原標題:網路安全軟體需重設安全等級
科技觀察
對於關乎國計民生、公共利益的關鍵資訊基礎設施的運營者,必須納入等級保護管理的範疇。
兩年前的4月19日,習近平總書記在全國網路安全和資訊化工作座談會上指出,維護網路安全是全社會的共同責任,需要政府、企業、社會組織、廣大網民共同參與,共築網路安全防線。兩年來,在“網際網路+”的政策引導下,網際網路行業得到進一步發展,但網路安全問題也凸顯出來。
比如前段時間央視《經濟半小時》曝光的兩款免費蹭網軟體。這種蹭網軟體在沒有確認其是否就是WiFi建立者的情況下就接收並保存了WiFi密碼,屬於明知有問題而放任不管的行為,其目的不過是為了更加方便地獲取他人WiFi網路的密碼。這種行為已經違反了《網路安全法》。
它暴露出一些監管漏洞,因此相關監管部門還應進一步加強監管工作,做好網路安全的預防和應對工作。
蹭網類軟體安全之門大開
蹭網類軟體對WiFi密碼保存存在明顯的安全防護缺失。以WiFi鑰匙軟體為例,它們是通過第三方root工具獲取系統管理許可權後可以查看密碼。這説明WiFi鑰匙軟體沒有加密保存WiFi密碼,否則即使獲得了系統管理許可權也不應該能輕易查看WiFi密碼,明文保存WiFi登錄密碼存在巨大的安全風險。
因此,WiFi鑰匙軟體缺乏有效的安全防護措施,否則不可能僅僅憑藉一個root工具就能夠輕而易舉地獲得系統管理許可權。這樣的系統對於有經驗的駭客或組織則如同大門敞開一般來去無阻。
WiFi萬能鑰匙聲稱其“一直重視對密碼的保護,對密碼採用128位非對稱加密”,即使果真如其所述,那麼非對稱加解密的公私密鑰由誰掌握?顯然加解密的密鑰都由WiFi萬能鑰匙公司保管,那麼其安全性就存在問題。
WiFi已經成為網民日常上網的主要途徑,甚至一些重要國家機關、金融機構也建有WiFi網路,因此應該將大量的WiFi網路看作是關鍵資訊基礎設施。而蹭網類軟體掌握著覆蓋全國的海量WiFi網路密碼,如果這些數據被竊取或故意轉讓,則極有可能被駭客組織甚至敵對勢力所利用,竊取重要機密資訊,如果配以惡意程式甚至可導致全國範圍的大面積WiFi斷網,引發社會恐慌。
這類軟體公司已經成為關乎國計民生、公共利益的關鍵資訊基礎設施的運營者,必須納入相應等級保護管理範疇,政府應確定其應該達到的等保等級,責令其採取相應級別的等保措施,並定期接受等保檢查。
技術篩查要代替媒體曝光
目前市場上有大量的移動應用程式,這些應用程式是否也存在侵犯用戶隱私數據等惡意行為呢?
這不能指望媒體來一一檢查這些應用程式。監管部門可以要求移動應用程式商店的運營商加強對移動應用程式的技術監管力度和水準,可以將人工智慧技術應用於網路安全,利用機器學習、深度學習等模型來學習竊取用戶隱私等惡意行為的特徵,和專家知識庫結合實現對海量移動應用程式的自動化的安全檢查,提高檢測的效率和準確性。
同時公開部分測試樣本軟體,鼓勵科研院所和科技公司參與到相關檢測技術的研究中,持續提高檢測演算法的準確性。對於涉及保存、傳輸、使用關鍵資訊基礎設施資訊的軟體要求他們提交源程式,由專業安全檢測機構檢查其代碼是否存在安全漏洞。
監管部門還可以研究如何讓高校、科研機構、科技公司和移動應用商店運營商優勢互補地有機融合到一起,協同創新提供安全技術和服務,為廣大網民提供安全的應用程式。
完善網路安全法體系
同時,相關法律體系仍要繼續健全,對於觸犯網路安全行為加大處罰力度。
今年3月,國外媒體報道了康橋分析通過Facebook獲取超過5000萬名用戶的資訊數據,這些數據被用來操縱2016年美國大選。海量的個人資訊不僅可以使不良商家獲得巨大經濟效益,甚至有可能産生社會和政治影響。中國擁有全世界最多的網民,如此巨量的個人資訊如果被別有用心者利用,則有可能産生巨大的社會震動。
《網路安全法》相當於網路空間安全的基本法,必須進一步健全網路安全的法律體系,發佈相關實施細則,制定更有針對性的軟體安全、數據安全、隱私保護等技術標準。對於違反《網路安全法》的個人和企業,必須做到嚴格執法,處罰合理,否則《網路安全法》則形同虛設。
蘆效峰(北京郵電大學軟體安全中心副主任)
