最近,老局長聽聞包括滴滴、運滿滿、貨車幫、BOSS直聘在內的多家APP紛紛遭到整改、下架或網絡安全審查。然而,無論是在B站、微博還是各大主流媒體平臺,評論區一片拍手稱快。明明是服務大眾的國民APP,為什么這么多人喜歡“落井下石”?
打開網信辦官網,找到關于下架“滴滴出行”APP的通報,上面赫然寫著:國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架“滴滴出行”App。
這個就非常有意思了,為什么說有意思呢?因為《中華人民共和國網絡安全法》的官方英文譯名為《Cyber Law of the 's of China》。
很多了解過這方面的同學可能會問老局長:“不對啊,網絡安全的應為直譯不該是 嗎?怎么法律的官方譯名成了Cyber (賽博安全,Cyber音譯為賽博)?”
這里為了方便同學們理解,老局長畫了一個簡單的介紹圖
賽博安全包含了網絡安全與隱私安全兩部分,賽博安全則是Cyber 音譯的叫法,更專業的名稱叫做網絡空間安全,簡稱為網絡安全。而網絡安全這一詞,則被百度百科官界定為國家安全包括的一項基本內容。
以小博大,緊張刺激
說起為什么網絡安全是國家安全的一項基本內容,就要從1991年的海灣戰爭說起。
相信不少軍事迷都知道,海灣戰爭被定性為世界上第一次信息化戰爭。
老局長給大家看一組對比數據
戰斗耗時不到一個半月,聯軍就殲滅了伊拉克的全部部隊,總傷亡人數不到1500。比你深夜看到的美女荷官,以小博大還要緊張刺激。
通俗的來講,聯軍通過信息化技術手段,取得了伊拉克部隊幾乎全部的作戰計劃與行動,伊拉克部隊準備何時進攻,重要領導人藏身何處、部隊編制如何都在聯軍的掌握之中,根據敵軍部隊戰術,見招拆招、采取針對化的戰略打擊,聯軍通過極小的代價就取得了戰爭的勝利。
《孫子兵法》有云:知己知彼,百戰不殆。海灣戰爭就是一場信息化作戰部隊對傳統部隊的一次降維打擊。這次海灣戰爭的聯軍主導國不是別人,正是美利堅合眾國。
盡管美國通過海灣戰爭給世界各國都上了一課,但關于網絡安全,國內的發展一直僅僅拘束于軍事層面。
畢竟,在1991,國內的個人電腦普及率為每人0.0007臺,聯網都困難,誰管你安不安全。
法律法規,比平時來得稍晚一些
事實上,前面《中華人民共和國網絡安全法》作為國內守護網絡安全的第一部法律,推出時間比一般人想象的都要晚。該法案與2016年11月7日正式頒布,于2017年6月1日正式實施。
為什么說這法律來得晚呢?
因為,其實《中華人民共和國網絡安全法》頒布之時,距離美國臭名昭著的“棱鏡門”事件已經過去了3年零5個月了。
2013年6月,前中情局(CIA)職員愛德華·斯諾登將兩份絕密資料交給英國《衛報》和美國《華盛頓郵報》,并告之媒體何時發表。這兩份絕密資料包含的內容即為轟動一時的“棱鏡計劃(PRISM)”。
通過“棱鏡計劃”(PRISM)
美國國家安全局直接進入美國網際網絡公司的中心服務器里挖掘數據
電信巨頭威瑞森公司甚至被要求必須每天上交數百萬用戶的通話記錄。
據悉,包括微軟、雅虎、谷歌、蘋果等在內的9家國際網絡巨頭皆參與其中。
甚至在昨天,美國執法部門更是被爆過去5年向微軟簽發上萬份保密令以獲取用戶數據。
也就是說,美國一直在通過各種手段,企圖搜集到各個國家的通訊信息,并從中挖局具有戰略意義的信息并加以利用。
老局長仍記得當年關于棱鏡計劃的一則俄式笑話:
奧巴馬訪問俄羅斯的時候,負責接機的小男孩問奧巴馬:“爸爸說,你每天都在監視我們,是真的嗎?”
奧巴馬回答道:“別聽他的,他不是你爸爸。”
日子、民生,藏在縫隙里的隱私協議
回到各家APP遭查這件事上來,企業收集過多用戶信息會引發怎樣的后果呢?
這里其實可以從兩個角度來談,一個是個人層面,一個是國家層面。
先從個人角度來談,隱私泄露帶來的最直接利益損害就是無限的廣告轟炸與大數據殺熟。
局長斗膽給各位手機廠商出個招,開發一款只能收驗證碼和快遞信息的手機,其他短信一概屏蔽,不敢說銷量多少,局長肯定第一個入手。
相信不少人也已經看過了此前美團的配送費事件。同一時間、同一地點、同一商家,用戶花了錢開了會員,配送費從0.7元直接漲到4元,會員開了個寂寞。盡管美團方面對此回應稱,因系統緩存原因,導致計算配送費時錯誤的使用了用戶的歷史地址才會出現這樣的問題。
但這樣的回復并不能讓大眾信服,更是有網友指出:“既然系統算配送費時使用了舊的地址,那么外賣為什么不會送到舊的地址?”
新華網也就此事發表了短評,直言:“請別小看那一兩塊錢,那不是‘韭菜’,那是日子是民生。”
盡管7月2日,市場監管總局發布的《價格違法行為行政處罰規定(修訂征求意見稿)》中規定,電商“大數據殺熟”最高擬處上年銷售額5‰罰款。
但問題根源在于,這些互聯網企業是否應該收集這些用戶信息?又是如何利用這些信息。
幾乎所有的APP在使用前都會讓用戶先同意服務協議,而幾乎所有的因此協議中都會說一句:
“我們是正規APP,會收集你的信息沒錯,但是那是為了更好的給你提供服務,絕對不是為了無節制的給你推送垃圾廣告,也不會把你的個人信息賣給其他廣告廠商,讓你的短信列表里充滿了我們的垃圾營銷短信。”
而至于這段話了有多少誠意,大家可以自行斟酌。
不過,局長真的很想問一句各大服務類APP收集的信息真的是為了服務我嗎?
為什么局長剛下載一個讀小說的APP,最后會要求收集我的位置信息?
某讀書APP中的隱私協議部分,局長調查了數家APP的隱私協議結果發現大同小異
局長知道你肯定沒有認真讀過一篇隱私政策,所以特意扒了一篇范文過來
翻譯成白話文的意思就是:你平時搜過啥我都知道,搜索關鍵詞不能算是你的個人信息,我想咋用就咋用,賣給其他APP這個你都管不著。
這也解釋了,很多人倍感無語的一個現象:比如你曾經出于獵奇心理在淘寶搜了一次噴水葫蘆娃之后你的主業就開始一發不可收拾的出現隱身葫蘆娃、金剛葫蘆娃等等……
畢竟人家隱私協議里寫的清清楚楚,搜索關鍵詞不算是你的個人信息。APP能有什么壞心眼呢?只是想給你提供更好的服務罷了。
你覺得這是“霸王條款”?其實這個也十分難以界定,一方面,我國法律中關鍵詞信息確實沒有被劃分在個人隱私的范疇內,而根據法無規定不為罪,法無禁止即可為的原則,互聯網廠商這些行為確實“沒有在侵占你的權益”。
而且,人家APP就在應用商店里,僅針對同意用戶協議的用戶提供協議更類似一種會員制的服務標準,畢竟想用APP服務的人是你,而不是APP想讓你使用他們的服務。
真的會有境外組織關心你每天中午吃了幾碗飯嗎?
再來談談國家安全角度,很多人比較關注的兩個直接問題:
美國人真的關心我每天中午吃了什么,幾點打車下班回家嗎?
真的有企業向境外勢力泄露了大量個人信息嗎?
先回答第一個問題,美國人真的關心我每天中午吃了什么,幾點打車下班回家嗎?
說實在的,不太關心。
其實,你每天吃什么其實你自己也不是特別關心,不信的話你試著回憶一下自己昨天早上吃了什么,前天晚上吃了什么,一多半人相信已經記不清了。
但對于特殊職業人群則大有不同,如重點領域的首席科學家、政府官員、裝備制造企業員工等等,因為這類民生APP普及率極高,很難保證這些重要人物不打車、不點外賣。
即使這些人真的用不到這些APP,那他們的子女、配偶呢?
境外勢力通過分析用戶消費、出行數據很容易判斷出這些人的基礎信息,再安排上現金美女、雪茄紅酒,很難保證一個人都不中招。一旦成功腐化,我國的國家安全就有了漏洞,千里之堤毀于蟻穴,隱私泄露也真的不可不防。
誰在窺探你的隱私
那么,這些互聯網企業真的把我們的信息賣到國外去了嗎?
說實話,有沒有企業將用戶信息賣到國外,局長真的不知道。
但這并不意味著境外勢力完全拿不到國內的用戶數據。
退回去想一下,企業這邊拿到了用戶信息之后該如何利用呢?
第一步便是將數據儲存起來而這其中就涉及到數據庫安全。數據庫實際上應該拆分為數據與庫,數據指的是企業端所采集的數據,庫則是存放數據的倉庫。
先來帶大家看兩個數據庫泄露的案例。
2018年9月,喜達屋旗下萬豪國際酒店就發生了大型數據庫安全事件,涉及5億名客人的電子郵件、姓名、地址、護照號碼、支付卡等信息遭泄露。一周內萬豪國際股票大跌5.59%。
2020年2月28日,國內微信頭部提供商微盟,其生產數據庫也曾遭到內部員工的惡意刪庫,雖然公司后續將數據恢復,但是公司的經營和聲譽都已經受到了嚴重影響。
隨著數據資產化概念逐漸深入,也來越多的人們開始意識到數據也是一種資產。
那對于不法分子來說,盜取信息是一種比盜取現金更優的犯罪行為。稍微學過信息技術的人都聽過這樣一個例子,你有一個蘋果我有一個蘋果,我們交換一下,還是一人一個蘋果。但你有一條信息我有一條信息,我們交換一下每個人就有了兩條信息。
不法分子在盜取信息的過程中,企業原本的信息不會減少,因此對于隱蔽的手法其實很難發現。另一方面,如果你經營的企業出現資金被盜一定會報警,但是信息泄露這種事情,用戶數據被盜取一方面并不會直接影響公司的經營;并且,一旦數據泄露事件披露,很大一部分輿論導向會指責企業為什么要過度采集用戶信息以及儲存信息不當,這些都會為企業的經營帶來很多不利。
這事你說了,你肯定有責任,你不說,大家也不知道是哪個黑心廠家在賣信息。
企業數據泄露具體又分為兩種形式:主動泄露與被動泄露。
主動泄露,即公司整體存在出售用戶數據的非法業務,將采集到的信息出售給不法分子。但這屬于明確的違法犯罪行為,因此風險較高,局長也認為市場上的大多數企業具有基本的職業操守。
但被動信息泄露則很難防治。例如,公司信息遭內部人員泄露,結合我們前面提到的對個人進行腐化的手段,出于利益考慮,很難保證每一家公司都沒有“內鬼”。
美國都防不住數據泄露
而黑客攻擊則是另一種特別需要注意的數據庫泄露途徑。
時間退回到2020年底
曾經被爆出,“棱鏡計劃”監視監聽全球用戶的美國
也被黑客組織侵入過
去年12月13日,美國政府確認,包括但不限于財政部、商務部、農業部、能源部、國家安全部、國家核安全委員會等多個部門遭到網絡入侵。
聽聞美國政府遭黑客監聽,局長內心就好比聽到到常年說自己考的不好的高分學生這次真的考了十分一樣爽快。
在隨后的報道中,一個名為“Cozy Bear”的黑客組織浮出水面,該組織通過受損的Solar Winds Orion軟件進行入侵,入侵范圍涵蓋了微軟、英特爾、思科、在內的多家私營企業。
關于此次網絡攻擊,美方的回應是受到了國家級的黑客組織的進攻,也就是說,Cozy Bear之所以能入侵美國國家網絡,實際上是有其他國家給它“撐腰”。雖然老局長不知道Cozy Bear背后的大佬是誰,但據了解Cozy Bear團隊內部的通用語言是俄語……
黑客組織此次采取的手法是供應鏈攻擊,即不攻擊電腦主體,而是從上游防護薄弱處切入,從而攻擊下游設備。攻擊者在軟件開發與服務器分發環節植入木馬病毒,用戶則會收到軟件需要更新的提示,待用戶下載更新完畢之后,木馬病毒就已經被植入到了設備之中。
簡單來說,美國政府在下游喝水,黑客組織在上游撒毒,任你空練一身金鐘罩鐵布衫,刀槍不入,也得乖乖中招。
并且,令人震驚的是該入侵開始于2020年3月,在過去長達9個月的時間內,美國各大部門的資料都在黑客的指掌之中。
盡管外界無從得知黑客到底取得了什么信息、取得了多少信息,但可以肯定的是,這次入侵行為給全球的網絡安全防御體系敲響了警鐘。
無論數據怎么儲存,進口產品都沒有國產安全
局長前面也提到了,數據主要存放于數據庫中,但數據庫也分為云存儲與本地部署兩種形態。
云平臺實際上是一個超級計算機平臺,公有云平臺則類似于網吧中的豪華配置電腦,各種操作行云流水。因此,作為“網吧老板”的公有云服務提供商在公有云安全領域有著得天獨厚的行業壁壘。
企業將數據存在云上,那么云服務的提供商自然會向用戶提供對應的安全服務。
云安全概念最早起源于美國安全公司趨勢科技,而國內云安全產業起步于2011年前后,一些創業公司早期開始進入云安全領域。
2014年左右華為、阿里、騰訊等云廠商推出了云安全服務,并逐云領域的直接優勢推出對應云安全產品,形成了對公有云安全的主導地位,比如在主機安全方面,阿里云推出“安騎士”產品,華為云推出“HSS”個人信息泄露例子2016,騰訊云推出“云鏡”,基本都包含安全配置核查、漏洞管理、入侵防護、基線檢查等功能。
可以簡單的理解為你去銀行存錢,錢是你的,倉庫是別人的,保安也是別人的。銀行行長假如想要監守自盜,沒人攔得住,更何況存儲的不是你的錢,而是你的信息。
尤其是境外的云服務商,如亞馬遜云等,一旦中國企業使用境外云平臺,美國政府又簽了一份保密令,那么所有的信息幾乎都處在裸奔的狀態。但值得慶幸的是,受服務器影響,在國內使用境外服務器提供的云服務仍有諸多不便,國內云服務仍是國產品牌領跑的市場格局。
凡事都有兩面,相較公有云存儲而言,本地私有化部署顯然是更有效安全的存儲方式。
截止2020年數據統計個人信息泄露例子2016,國內市場仍是國外的數據庫產品占主導地位,占比高達52.6%。國外廠商的數據庫產品好比一個競爭對手送的保險箱,把自己的資產放進里面始終是不安全的。
我們也認識到這一點,近年來,一批以“達夢、人大金倉、南大通用、神舟通用”為代表的,2000年左右成立的傳統國產數據庫廠商近年來開始,借助政策紅利開始發力。并且市場份額不斷提升。
近年來,隨著數字化改革的深入推進,越來越多的政企單位開始使用數據庫產品,而數據庫作為存放政企業務數據的載體,也是各個單位數字資產構成的核心組成部分,數據庫的安全防護也越來越得到重視。除老牌強隊南大通用、神州通用等企業積極構建之外,阿里、華為、騰訊等頭部企業也在積極入局,在市場中投入自己的自主產品。
此外,隨著數據庫國產替代的聲勢逐漸壯大,國內單位的數據庫安全將得到進一步的保障。
結語
總的來說,隨著信息技術的持續發展,網絡安全行業作為網絡服務發展的底層前提條件,其重要性也越來越突出。網絡安全行業快速發展,引發了對綜合網絡安全產品和安全服務的需求不斷提升。盡管國內網絡安全產業起步相對較晚,但我們仍高興地看到國內網絡安全的增速遠超世界水平。
歸根到底,網絡安全是是所有網絡服務之“根”,國產替代的加速,是將未來把握在了自己手中。