者，安全穩(wěn)定是該機構的首要任務，“如果我們遭遇攻擊，國內(nèi)有半數(shù)以上的網(wǎng)站就會癱瘓”。

2013年8月25日0時06分起，中國互聯(lián)網(wǎng)絡信息中心管理運行的國家.cn頂級域名系統(tǒng)遭受大規(guī)模拒絕服務攻擊，直至凌晨2時后才逐步恢復正常。據(jù)胡安磊介紹，當時黑客對國家域名系統(tǒng)進行超大流量攻擊，超過服務能力。“當時我們啟動國家應急預案，緊急擴容，增強服務能力?！?/p>

胡安磊說，經(jīng)歷了這次“教訓”后，他們制定抵抗大規(guī)模攻擊的方案，從服務架構調整、擴容帶寬等方面進行完善，“現(xiàn)在完全可以抵御了”。

實際上，政府網(wǎng)站才是遭遇攻擊的重災區(qū)。黑客惡意地篡改地方政府網(wǎng)站程序，使該類地區(qū)成為網(wǎng)絡破壞的重災區(qū)。

據(jù)《中國網(wǎng)絡安全戰(zhàn)略研究》一文顯示，2013年我國遭受惡意篡改侵襲的網(wǎng)站數(shù)量在快速的上升，相對于 2012年來說，已經(jīng)上升了一半之多，其中最為嚴重的為政府網(wǎng)站，其上升的數(shù)量與同期相比增加了近四成。被植入后門的網(wǎng)站也達到了七萬之多，與同期相比上升了45.6%。這其中的原因包括政府網(wǎng)站上投入的技術與管理有限，以及一些部門對互聯(lián)網(wǎng)的重視不夠，并且還有一些部門在發(fā)現(xiàn)問題后，沒有進行及時有效的處理，導致大量的網(wǎng)站容易受到二次攻擊。

“以前貼膏藥的 形式肯定不行”

“黑客熱衷包括商城、支付系統(tǒng)、物流系統(tǒng)、供應商系統(tǒng)、銀行系統(tǒng)甚至第三方合作系統(tǒng)，而商城最受黑客青睞?！?/p>

在安全和成本之間拿捏平衡，是互聯(lián)網(wǎng)運行機構，特別是互聯(lián)網(wǎng)應用企業(yè)的“痛點”。

“以前往往是（互聯(lián)網(wǎng)公司、政府）信息化建好了，突然發(fā)現(xiàn)安全體系沒弄，然后補一塊膏藥，這樣肯定會出很多問題?！睋?jù)范淵介紹，維護安全系統(tǒng)的高額成本是互聯(lián)網(wǎng)公司、機構的“心頭之痛”，其直接后果是導致安全漏洞像貼膏藥一樣貼上了，仍不安全。

某電商安全負責人告訴南方周末記者，該公司全年受到黑客試探、測試、攻擊達2300萬余次，而黑客“光顧”的領域包括商城、支付系統(tǒng)、物流系統(tǒng)、供應商系統(tǒng)、銀行系統(tǒng)甚至第三方合作系統(tǒng)，最受黑客青睞的則是商城。

該公司每年用于鞏固系統(tǒng)，保護用戶數(shù)據(jù)的費用占全年信息化投入的10%。該負責人坦言，數(shù)據(jù)安全是互聯(lián)網(wǎng)公司的命脈?！按髷?shù)據(jù)時代，對我們而言，面臨著更嚴峻的局面，規(guī)模越大，壓力就越大?！?/p>

互聯(lián)網(wǎng)巨頭公司更夸張。百度安全事業(yè)部總經(jīng)理馬杰告訴南方周末記者，百度每天遭受的攻擊在1億次以上。安全的總體投入每年超過10億元，重點包括為用戶提供免費的安全產(chǎn)品、對黑客的打擊以及自身的安全防護。

2016年6月，百度云加速產(chǎn)品遭受連續(xù)的惡意攻擊，致使18個機房癱瘓。據(jù)悉，2016年7月初公安部門將犯罪嫌疑人抓獲。但因攻擊產(chǎn)生的帶寬防御費高達100萬元左右，百度損失慘重。

“黑客攻擊成本比我們維護的成本低得多得多，甚至不到維護的1%?！焙怖谡f，假設黑客發(fā)動上述.cn頂級域名攻擊只需要耗費10萬元成本，那么“預防、維護這個攻擊，

需要投入1000萬”。

騰訊安全專家蔣偉鳴告訴南方周末記者，重不重視安全跟企業(yè)理念和發(fā)展階段有關系，“安全是花錢的，高速發(fā)展的互聯(lián)網(wǎng)企業(yè)，會更重視客戶，投入非常大”，而剛剛成立的互聯(lián)網(wǎng)企業(yè)，主要精力集中在用戶。蔣偉鳴認為推動企業(yè)重視數(shù)據(jù)安全，國家頂層設計的規(guī)范顯得尤為重要。

“我們對安全投入是被動式的?！币晃换ヂ?lián)網(wǎng)創(chuàng)業(yè)公司職員告訴南方周末記者，公司發(fā)展過程中，系統(tǒng)以及用戶信息安全的確不是最重要的，“畢竟企業(yè)要先活下來”。

而政府對這塊的監(jiān)管，恰好也是“被動的”。防守、相持和反攻是我國建立網(wǎng)絡安全保護體系的三個階段，秦安告訴南方周末記者，“總體來看，我國目前主要處于被動的戰(zhàn)略防御階段?！?/p>

在一次次安全事故中，“斯諾登事件”是將網(wǎng)絡安全上升為國家戰(zhàn)略高度最大“功臣”。

2013年6月，舉世矚目的“棱鏡門”事件爆發(fā)，前中情局（CIA）職員愛德華·斯諾登曝光美國政府對公民數(shù)據(jù)信息隱私權侵犯行為，引起包括中國在內(nèi)的各國對信息安全的重視，加快自主可控的信息安全建設。

“可以說斯諾登給世界各國的網(wǎng)絡安全敲響了警鐘，也極大地推動了我國網(wǎng)安事業(yè)的發(fā)展。”范淵認為，最大的舉措則是成立網(wǎng)絡安全和信息化領導小組，堪稱中國網(wǎng)絡安全保護系統(tǒng)建立的“里程碑”。

“安全”要成為標配

“網(wǎng)絡安全工作在推進過程中，速度趕不上變化?！?/p>

2014年2月，中央網(wǎng)絡安全和信息化領導小組（以下簡稱“網(wǎng)安領導小組”）成立，習近平擔任組長，李克強、劉云山任副組長，將網(wǎng)絡安全工作推到了國家層面。

據(jù)新華網(wǎng)報道，我國網(wǎng)絡管理體制由于歷史原因，造成“九龍治水”的管理格局。習近平在對中共十八屆三中全會決定的說明中明確表示，“面對互聯(lián)網(wǎng)技術和應用飛速發(fā)展，現(xiàn)行管理體制存在明顯弊端，多頭管理、職能交叉、權責不一、效率不高?！?/p>

對此，中央網(wǎng)信辦網(wǎng)絡安全協(xié)調局局長趙澤良在接受南方周末記者專訪時承認，在此之前，很多部門在管理互聯(lián)網(wǎng)以及網(wǎng)絡安全中，弊端是出了問題發(fā)現(xiàn)沒人負責，而重大決策也沒人承擔，“多頭管理本來就是一種問題，成立領導小組就是為了解決這個問題，加強網(wǎng)絡安全治理的統(tǒng)籌協(xié)調和推進?！?/p>

據(jù)《中國網(wǎng)絡安全戰(zhàn)略研究》一文記載，1999年頒布了《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》，此后幾年我國也陸續(xù)出臺了《互聯(lián)網(wǎng)信息管理辦法》《關于加強網(wǎng)絡信息保護的決定》等網(wǎng)絡安全領域的法律和決定性條例，但我國現(xiàn)有的網(wǎng)絡安全法律體系中，專門的、針對性強的網(wǎng)絡安全法律法規(guī)相對較少，沒有將其進行系統(tǒng)劃分，而是將網(wǎng)絡信息安全、網(wǎng)絡經(jīng)濟安全、網(wǎng)絡軍事安全等含糊籠統(tǒng)地規(guī)劃為網(wǎng)絡安全中。

另據(jù)媒體報道，《網(wǎng)絡安全法（二審草案）》已通過全國人大審議并于2016年8月4日完成公開征求意見，中國首部網(wǎng)絡安全法有望年內(nèi)出臺，這將成為我國互聯(lián)網(wǎng)安全環(huán)境建設的又一重大事件。

其實，早在2003年，趙澤良就已開始推動成立網(wǎng)絡安全法工作，但“進展緩慢”“因為任何一部法律都要牽涉到很多方面，網(wǎng)絡安全牽涉到部門、企業(yè)以及社會個人，如果沒有足夠的力度和權力，難以推進”。

網(wǎng)絡安全法在歷經(jīng)13年后終于有了實質性進展，這是趙澤良對于網(wǎng)安領導小組成立后，感觸最深刻的事情之一。“網(wǎng)安領導小組成立的第三年，（網(wǎng)絡安全法）就有實質性進展，相當不容易。”他說，從頂層設計上統(tǒng)一領導的力度，大大加強了協(xié)調力度。

不過，趙澤良也表示，網(wǎng)絡安全工作在推進過程中，速度趕不上變化。他說，對于網(wǎng)絡安全問題，往往是還沒有研究清楚的時候，隨著新技術的誕生，新的問題又產(chǎn)生了，“本來任何法律、標準甚至是任何政策都會滯后于技術的發(fā)展，網(wǎng)絡安全問題上就更突出了”。

“今后，對安全要加強法律、標準的要求，網(wǎng)絡安全要成為互聯(lián)網(wǎng)行業(yè)、政府網(wǎng)站的‘標配，不達標要受到法律的制裁?！壁w澤良說。

網(wǎng)絡安全治理的中國行動

“要集合政府、企業(yè)和社會組織的力量，共同建立國家級網(wǎng)絡信息安全平臺，共享數(shù)據(jù)和威脅情報。”

春江水暖鴨先知，從范淵的創(chuàng)業(yè)史折射我國網(wǎng)絡安全發(fā)展歷程。

2016年9月20日，范淵站在“2016年國家網(wǎng)絡先進典型”領獎臺上百感交集。他創(chuàng)辦的安全公司曾為2008年北京奧運會、2010年上海世博會、2011年廣州亞運會以及G20杭州峰會等重大活動提供安全保障。據(jù)范淵介紹，網(wǎng)安領導小組成立這幾年，公司的業(yè)務每年以50%的速度增長。而回想2007年創(chuàng)業(yè)初期，公司卻一度面臨倒閉。

2007年范淵回國創(chuàng)業(yè)，當時雖然信息安全行業(yè)有廣闊的市場，然而，行業(yè)的發(fā)展速度和市場份額的占有率，其實并沒有想象中的樂觀。直到2009年，在當?shù)卣膸椭?，才成功簽下了第一個創(chuàng)投項目。

“隨著網(wǎng)安領導小組的成立，網(wǎng)絡安全法的推進，國家的政策，正在導向全民、各行各業(yè)對網(wǎng)絡信息安全的重視。我相信今后十年，才會是網(wǎng)絡信息安全真正發(fā)展的十年?！狈稖Y說。

網(wǎng)絡安全治理進入國家行動，首先從各部門聯(lián)動治理開始。據(jù)趙澤良介紹，“中央網(wǎng)信辦”作為網(wǎng)安領導小組的辦公室，主要負責跨部門協(xié)調、綜合協(xié)調的功能。而工業(yè)和信息化部、公安部、教育部等部門承擔網(wǎng)絡安全、管理、教育等重要的工作?！邦I導小組辦公室最重要的作用就是如何更好地發(fā)揮他們的作用，一盤棋地做好網(wǎng)絡安全管理工作。”

此外，“我們要特別強調企業(yè)要以主人翁的意識提升企業(yè)的社會責任，維護數(shù)據(jù)安全作為天職?！壁w澤良表示，在建立網(wǎng)絡安全責任制方面，除了強調政府責任，企業(yè)要承擔企業(yè)的責任。

2016年9月20日，南方周末記者在網(wǎng)絡安全博覽會上看到，百度、騰訊、阿里巴巴等互聯(lián)網(wǎng)公司為防止電信詐騙、保護個人信息安全等，展示出防偽基站、防網(wǎng)絡病毒入侵、人臉識別付款等創(chuàng)新性的安全應用。

而針對銀行卡被盜刷等備受關注的安全事件，中國銀聯(lián)表示已有最新的解決方案，其原理是通過使用密碼保護系統(tǒng)，使得每次交易不法分子盜取到的只是當次交易的臨時信息，而非真正的銀行卡號等信息。

“接下來，要集合政府、企業(yè)和社會組織的力量，共同建立國家級網(wǎng)絡信息安全平臺，共享數(shù)據(jù)和威脅情報?！狈稖Y建議，通過數(shù)據(jù)共享，可以實現(xiàn)對海量數(shù)據(jù)的收集和分析，對一些敏感信息、違法信息、黑客活動進行有效跟蹤，及時將威脅情報、輿情、惡意網(wǎng)站等信息反饋給政府監(jiān)管部門。只有通過多方合力，我們才能構建一個更加安全的網(wǎng)絡世界。