在近期曝光的互联网安全事件中，由于路由器被攻击而被盗取个人信息的事件引起了消费者关注。题图：2013年互联网安全大会上，安全企业向用户推荐带有安全功能的路由器。在互联网安全大会上，关于黑客攻防的书籍热销。图：一网络安全技术人员与图书作者交流安全防护经验。

　　本报记者 郭文鹃摄

　　网络安全面临挑战

　　正当《中国好声音》第二季在全国热播时，不少网络违法犯罪分子也打上了观众的主意。据安全联盟统计数据，自诈骗举报平台搭建以来，已经接到网民对可疑网站举报14142个，并通过百度搜索、QQ、金山毒霸、微信等平台完成了4947个相关网站封杀，预计累计为网民减少损失超过千万。

　　“目前，各种网络诈骗仿真能力越来越强”，安全联盟负责人、知道创宇信息技术公司市场部总监毕宁告诉记者两个令他印象深刻的细节：首先，诈骗短信最后都煞有介事地加了这样一句话，“本次活动最终解释权归浙江卫视《中国好声音》节目组所有”；另外，网友打开的伪造“好声音官网”，除了增加“中奖通知”栏目以外，与真实网站几乎毫无差别。“这种线上与线下结合，和真实生活场景高度贴合的诈骗设计是新一代网络诈骗的显著特征之一，给百姓识别带来了更大的难度，也给网络安全企业带来了新的挑战。”毕宁说。

　　在9月23日举行的互联网安全大会上，不少专家对网络安全环境和毕宁有相同看法。南京翰海源信息技术有限公司CEO方兴提出，面对不断出现变化的互联网安全形势，尤其是伴随着虚拟化、大数据、云应用、BYOD（携带自己的设备办公）及可穿戴智能设备的广泛应用，传统思路和方法已无法满足信息安全的需求，必须通过创新的方法来迎接和应对这些挑战。360公司安全研究院林伟对现阶段个人、企业甚至政府的网络安全深表担忧。“互联网安全贴身‘攻防战’一触即发。”林伟判断。

　　移动、社交、云，一个都不省心

　　在互联网安全大会上，一篇“小心闺蜜寄来的手机”的报道在互联网安全界引起了热议。黑客利用公开社交网络信息，以闺蜜的名义寄给王燕植入有隐秘间谍病毒软件的手机，当王燕用新手机连接公司WiFi后，成功获取了王燕公司各项机密。“听起来很不可思议，像是谍战电影中的情节。但这已经是当前典型的、基于公开社交信息而进行的攻击泄密案例。未来可能会更多地出现。社交网络带来了交流的甜蜜，也带来了安全的隐忧”，林伟表示。

　　除了让大众处于“透明状态”的社交网络外，目前正被大范围推广的云服务同样面临重大安全威胁。几个月前，国外知名云计算笔记应用Evernote遭遇黑客攻击，导致大量用户名、电子邮件地址和加密密码泄露。为此，Evernote向近5000万用户发出重置密码的通知。“越来越多用户正开始养成记云笔记、用云存储保存资料的习惯，数据保密和数据完整性等一起被列入云服务最迫切解决的安全问题。”绿盟科技首席战略官赵粮解释，当企业会议记录、隐私信息被保存到了云端，而云平台、云服务一旦被攻陷，将伴随大量机密信息、可以挖掘的数据泄露。

　　而在移动设备端，美国佐治亚理工学院博士宋程昱在互联网安全大会现场演示了如何在60秒内用一台“山寨”充电器，“黑”掉没有“越狱”的iPhone手机，并将恶意软件植入手机内，着实令人咋舌。宋程昱称，之后黑客可以肆意偷窥被“黑”手机屏幕，窃取应用密码甚至完全操控手机。如果说iPhone如此轻易被黑让不少“果粉”心有余悸，作为占有我国近87%市场的安卓手机的安全环境则更加糟糕。根据国家网络信息安全技术研究所软件安全评估中心抽样调查，目前在我国安卓应用商店中，有11%属于对系统危害极高的恶意软件，具有可疑行为的应用更是高达63.6%。

　　传统的网络安全威胁多通过批量挂马、漏洞入侵、病毒捆绑下载甚至是直接暴力破解等方式，以达到破坏或者窃取目的。随着网络安全软件的普及和用户安全防护意识的提高，攻击手段也正进行着更复杂的演化，并且直接与经济利益挂钩，甚至形成了相关黑色产业链条。尤其是社交等新兴互联网应用的涌现以及移动互联、云计算的发展，大众、企业甚至国家级信息安全问题暴露更加明显，亟待引起重视。

　　走向融合、联动、创新

　　截止到今年6月底，中国网民规模已达到5.9亿，手机网民达到4.64亿。未来，安全企业发展必然围绕着新的安全环境展开，挑战不小，也蕴藏着巨大的发展机遇。ABI Research最新研究报告预测，中国网络安全市场规模到2017年预计将翻一番达98亿美元。

　　在应对新一轮强势网络攻击时，如何更好地保护客户的网络安全以及抢占新兴市场，成为安全企业必须思考的问题，不同的企业给出了不同的答案。

　　作为传统IT信息安全企业，天融信已经具备了相对完备的信息安全产品线，除了传统的网关安全领域，在安全管理、业务交付、安全服务等方面也都有国内领先的产品和解决方案。天融信市场总监周彤表示，未来天融信会致力打造各种产品、技术与服务的融合。“新型信息安全建设必须要具备全面融合的思想，未来的信息安全建设务必在技术层面要实现相互融合。只有产品和服务融合、解决方案与业务融合，才能形成立体的安全防御体系。”周彤说。

　　新型互联网安全公司知道创宇强调的是跨行业的联动。在目前“安全联盟”项目中，知道创宇为百度搜索、QQ、杀毒软件、浏览器等多方平台提供钓鱼网站名单、行业网站“白名单”、网站安全信用评级信息。记者注意到在合作方名单中，除了联网企业以外，还有“中国电子商务协会”、“中国航空运输协会”等协会组织，中科院、人民大学等研究机构。毕宁告诉记者，和协会合作是为了认定网站信用资质，与院校合作则是想提高产品研发能力，未来希望有更多参与者加入，比如执法机构、媒体等。“跨越线上线下、众多的参与者、高超的作案手段等都使得处理当前网络安全需要多方合力。”

　　还有不少创业安全公司则希望通过在细分领域的突破来获得发展。Trustlook创始人张亮介绍，最近公司设计了一款通过云平台对下载软件进行安全测试的产品，在手机终端上不占用空间、不耗费电池，将从技术上对移动终端安全产生颠覆性影响。

　　随着“棱镜门”事件的爆发并持续发酵，国家级网络安全成为信息领域的一个焦点。近期，大批外国企业取消了同美国IT巨头的云计算订单，周彤估计今后三年将给美国带来210亿美元至350亿美元的损失。“这对于国内企业来说，无疑是一次获得突破性发展的机会。民族自主品牌的信息安全产品将成为众多国内企业重点考虑的目标。”周彤说。

　　一名黑客眼中的安全世界

　　本报记者 郭文鹃

　　在互联网安全世界里，黑客站在产业链顶端。而在黑客世界里，有着完全对立的两类人：一类专门研究攻击技术，擅长破坏，甚至利用技术犯罪谋取利益，被称作“黑帽子”；另一类同样可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是将其公布、寻找修补办法，被称作正义的“白帽子”。奇虎360的万仁国便是一个“白帽子”，他的工作是负责不断寻找网络系统漏洞，完善安全软件。

　　不同选择，不同生活。黑色产业链“项目”来钱快，每年收入可达百万，而“白帽子”有几十万就已经不错。万仁国估计目前圈内帮企业做“白帽”的人数不会过万，而做攻击的远远超出这个数量。“做这个行业随时处于一个对战状态，三天不关注最新行业动态就肯定落伍。”万仁国坦言，工作的压力不小。

　　从业5年，万仁国已经升为了公司高级安全研究员，平时会负责一些项目的统筹、安排工作，领导着一群初级“白帽”。但即便这样，万仁国从来也没有和一线业务脱离过，直到现在仍然做着许多初入公司时候的基础活。每天到公司的第一件事是察看邮箱，浏览行业论坛，关注是否有新的漏洞消息。万仁国告诉记者：“黑客这个行业非常注重分享，信息几乎全部公开，因为黑客们知道无论是攻还是防的技术，都只有在交流和探讨中才能获得迅速提高。”如果找到新的钓鱼网站线索，万仁国团队会迅速研究网站的注册人、服务器位置、其他关联钓鱼网站等各种信息，汇总研究之后用来提升安全软件的防御功能。目前国内安全领域在近万名“白帽”的持续努力下，新病毒的影响范围正在逐渐减小。和几年前动辄几十万到几百万感染者相比，现在感染数量基本能控制在10万以下，安全事故的严重性大大降低。

　　回忆起当初接触这个行业，还有一些偶然。万仁国在2000年接触电脑后，通过《黑客防线》、《X档案》等行业书籍，对黑客有了初步了解，就开始研究攻防技术。而最开始使用这些技术，似乎离“黑”更近一点。万仁国介绍，在当时比较有名的“汉血”、“人人为我，我为人人”等论坛的“破解圈”里流行技术竞争，一旦出现一些付费软件，圈里人就比试谁能用最快的速度将其破解分享。“那时候法律没有明文规定处于灰色地带，也不产生太大经济效益，大家追求的主要还是技术交流和炫耀。”时隔多年，刑法修正案对黑客攻击行为有了明确规定，当初和万仁国一起玩技术的人都已经逐渐销声匿迹，偶尔还能在“白帽”圈里碰见个熟人。

　　万仁国感慨，如今越来越多黑客开始向“钱”看，加入到网络诈骗的黑色链条之中。面对巨大的利益诱惑，目前这个链条参与者的队伍变得越来越庞大，除了黑客，技术人员、市场推广、洗钱机构等各个环节分工也逐渐明细。在奇虎360公司统计的虚假购物、网上兼职、网络游戏、话费充值、虚假团购等2013年第二季度典型网络诈骗事件中，均能够体现出各方的精巧合作。网络交易数据隐秘、作案人员庞大、作案主体分散等多种因素，为此类案件的侦破增加了很大难度。作为技术人员，万仁国感到自己的力量有限，只能尽可能快准狠地发现不法网站，修复漏洞，不断提高安全软件性能来为大家提供更安全的网络环境。在他看来，未来随着移动互联网的发展，居民面对的网络环境将会更加复杂，网络诈骗随时可能发生在任何人身上。为了将风险降到最低，万仁国建议：“个人无论如何都要保护好自己的身份证、银行卡号、手机号等重要身份信息，千万别因贪图便宜、方便而粗心大意，网络交易需要符合标准流程。”

网　　络安全 意识先行

　　陈 静

　　构建安全可信的信息消费环境已被作为促进信息消费的数个途径之一，足见网络安全对未来信息消费增长巨大的保障作用。随着云计算、大数据、移动互联网等一系列新技术和新应用的兴起，互联网安全形势正在发生前所未有的变化。而与此相对照的，则是从个人到企业依然相对薄弱的安全意识。提升网络安全水平，在互联网安全厂商发力的同时，依然有赖于用户安全意识的提升。

　　在个人层面，一些基本的互联网安全手段仍不普及，如账号密码设置方式、自觉安装防病毒软件、为操作系统打补丁等。特别是在移动互联网的新环境中，用户应树立起这样的意识：不要随意下载安装激活不熟悉的移动应用程序、不要使用非主流的移动应用程序分发渠道。此外还要经常对硬盘、U盘等存储设备进行病毒查杀，谨慎对待邮件附件，并且不要过分轻信免费WIFI热点等等。

　　在企业层面，不少企业信息安全认知差、意识薄弱，信息安全问题事前无防备、事后弥补不及，信息安全体系建设尚未开始，同时，企业信息安全消费仍被当做毫无用处的运营成本。随着虚拟化、云应用成为企业信息消费热点，这些企业必须考虑两个方面的问题。一是云应用托管商受资金、社会环境等因素制约，有可能发生服务中断事故，这将为企业带来巨大的损失；二是云端服务器一旦遭到黑客入侵，企业的重要数据就面临丢失或被窃的风险。

　　在管理层面，安全意识同样应有所提升。随着诸如“超级火焰”这类超级病毒的出现和“棱镜门”事件，警钟已经敲响。有关部门应着手提高网络防御能力，提高网络防恐与应急处理的能力；加强技术攻关，大力扶持有自主知识产权和核心技术的产品和应用；切实重视和加强安全监管，大力开展监督检查，并有效落实安全责任。

　　此外，在构建安全可信信息环境方面，还需要进一步加强法律法规建设。去年年底，全国人民代表大会常务委员会通过了《关于加强网络信息保护的决定》。这一决定对打击网络非法活动、保护企业及个人的信息安全,有着极大的推动作用。然而，面对高速发展的互联网技术，相关法律条文中的规定细则还不完善。未来应完善个人信息保护国家标准，加快信息消费立法步伐，让信息消费环境走上法治轨道。