《互联网周刊》信息下我们的安全感
信息时代的安全感?你可能想到病毒攻击、垃圾邮件、流氓软件……实际上,随着互联网发展,网民的心理安全感越来越值得关注:恶意的个人信息泄露、失控的人肉搜索、尴尬的实名制、欠缺保护的网民互联网资产、不平衡的权利与权力。
当互联网成为一种环境,种种不安全隐患实际上彰显了对网民权利保障和保护的必要性。比起“防身术”,网民更需要的是“保护神”。
本期封面故事,我们将关注信息时代的安全感,以普通网民的视角,认识并呼吁一个日趋安全的网络世界。
信息时代的安全感
放权让利,使网民获得安全感,最终才能使商家的长远利益得到更好保障。反过来,对网民竭泽而渔,厂商最终将一无所获。
安全感问题,可以归结为基本权利问题。网民的基本权利得不到保障,就会感到不安全。所以信息时代的安全感问题,主要是保障网民的基本权利问题。
我们可以归纳以下两种基本情况:
第一,从交换关系看,个人信息权利边界的“度”在什么地方?
交换关系,涉及的是权利本身,即权利与权利的关系。它分为两个层次的问题,一是权利本身的边界;二是权利与权利交换的边界,也就是权利比较的尺度。
武佳在《谁在觊觎我的手机?》中提到的个人信息泄露带来的不安全,主要涉及第一个层次的问题。个人信息被非商业利用的情况,是非比较清楚,不是这里讨论的要点。作为商业问题大量存在的,是个人信息被商业性利用。比如电话号码泄露,导致用户收到大量垃圾信息之类。
人们的第一直觉,往往是绝不容忍个人信息被商用。但深思熟虑后发现,问题还有另一面:信息资源的开发利用,对人们可能是有利的。如果把个人信息权利的边界定为“绝不可进行商业利用”,可能导致另一面受损。有的人愿意用披露个人信息换取好处(比如通过填写调查表而换取礼品);商家因了解了一个人信息而提高了对这个人的服务水平(比如了解到顾客有心脏病史而劝阻他从事某项运动)……这些机会都会丧失。
所以真正的问题就转化为:什么样的个人信息,在什么条件下可以商用?直截了当地说,我认为个人的同意,是个人信息权利的边界。如果不经过个人的同意,就允许或不允许对个人信息进行商用,这才是实质性地违背基本权利。
崔婷婷谈及的人肉搜索问题,涉及的是第二个层次的问题。在基本权利界定上,更进了一步,涉及到隐私权与知情权的矛盾。
个人信息只要个人不同意,就不可商用吗?未必。狗仔队追明星,提高了刊登绯闻的小报的发行量,这就属于个人不同意情况下的个人信息商用。这种情况可以合法存在,主要是基于隐私权与知情权的平衡。公众对公众人物有知情权,公众人物的隐私权因此就不象一般人那样绝对。人肉搜索中,一般人也可能被搜索,但前提是这个人已处于公众事件的中心,公众的知情权因此开始合理地上升。
所以真正的问题就转化为:什么是公众的,这个度在哪里?什么是绝对私人的,不管是不是公众人物、公众事件都不可触的禁区的度在哪里?
现在网民基本权利面临的最初级的问题,不是个人信息是不是泄露了,而是,第一,还没有形成“个人同意”这条规则;第二,没有形成公认的“公众性-绝对隐私”划界的共识。简单说,就是该对规则负责的人睡觉去了。
如果让一场游戏变得秩序大乱,最好的办法是什么?肯定是取消游戏规则。我们现在正好“找到了”这种办法,所以不乱才怪。第二,从权力关系看,个人信息权利与商业信息权力的不对称关系的“度”在什么地方?
权力关系,比交换关系又进了一步,它不是指涉权利本身(及权利间交换),而是涉及权利与权力的交换。按彼德·布劳的理论,权力是可以带来剩余的权利。因此权利与权力的交换,是不对称交换。权力等于权利加权利剩余。权利剩余指没有义务对应的权利(只享受权利,不尽义务)。
侯大银、刘佳谈及的个人虚拟财产的安全、马荟谈及的操作系统安全、孙泠谈及的网络病毒及安全厂商作为,就属于权利与权力不对称交换的情况。
在个人虚拟财产的情况下,个人与商家处于权利与权力不对称的状态下。在软件的情况下,个人与微软同样处于权利与权力不对称的状态下。包括个人与安全厂商,也处在同样的不对称状态下。
就拿软件的霸王条款来说,微软一开始就要求消费者尽购买正版的义务,但权利却不对称,其免责条款声明使用软件出了任何问题概不负责。好比喝粥要钱,但喝拉了肚子概不负责。如果仅此也就罢了,时不时来个黑屏,就好比喝着喝着粥,忽然把凳子撤了,给人来个大马趴。消费者能有安全感吗?
表面看起来,厂家拥有无限的权力,可以无视网民的权利。实际不是这样。权利与权力的不对称也是相对的,也有一个度的问题。个中的原理在于,我们可以把权力高于权利的部分,即权利剩余,理解为利息。这种“利息”,可能是信誉,也可能是品牌,也可能是其它无形的财富。如果商家向网民索取正常的回报,却不能向网民提供预期的服务,久而久之,商家的利息就会越来越少,直到赔了本钱。
如果喝粥又拉肚子,又摔大马趴,喝粥的人会怎么选择呢?如果独此一家,别无分店,不喝粥会饿死,喝粥的人会继续选择拉肚子,摔大马趴。但如果旁边又开了一个粥店,喝粥不拉肚子,不摔大马趴,那这些人一定选择“适彼乐土”。现在,Linux的粥店已经开张,谷歌的粥店即将开张,再让网民摔大马趴,可真得考虑后果。
由此我们得到的又一个结论是,尊重网民基本权利,给网民安全感,不仅仅是个平等交换问题。即使是不对称的关系,也要把握不对称的度。就好象名义利率与实际利率的关系一样。如果名义利率背离了实际利率,就会有其它机制让事物回到它本身。
权力与权利进行交换的精髓在于,牺牲眼前而获得长远。放权让利,使网民获得安全感,最终才能使商家的长远利益得到更好保障。反过来,对网民竭泽而渔,厂商最终将一无所获。
谁在觊觎我的手机?
通信费用实惠了,手机上网方便了,但隐患也随之而生:我们的个人信息,丢失了;手机被攻击,瘫痪了。
用户对垃圾短信的不满情绪终于触动了运营商。6月12日,来自工业和信息化部的消息称,为防范垃圾短信,运营商将对每日发送短信数量超过一定标准的用户的发送行为进行拦截。对于数量,三大运营商确定的标准是:非节假日每小时不得超过200条,每天总量不超过1000条,节假日每小时不超过500条,每天总量不超过2000条。
“发送者可以多找些手机号来发送”,“如果用短信群发器来发送几乎可以逃避监控”,“短信费用毕竟是运营商收入来源,运营商不可能真的杜绝垃圾短信”,“如果真的限制了,那我们这些做业务的怎么办?” ——“限发令”真的有效吗?我们的通信自由会不会因为“限发令”而受到限制?
其实,垃圾短信不过是手机信息安全的冰山一角,隐藏在“限发令”背后的真相是个人信息泄露问题。姓名、性别、工作单位、手机号码甚至常常联系的好友全被陌生人查了个清楚,是谁偷窥了我的手机?
个人信息贩卖黑市至今如火如荼。你在填写个人简历、买房买车登记或者参加积分兑奖活动时,你的个人信息就可能被窃取了。如果说这种个人信息的丢失来源于自己的“不小心”,那么在手机通话过程中内容被窃听、窃取用户身份等问题让人放不设防。移动互联网时代到来似乎让窃取手机终端上的数据更加容易,病毒和木马很有可能自动找上门,更危险的是,在你不知情的情况下,SIM卡被复制了。
“预计到2010年,将有超过35%的网银用户使用移动设备进行金融交易。” 专注于金融服务的分析机构Celent给手机银行勾画了一个美妙的未来。运营商和电子商务机构纷纷开始部署手机支付市场,但如果连手机安全都保障不了,何谈把手机当成钱包?
数字签名和密码是保护手机数据安全的关键,软件则是对绕过安全技术的恶意代码进行实施监控的有效手段。近期,工商银行推出了防钓鱼业务,用户一进入工行网上银行就会有相关信息弹出,提醒用户下载,虽然在进行软件下载的过程中计算机速度会非常慢,而且需要重启才能生效,但金融机构对用户信息安全和个人财产的重视倒也让人欣慰。
仅靠金融机构的努力显然还不足以屏蔽手机病毒。尽管相比电脑病毒,手机病毒少之又少,但其呈加速增长的趋势,每个星期至少有一款新的手机病毒产生。病毒程序可以在用户不察觉的情况下通过短信或者WAP的方式产生一定的资费,或者将手机中的通信记录、照片等上传至服务器,甚至有些时候,蓝牙都成为病毒传播的通道,而且这种病毒异常猛烈,常常令手机处于瘫痪状态,使得用户不得不刷机或重装系统来启动手机。
小小一个手机已经穿起了一条长长的链,手机制造商、软件提供商、手机应用开发商,以至于运营商等已经选好位置、摆起刀叉准备分食移动互联网带来的大蛋糕。然而对于用户而言,美妙前景背后隐藏着无数陷阱,还有很多意想不到的人在觊觎着我们的手机。在这个以市场为导向的时代,扭转用户心理可能是开发商要迈过的第一道坎儿,如果不保障手机应用安全,对于移动互联网的任何鼓吹可能都是竹篮打水。
安全乱象——互联网隐痛
互联网的安全问题早已不容忽视,处处都暗藏机关。
“安全”已经成为互联网上最令人担忧的关键词。不久前,互联网之父、TCP/IP协议联合设计者温顿·瑟夫(Vinton Cerf)向媒体表达了这样的担忧:“尽管互联网1983年就投入了运营,并于1989年商业化,但目前互联网仍然缺乏许多必需的功能,安全方面问题尤为突出。”
McAfee燗vert燣abs的高级副总裁Jeff燝reen表示了对于互联网安全的看法:“网络罪犯正在制造计算机用户无法识别的攻击。钓鱼欺诈、电子邮件攻击、木马和很多其它攻击方式都是针对个人,即使最富经验的人也可能落入精心策划的社会工程陷阱中。不管您住在哪里或说何种语言,网络骗子都能利用人的本性,如恐惧、好奇心、贪婪和同情心等。罪犯了解人的弱点,并通过互联网大加利用这些弱点。对于网络骗子来说,利用这种方式赚钱或窃取敏感数据非常容易。”
支付隐忧
因网络安全问题引发的真实财产的损失让网民忧心忡忡。黑客、木马盗用网银资金、金融欺诈、大量银行用户数据信息被交易……今年央视“3.15晚会”对于网上银行和网上支付安全隐患的曝光,令人触目惊心。可以说,消费者对于网上支付的安全疑虑,成为了制约网络消费的重要瓶颈。根据艾瑞咨询发布的一项调查显示:有27.5%的网上银行和网上支付用户在晚会后决定减少使用网上银行和网上支付,有3.0%的用户决定不再使用。而网上银行和网上支付的潜在用户中,有57.6%决定推迟初次使用时间,有24.8%决定不再使用。
事实上,如今的电子支付早已跳出单纯的在线买卖支付,越来越广泛地渗透到航空、教育考试、水电缴费等众多消费领域。艾瑞咨询最新统计数据显示,2009年第一季度网上支付交易额为1096亿元,首次突破千亿元大关,并继续保持环比12.8%、同比129.3%的高速增长。而随着网络交易量与网络支付用户数量的不断攀升,支付安全问题也呈现出几何级数的扩张趋势。此前银监会在向各大银行下发的文件中提出,第三方支付机构信用风险、网络黑客风险、信用卡非法套现风险、发生洗钱等犯罪行为风险以及法律风险,将是金融机构和第三方支付平台合作时首先需要评估的风险。
工欲善其事,必先利其器。网上支付的前景虽然美好,然而还有不少的技术障碍亟需解决,只有当安全与信任共同建立,互联网交易的屏障才会迎刃而解。目前来看,网络支付的安全手段主要基于电脑本身,如让用户安装加密安全控件、独立的客户端软件、数字证书等等,下一步,如何在如何将各大银行网银、支付平台、企业财务系统等支付各环节联动起来,提供更多有效的软件甚至外设硬件来构筑网上支付的安全防线,仍是需要业界不断探索的问题。谁动了我的虚拟财产?
游戏币被盗,装备失窃……游戏近年逐渐成了网络安全的泛红区。随着游戏玩家的增多,这里的安全威胁也日益突出。
前段时间,《魔兽》易主一直闹得沸沸扬扬,但不管新东家是谁,玩家们最关心的是游戏的数据转移。他们希望看到,再次进入《魔兽》时,等级、经验和装备依然完好无损。这样的感情就像是在保护自己家中的那台电脑,那张存折。
但实际上,在网络里,虚拟财产却不时受到侵扰。当玩家们正在为新练成的装备而兴奋时,几天的辛劳成果却不翼而飞。抑或正处于升级的快感中时,系统却提示数据丢失。外界恶意的偷盗和运营商技术的不到位,都有可能对虚拟财产造成威胁。
无疑,外挂、私服、偷盗虚拟财产都是网游蓬勃发展中的冷箭。但是,对玩家来说,游戏厂商有责任和义务保护玩家在虚拟世界中的安全,并且是无条件的保护,不因会员与否而改变。
隐私泄露“重灾区”
伴随着社交网站的兴起,互联网已进入了全民SNS时代。
强调真实交友的社交网站,通常要求用户填写性别、年龄、教育程度、工作情况、婚姻情况、真实照片、手机号码等真实个人资料,甚至是MSN账号密码、QQ账号密码等等。当用户将这些信息全部填写完毕,几乎再无隐私可言。
安全软件制造商ESET研究人员Randy Abrams说道:“由于不理解真正的威胁和危险,部分人们默认社交网站是安全的。这就像你走在街上然后信任你遇见的每个人一样。”也许SNS的大部分拥趸们并没有意识到社交网站所带来的隐私威胁,而网络黑客却早已将攻击目标锁定在大型社交网站。去年8月,Facebook有多达1800名用户的用户文档遭到秘密安装的木马程序窜改;MySpace也有大量安全漏洞被安全专家披露。今年6月,国内社交网站校内网就遭遇了黑客的强行入侵,部分校内网用户反映,其日志被篡改并加入了“QQ千里眼”软件下载引导的恶意代码,随后校内网官方及时回应对数据进行及时恢复,并将联系公关机关处理后续事宜。
“我们尽全力去保障Facebook安全,但我们无法为此担保。”全球知名社交网站Facebook在一份告诫中如是说。一位SNS活跃用户向记者表示了自己的担忧:“不论是黑客攻击还是社交网站自身的问题,这些事故让我感觉自己在使用该网站时缺乏安全感,如果网站被黑客如履平地,或是我的账号密码被盗取,黑客将能够随意篡改、盗取我的个人信息,甚至向我的好友发送病毒网站链接或是欺诈性信息,这样一来,不仅我的个人隐私无从保障,还可能对我在网上的无数好友带来更大的危害。”
可靠的云?
“云计算”可谓是过去一年当中最流行的IT词汇。微软、IBM、亚马逊、Google……各大企业争相推出看上去很可靠的“云计算”服务来吸引企业客户。但事实上,当企业将所有应用程序和数据抛向“云端”的同时,也需要仔细考虑:“云”真的靠得住吗?你是否真正放心将自己的重要信息甚至是涉及到商业机密、个人隐私的信息都存在“云”里?
就在今年4月旧金山召开的RSA会议上,云安全成为业界热烈讨论的话题,思科公司CEO John Chambers甚至直接称云计算的安全问题为“安全噩梦”。而Gartner咨询公司发布的一份名为《云计算安全风险评估》的报告中,列出了云计算技术存在的7大风险。即特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持和长期生存性。以“数据位置”为例,用户在使用云计算服务时,并不清楚自己的数据储存在哪里,用户甚至都不知道数据位于哪个国家。
云计算的出现,让正邪两大阵营再次找到对垒的战场。以云计算技术为基础的服务,如亚马逊的Web服务、微软的Azure等为企业和个人用户提供的简单基础运算、按需租用的存储空间等等云服务,但这些技术和服务同样被黑客利用来发送垃圾邮件,或者发起针对下载、数据上传统计、恶意代码监测等更为高级的恶意程序攻击。
在2008年影响较大的Web2.0网络故障事件中,也有多项涉及到炙手可热的云计算应用。例如亚马逊S3服务的中断、GoogleApps(在线办公应用软件)的中断服务、Gmail服务的中断等,让那些本就处在“云里雾里”的企业和用户更加忧虑和怀疑。就在不久前,多位知名度颇高的隐私和信息安全专家致信谷歌首席执行官埃里克·施密特(Eric Schmidt),要求谷歌云计算服务更改隐私设置以提升安全性。
在云计算日益流行的今天,如果服务厂商仅仅是给网络服务贴上“云计算”的时髦标签,并不能让用户了解转向云计算的真正价值。如果不将云计算的可靠性和安全性的软肋问题很好地解决,云计算的普及仍只是海市蜃楼。
网络安全何处安放?
在线支付隐患、虚拟财产被盗、隐私泄露……,种种问题挑战着用户的安全感,而运营商和“专家”们会给出如下的安全措施:
措施一:注意做好网络安全防护措施,不仅仅是及时更新安全软件、给系统打补丁,还得注意第三方应用软件的漏洞,比如浏览器、播放器,或者Flash等的漏洞。必要时,可以采用反钓鱼网络的浏览器插件和进行Web安全检测。?措施二:不要轻易泄露自己的隐私信息。尽量不要发布能确定自己身份的具体信息,比如真实姓名、生日、电话、住址、工作单位等信息。如果是采取实名制的网站,且你想使用真实信息的话,请设置好隐私规则,将其设置为只对好友可见,阻止陌生人看到你的个人信息。对于来自陌生人的加为好友的请求,也要加强警惕,注意分辨。
对于网站用户名,不要使用含有自己个人信息的用户名,比如你的名字或者生日数字,此外还要设置一个安全的密码。而注册用的邮箱,最好也不要采用自己常用的邮箱,可以新建一个专门的邮箱用来注册和接收网站信息。
不要在日志中记录一些隐私方面的事情,更不要公布一些私密的照片,比如你的艳照,要知道,一旦这些信息被公布在网络上,要立即根除这些信息是很麻烦的。?
措施三:要对网上传播的内容要保持警惕,不要轻易点击不明链接,不要贪图小便宜,防范网络钓鱼。
措施四:向服务提供商寻求帮助,诸如QQ号被盗后的申诉,游戏道具失窃后的投诉等方法寻回丢失的财产。而此时,运营商还会要求用户提供详细的注册信息,密码、被盗时间、密保答案等等。
措施五……
如此之类的措施,用户在每次安全问题出现之后都会看到一大堆。但这些安全措施中有几个是真正让用户感到安全的呢?盗号、隐私泄露、数据丢失等问题依然存在,哪里才能找到真正的安全感?
用户一直被厂商们标榜为所有活动的中心,但在盈利之外,用户的权利是否得到了重视呢?繁冗的申诉程序、冰冷的客服服务、火热的盈利模式探讨……网民的权利在哪里?
归根结底,互联网是开放的,对所有人都平等。而对“手无寸铁”的用户来讲,他们需要的不只是“防身术”,更是能从权利、环境方面给予支持的“保护伞”。
操作系统安全观
病毒、漏洞、黑屏……关于操作系统的安全性的讨论已经不仅仅限于技术层面。
“现在操作系统漏洞太多了,上个小网站就中毒,重装系统就要格坏我一张硬盘。我觉得苹果的操作系统比较好,没病毒。”“为什么?”“因为没人做它的病毒,用的人少。”“……”
信任危机
有没有侵犯电脑使用权?有没有侵犯个人隐私?有没有滥用知识产权?有没有滥用市场支配地位,实施垄断经营?
这是在微软推行的正版增值计划后,业界针对“黑屏”提出了四点疑问。一时间,用户“恐慌”,正是因为普通用户与厂商之间的“信息不对称”,导致了这场由操作系统引起的信任危机。
在关于Windows和Office正版增值计划致用户的公开信中,微软表示计划并不是针对中国,并且仅为产品验证工具,不会以任何形式收集用户的任何个人和隐私信息,黑屏不会影响用户的正常使用。
是的,如果站在一个权利人维护自己权利的角度,微软获得了一部分支持的声音。但是,也有学者认为,对于“黑屏”造成的影响,无论是从合法性还是合理性来讲,通过“黑屏”来清算盗版在做法上说,往往显得矫枉过正。
中国社会科学院信息化研究中心秘书长姜奇平指出,微软打击盗版可以通过政府执法部门进行,但微软本身不应把自己当作执法者,此次“黑屏”计划面向的是普通用户,微软没有权利打击普通用户。姜奇平称,这不仅违反了《计算机安全保护条例》,也违反了行规,因为微软此前曾承诺打击盗版不会面向最终消费者。安全底线
操作系统能做到多安全?谷歌在7月8日宣称,其正在开发的Chrome OS操作系统,通过彻底地重新设计其底层安全架构,用户就不必再为病毒、恶意软件和安全更新而担心。
英国电信首席安全技术总监布鲁斯·施奈德立刻做出了回应:“这是一个愚蠢的声明。早在几十年前,想要创建一款能够免疫病毒的操作系统的想法就已经被证明是不可能的。”
从零开始重新设计一款操作系统并周全地考虑安全问题,所创建出的系统的确可能比现有的系统更加安全,但是,这并不代表将来谷歌不会遇到和微软同样的状况——被普遍采用的操作系统往往被病毒热衷。同时,新的系统会比久经考验的代码存在更多的问题。
2002年,比尔·盖茨就在微软全公司范围内推行可信赖计算策略,这项战略其中一项重要内容就是保证开发的可靠性。微软产品的开发都要遵守此规定,也正因为此,当时Windows Vista因为没有通过要求而比计划发布时间延迟了半年。
微软在最新的安全研究报告指出,04年开始到07年间,影响互联网安全的绝大部分漏洞在于应用软件,占88%到94%,而非操作系统。在所有安全漏洞之中,对XP有影响的漏洞占41%左右,而影响Vista的只占了5.5%,也就是说,从安全角度来看,Windows Vista的安全性远远超出了XP。
不过,计算机上的安全之战从来都是道高一尺、魔高一丈,关于哪种操作系统更安全的讨论从来就没有过答案。无论是微软视窗操作系统还是开源操作系统,当安全性成为操作系统的阿喀琉斯之踵,用户的心理防御就显得意义深远。
网络凶猛
虚拟机、应用软件、社交网站、Web应用,成为滋生网络安全隐患的新温床。
截至2008年底,我国互联网普及率为22.6%,超过21.9%的全球平均水平。网民规模近3亿,总带宽625G,IP地址1.8亿个,手机上网用户1.17亿。不可避免的,网络安全问题也更加迅猛。
云、虚拟化与安全
“云安全”无疑是现在网络安全行业最热的关键词。安全威胁的演变直接推动了安全技术的发展,病毒的互联网化使得安全形势发生了根本性的改变,而“云安全”正是为了应对这一改变,安全软件互联网化的表现。随着服务器和台式机虚拟技术的日益普及,虚拟化技术对人们已不再陌生,继续使用虚拟化是用于解决许多企业问题的一个新兴的和快速应用战略,它能帮助企业的数据中心大大提高利用率,节省大量的资源。在2008年,虚拟化战略已经被许多大型企业和小型企业所接受并应用,而在目前全球金融危机的形势下,节能高效的虚拟化技术得到更广泛的应用。
网络安全方面,虚拟化技术也将会整合到安全解决方案中,为用户提供独立于环境的解决方案,并且面对通用操作系统环境可能造成的混乱,可避免受到其所产生的影响。这一技术为银行业等敏感交易提供安全的环境,并保护安全组件等关键基础架构,从而实现通用操作系统的全面防护。
同时,这些虚拟化技术的应用,将给人们带来另一个问题,如何保障虚拟机本身的安全。我们在基于角色的访问控制、虚拟服务器身份管理、虚拟网络安全、报告/审计方面需要更好的安全工具。而黑客们要考虑的则是,如何突破虚拟机的界限,至少,当他们散布一个恶意程序时,这个恶意程序需要能够弄明白自己究竟是运行在一个虚拟的环境还是一个实际的环境中。从诺顿的“误杀”事件起,各种安全软件的漏洞问题层出不穷,而在这些漏洞中,应用软件漏洞更是占据了多数,给人们的网络安全带来的严重的威胁。这些漏洞主要来自计算机用户平时经常使用的搜索引擎、网络视频软件、媒体播放器软件、网络游戏、网络下载工具和浏览器等,其中很多都是被广泛使用的应用软件。这些应用软件漏洞在病毒和木马的传播过程中被大量利用。
社交网站的“罪与罚”
随着社交网站的流行,这些网站成为黑客关注的焦点。人们利用社交网站结识朋友,扩张人脉,而黑客则企图透过这些人脉散布恶意程序。目前,以窃取用户帐号信息为目的的钓鱼邮件,以及使用社交网站内容作为攻击载体的行为越来越多,黑客通过网页仿冒获取用户帐号或假借社交之名提高在线威胁的“成功率”。
2008年8月,Facebook有多达1800名用户的使用者档案遭到秘密安装的木马程序窜改。Twitter同样成为网络罪犯散播恶意软件和商业广告讯息的工具。
除此之外,越来越多的Web服务,为浏览器带来更多的脚本语言,而新的基于Web的安全威胁数量也将会激增。用户产生的内容可以隐藏许多来自浏览器漏洞、恶意软件/间谍软件散播和指向恶意网站的安全威胁。
利用基于浏览器的Web应用如基于Web的CRM系统、Google文档和其他基于Web的办公工具等越来越多的取代了传统的桌面应用程序。运用基于浏览器的Web应用来丰富互联网使用体验的程序是富互联网应用系统(RIA)。伴随这些应用需求的爆炸式增长,使用RIA(Rich Internet Application,富互联网应用系统)技术的Google Gears、Air、Flash和Silverlight构建了一个大型的Web2.0网络应用体系,而安全问题却是最后被考虑的,这就如同敞开大门让网络犯罪分子肆意攻击。
谁为网民撑起保护伞
与病毒、操作系统带来的安全隐患相比,网民的心理安全感更值得关注。
今年5月1日,《杭州市计算机信息网络安全保护管理条例》的正式实施引起了轩然大波,焦点在于其中有项规定:互联网信息服务提供者提供电子公告、网络游戏和其他即时通信服务的,具有用户注册信息和发布信息审核功能,并如实登记向其申请开设上述服务的用户的有效身份证明。
网民普遍将该规定理解为“网络实名制”。尽管其初衷在于尽可能预防侵权、各种网络诈骗等事件的产生,加强计算机信息系统的安全管理等,然而网民更担心自己的言论自由权利将因实名制而被过分约束,个人信息也同时会因法律监管的缺失而遭泄漏。
一场关于网络实名制、网络安全与网民权利的三角辩论再次开场。皇帝的新衣
“网上,没人知道你是一条狗。”这是几年前的一句网络流行语。然而现在,网民穿的是“皇帝的新衣”——在网络这个虚拟的世界里,人们的任何隐私随时都会被曝光。
这并非耸人听闻。
聊天工具、电子邮箱、论坛ID注册资料、空间、博客......当你打开电脑,点击鼠标,畅游在网络世界时,或许不会想到,你的安全时刻受到威胁。这种威胁绝不仅仅来自于那些有着高明手段的黑客——对于黑客来说,攻击他人IP,破解博客密码,炸开邮箱,盗窃即时通讯工具等等行为实在是轻而易举——你一个随意的动作或程序都有可能让自己的信息外泄,任何一个网民都有可能是你生活的进犯者,无论有意还是无意。
一个月前,李华在上网与好友聊天时,一个陌生人突然向她发来了一张自己刚给朋友传过的照片。更可怕的是,这个陌生人似乎对她很熟悉,不仅知道她的名字、家庭住址、学校、朋友的名字,就连自己的银行账号都很清楚。李华百思不得其解,甚至得上了聊天恐惧症。直到后来朋友从她电脑里搜索出了一种“QQ聊天记录查看器”软件,她才想起自己曾经接受过那个陌生人发送的一张图片,而软件便与图片捆绑在一起。这种软件可以远程查看到安装用户所有的QQ、MSN聊天记录。据了解,网上充斥着大量类似软件的出售信息。
打开电子邮件,如果你发现一封标题为“想你了”的E-Mail内容却是关于商品、培训或者促销的广告,甚至信件的“抬头”直呼你的大名,不必感到惊讶,因为每个人的资料已经被成千上万电子邮件库所保存甚至出售;如果有一天你博客里的私密日记和图片突然被成千上万的网友审视、研究,你一定会感到无异于“世界末日”来信,但值得“欣慰”的是,遭此劫难的绝非你一人,去年“二奶门”事件主角就一夜之间成了所有网友眼中的“二奶”;去年极为轰动的“艳照门”事件,甫一泄漏便迅速进入全体网民的视野,其所带来的恶劣影响至今仍未平息......
个人隐私已然成为了一场“全民盛宴”,“进入网络世界就像遇到下雨天”,你,还敢上网吗?
权利边界
6月18日,中国互联网违法和不良信息举报中心在首页显著位置,刊登了“强烈谴责谷歌传播淫秽色情和低俗信息”的消息。消息指谷歌中国网站未做好淫秽色情内容的过滤工作,致使大量境外互联网上的淫秽色情信息通过该网站传播到境内,严重违反国家有关法律法规,侵害青少年身心健康,损害公众利益。接着,央视《新闻联播》、《焦点访谈》、《新闻1+1》三个王牌节目重磅出击,联手把崇尚“不作恶”信条的谷歌在一夜之间变成了“万恶”的谷歌。
被曝光后,谷歌中国迅速表达了歉意,并表示将严格按照政府执法部门的要求进行整改。
这一事件引发了人们更多的思考:“政府可以在法律的框架下要求谷歌中国进行整改,但不宜暂停它的两项搜索业务,因为那将严重影响网民的知情权。”
前不久,一个叫“恶魔岛1989”的网友在某论坛发贴,总结了今年上半年发生的网络十大热点事件:“躲猫猫”、“跨省追捕”、“罗彩霞”、“欺实马”、“邓玉娇案”、“成都公交自燃”、“绿坝软件”、“逯军最牛语录”、“全国最年轻市长”和“上海在建大楼倒塌”事件,这些事件有一个共同的特点,即是网民享受到言论自由权利的同时,通过网络舆论监督让它们都有了一个不错的结果。
“网民权利是互联网商业社会的基础,离开这个基础,就不会有正常的交换秩序,就不会有正常的制度建设,也不会有商业的繁荣和社会的稳定。” 中国社科院信息化研究中心秘书长姜奇平认为,“没有网民权利的切实保障,就没有信息时代的安全感。”
姜奇平同时指出,按照以赛亚·伯林的说法,权利可以分为消极的自由和积极的自由。消极的自由,是“不想怎么样”的权利,积极的自由是“想怎么样”的权利。网民不想的是被垃圾邮件商强制摆布,想的是自由自在地交流。目前,网民的这两种权利的保障都还不充分:网民想躲开垃圾邮件、躲开隐私泄露而躲不开,想自由交流,又受到商业和非商业“超人”力量(比如“跨省追捕”案中王帅的遭遇)的种种限制。
然而,一方面是网民权利仍然难以得到保障,另一方面网民权利也存在着被泛化的倾向。
2008年,因被追踪、恐吓的“死亡博客”主人公王菲最终通过法律为自己维权;因在汶川地震中发表了不当言论而受到网友“人肉”攻击的大三女生最终被迫选择休学,人们对于人肉搜索产生了截然不同的两种观点:有人对这种充分甚至是过度实现了网民权利——知情权、言论自由的搜索形式狂热追捧,也有很多人将其看做“网络暴力”,因为它未经授权便公开资料是对人们隐私权赤裸裸的侵犯。
尴尬实名制
当人肉搜索忽视了网民应尽的责任与义务,造成了网民权利的泛化,并很有可能最终导致网络参与的失度和无序,一个更加具有争议性的议题——“网络实名制”再次进入了人们的视线。
从清华大学国际传播研究中心主任李希光提出实名制的主张到教育部“17号文件”的出台、高校BBS实名制的实施,再到网站实名备案的强制推行以及网络游戏实名制、手机实名制的酝酿,甚至到QQ群实名制的推出,每一次实名制的推出或者筹划推出都引发过广泛的争议。
支持者认为,网络实名制可以最大限度的提升网络道德水平,最大限度的减少利用互联网的各种违法犯罪行为。互联网作为一个虚拟的世界,其最大特点在于“匿名”,然而这却“让假银行网站骗取帐号密码、黑客木马盗取虚拟财、入侵电脑肆意破坏等报道时见报端;让垃圾邮件满天飞舞,人们不得不花费大量时间在垃圾邮件中寻找重要工作邮件”,而网络实名制的实施无疑可以让这样的这些人在想违背道德甚至法律的时候有所顾忌,对自己的行为进行约束。此外,网络实名制对于保护青少年将起到重大作用;将更好的维护网路秩序,提升人们的责任感和坦诚度。
而在反对者们看来,在现阶段实行网络实名制有悖于互联网的初衷与精神,“网络的魅力就在于‘匿名’,在网络里大家才可以自由的发表言论。” 尽管对“网络暴力”存在担忧,但更多懂得自律的网民依然可以通过直率的评论,推动越来越多重大事件真相的水落石出。同时,他们也担心网络实名一旦实施,网民的个人信息安全将无法得到保证。“实名制登记后,个人隐私会不会被泄露?对于冒用他人身份证明登记上网发帖的网友,网站将如何甄别与防范?”
就在我国对“绿坝”软件议论纷纷之时,韩国的35家主要网站表示 将按照韩国信息通信部的规定,从6月28日起陆续实施网络实名制。支持者们将此看作网络实名制的成功典范,并称可从中得到借鉴,而反对者称,与中国网民以交流信息为主不同,韩国网民上网主要从事电子商务,因此对于网络实名制的需求自然更为明显。
正因为双方观点反差如此之大,杭州网络实名的“试水”才引起极大争议。有网友甚至“以身试法”,故意发表虚假信息后随即自首,但迟迟未获答复。尽管6月29日杭州人大网对《条例》做了澄清,指出规定中的“用户”是指“到互联网服务提供者的网站申请开设电子公告、网络游戏、其他即时通信服务的组织者和举办者”,而不是指一般网民。然而这个说法更是让网友不知所云。
不过,反对者们可能忽略了一个问题,那就是即使不施行实名制,由于IP地址可被定位,网民的真实资料同样可查。
那么,网络实名制到底好不好?好;该不该实施?该。但为时尚早。
网络实名制有两层含义:一是个人真实信息注册登记,这有赖于全国性的信用体系的建立和完善,是所谓“后台实名”,这个的意义在于让每个网民在虚拟空间的言行可以和能够在现实社会中具有一对一的可溯性,每个网民都必须有对自己言行负责任的意识和义务;二是网民有自由选择采用实名或匿名在虚拟空间活动的权利,这是属个人隐私权,即所谓“前台匿名”。明白了这两层含义,就可以清楚地看出实名制与网民权利是辩证统一的两个方面,并不矛盾。
当互联网与国计民生、与网民的学习生活越来越紧密相联,实名制大概就不是推动与否的问题,而是自然而然的一个过程。只是,这一天何时到来,大家尚需在共同努力中期待。
