业内人士谈中国网络安全：除了技术还要“家规”(2)

一位闯荡了十多年的业界白帽子：网络安全，除了技术还要“家规”

　　这几天在乌镇参加世界互联网大会的浙商、杭州安恒信息公司总裁范渊，是一位“白帽子”(正面的黑客，有黑客的思维、技术能力，可以识别计算机系统或网络系统中的安全漏洞，但不会恶意去利用，而是公布、帮助修复漏洞)，从在美国硅谷的国际著名安全公司工作时起十几年，他一直致力于研发网络安全产品。

　　大会期间，范渊参加了所有网络安全相关的会议，他也向我们介绍了中国网络安全的现状、和未来的发展趋势。他认为：要推动网络安全的进一步发展，除了技术要努力，还需要有“家规”—各个国家自己的立法、规定；有“通法”—全世界共同合作解决网络安全问题的通路。

　　中国的网络立法，有望3年内建立

　　来看一组国家互联网应急中心最新统计的2014年上半年的数据：

　　境内616万台电脑感染了木马病毒；境外的1.9万台主机，控制了我国境内619万台电脑；有2.5万个网站，被篡改了内容。

　　同时，根据首届世界互联网大会的技术支持单位之一、杭州安恒信息技术有限公司全年的监看表明：中国400多万个注册网站，50%以上存在中等级别以上的漏洞。

　　“目前我们面临的网络安全形势，是比较严峻的。”范渊分析，这种局面，急需内外合璧来改善。

　　在范渊看来，所有系统建立的基础，也就是第一关身份验证，就会遇到技术难点。

　　我们国家的居民身份证号码，是一溜清晰可见的数字，这可能就会成为将来统一数字体系建立的一大挑战。“因为如果恶意攻击者得到了身份认证信息，经过高端的测试和"碰撞"(一种技术手段)，很有可能得到银行卡号、密码等一系列私密的信息。”

　　这一方面需要像安恒这样的安全产品制造企业研发出更加可靠的保障产品，同时，需要强大的法律保障，来防止对大数据的侵犯和恶意利用。

　　“互联网的立法，需要从两个层面共同考量，一是各个国家对内，需要有独立的互联网法律、法规，而在国际上，各个国家要联合起来进行深入的沟通、协作。”范渊认为，按照目前国家对网络信息安全工作的推进情况，中国有望在3年之内，建立国内通行的互联网法律、法规。

　　用户数据丢了，大企业有责任

　　法律、法规的辐射对象有个人，更有掌握了大数据的企业。

　　在美国加州州立大学拿到计算机博士学位后，范渊曾在硅谷工作了7年，他非常了解美国在网络安全领域制定的一些规定。“发达国家目前建立的一些规章制度，可以作为中国互联网安全保护工作推进的借鉴。”

　　比如，美国加州的一项关于信息保护的规定是这样的：如果企业将用户的数据弄丢(被窃取)，那么企业需要在第一时间，马上点对点通知到所有的受害客户。

　　同时，这家企业将接州立的相关机构对其受不同程度的罚款。

　　“对于用户上亿的公司来说，且不谈罚款、通知用户的人力、物力这笔经济损失，要点对点通知到每个用户自己没能保护好他们的信息，这对一家公司信誉的消耗，是真正的"惩罚"。”

　　所以，当用户的数据处于威胁的情况下，企业绝对不是把自己归到受害者的位置，光是谴责盗取数据的不法者，企业是第一责任人。