□本報記者朱寧寧
  當人們滿懷期盼準備買票回家過年時,火車購票官網12306卻被曝發生令人震驚的用戶數據泄露事件。12月25日,一網友在國內知名漏洞報告平臺烏雲上發表了一篇題為《大量12306用戶數據在互聯網瘋傳包括用戶賬號、明文密碼、身份證郵箱等(泄露途徑目前未知)》的帖子,稱當前有黑客獲取了12306的所有用戶信息併在一些黑客群體中進行流傳、買賣。該樣本數據的文件標題為《12306郵箱-密碼-姓名-身份證-手機.txt》,共計131653條記錄。雖然鐵路警方當晚便迅速抓獲了涉嫌竊取並泄露他人電子信息的犯罪嫌疑人,但此次12306網站用戶數據泄露一事卻引發大眾普遍擔憂。
  網絡安全問題已變成了觸目驚心的事實,並且關乎每個人的信息安全。面對頻繁發生的數據泄露,該怎麼辦?
  “目前我國的網絡安全立法屬於起步階段,既未形成網絡安全的規範體系,亦無專門的個人信息保護法律。我國在網絡安全立法方面的滯後是顯而易見的。”中國人民大學物證技術鑒定中心副主任、國家司法鑒定人,首都互聯網協會法律專業委員會委員謝君澤近日在接受《法制日報》記者採訪時指出,網絡治理既需要法律規制,也需要技術強化。只有法律與技術雙管齊下,才能真正實現網絡的良性生態。
  個人信息泄露頻繁隱私保護成難題
  不得不承認,互聯網在極大方便人們生活的同時也給信息安全帶來了巨大挑戰。近些年來,互聯網世界中各種泄密事件屢屢發生,安全問題備受詬病。讓我們先盤點一下近期發生的幾起影響較大的泄密事件:
  3月22日,烏雲網公佈了“攜程安全支付日曆導致用戶銀行卡信息泄露”的相關信息。泄露的內容包括用戶持卡人姓名、身份證、所持銀行卡類別、卡號、CVV碼(信用卡背後的一組數字)以及用於支付的6位密碼;
  2013年10月22日,圓通速遞被曝其近百萬條快遞單個人信息不僅可在網絡上購買到,單號數據信息還能24小時刷新;
  2011年12月,CSDN的安全系統遭到黑客攻擊,600萬用戶的登錄名、密碼及郵箱遭到泄露。隨後,CSDN“密碼外泄門”持續發酵,人人網、開心網、世紀佳緣、百合網等網站的“密碼集”也先後出現在網絡上。著名網站天涯網也發佈致歉信稱天涯4000萬用戶隱私遭到黑客泄露。
  個人信息被泄露的一個嚴重後果是使個人遭遇電信詐騙的危險大大提升。據統計,目前90%以上的電信詐騙源頭都是個人信息泄露,直接導致電信詐騙從撒網式詐騙向精準詐騙升級,再配合網絡改號軟件、偽基站、釣魚網址、木馬病毒等高科技手段,讓電信詐騙更容易得手,單個案件的金額越來越大。
  網絡懸賞公私合作之舉值得鼓勵
  值得一提的是,據報道,12306在數據泄露之後已於近日加入全球最大的漏洞響應平臺“補天”開始漏洞修複。網站主管方中國鐵道科學研究院最高懸賞2000元,號召網友查找漏洞。據悉,“補天”是國內首個現金懸賞漏洞的平臺。安全專家和黑客技術高手通過向企業提交漏洞報告,能夠根據漏洞危害程度和影響範圍獲得企業現金獎勵,從而幫助企業主動發現並修複漏洞,提升互聯網安全防護水平。
  “12306懸賞查漏洞可以說是借助市場化手段的公私合作。這與之前有些互聯網企業在查處涉恐數據時提出的有獎舉報有異曲同工之妙。當前,通過市場化手段進行網絡安全的公私合作應當說是應急之需,值得鼓勵。”謝君澤評價。
  “實際上,發達國家一直推崇網絡安全的公私合作。”謝君澤介紹,今年12月,美國國會先後通過的四項網絡安全法律議案,其中最大的兩個特點是理順網絡安全公私合作的體制障礙和加強聯邦計算機網絡的實時監控。網絡安全的公私合作不只是打擊網絡違法犯罪方面的公私合作,更多的是在網絡安全技術的研究與發展方面的公私合作。
  防治數據泄露還需不斷提高技術
  謝君澤告訴記者,網絡安全立法起步較早的發達國家,不僅關註國際層面、國家層面、社會層面的網絡安全立法,也十分關註企業和個人層面的網絡安全立法。比如說,美國早在2000年以前就已通過多部與電子商務、個人隱私相關的網絡安全法律,具體包括《1984年懲治計算機欺詐和濫用法》、《1986年電子通信隱私保護法》、《1988年計算機適用及個人隱私保護法》、《1996年經濟間諜法》、1997年《全球電子商務框架》、《1998年數字千年版權法》、《1999年在線隱私保護法》、《2000年全球及全國電子簽名法》,此後還出台了《2005年個人數據隱私與安全法》。
  “數據泄露的網絡防治,不能僅僅依靠法律規制,還需要不斷提高的技術強化。”謝君澤分析指出,一方面,網絡是與生俱來的技術產物,網絡安全一定程度上是網絡技術對抗的結果。另一方面,網絡安全的威脅不僅來自惡意的人為攻擊,還有網絡自身的技術缺陷;不僅有來自域內可規制的犯罪行為,還有來自域外不可控的攻擊行為。正因如此,走在前面的網絡安全發達國家總是十分註重網絡安全的技術發展和人才培養。比如,美國的《2010年網絡安全法案》主要規定了網絡安全的人才發展、網絡安全知識培養等,而後續的《2010年網絡安全加強法案》則旨在加強網絡安全的研究與發展,推進網絡安全技術標準制定。
  謝君澤強調,我國即將出台網絡安全法,當務之急是如何認識網絡治理的潛在規律,如何借鑒發達國家的立法先例,如何吸收我國實踐探索的經驗,這是一個任重而道遠的課題。
  (原標題:實現網絡良性生態需立法與技術雙管齊下)
arrow
arrow
    全站熱搜

    qe61qehely 發表在 痞客邦 留言(0) 人氣()