網(wǎng)絡(luò)中毒泄密事件屢見(jiàn) 專家稱應(yīng)制定手機(jī)安全標(biāo)準(zhǔn)

越來(lái)越多的人已經(jīng)開(kāi)始被手中的智能手機(jī)牽著鼻子走。

近日全國(guó)范圍大面積爆發(fā)手機(jī)木馬病毒，據(jù)報(bào)道波及用戶達(dá)幾十萬(wàn)人。始作俑者雖然已被神速找到，但是受害人基本只能自認(rèn)倒霉。雖然這款病毒只是針對(duì)安卓系統(tǒng)的手機(jī)用戶，但是智能手機(jī)的另一大用戶群體蘋果手機(jī)最近也不太平。近日，蘋果公司承認(rèn)可以通過(guò)“后門”提取用戶數(shù)據(jù)，這一消息隨即引起軒然大波，俄羅斯政府已經(jīng)要求蘋果提供源代碼，公職人員禁用蘋果智能手機(jī)也被炒得沸沸揚(yáng)揚(yáng)。

既然已經(jīng)回不到“通訊靠吼”的年代，那么又該如何在信息時(shí)代保護(hù)好個(gè)人信息安全，甚至國(guó)家網(wǎng)絡(luò)安全呢？手機(jī)安全問(wèn)題從來(lái)不是一蹴而就的。信息安全行業(yè)有句話：所謂安全，是三分技術(shù)七分管理。僅有技術(shù)，而沒(méi)有相應(yīng)的法律法規(guī)，顯然是不能實(shí)現(xiàn)有效作用的。

盡快制定網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)

不得不承認(rèn)，在給工作生活帶來(lái)極大便利的同時(shí)，智能手機(jī)、平板電腦等對(duì)個(gè)人信息的泄露也呈瘋狂之勢(shì)。此外，隨著無(wú)線通信技術(shù)的不斷發(fā)展，像利用“偽基站”等各種新型犯罪也層出不窮。這不僅要求從法律上明確這些新型犯罪，也對(duì)偵查機(jī)關(guān)針對(duì)新型犯罪的辦案能力提出新要求。

“必須加快網(wǎng)絡(luò)安全立法進(jìn)程。網(wǎng)絡(luò)安全的技術(shù)標(biāo)準(zhǔn)制定是網(wǎng)絡(luò)安全立法內(nèi)容之一。”中國(guó)人民大學(xué)物證技術(shù)鑒定中心副主任、中國(guó)電子學(xué)會(huì)計(jì)算機(jī)取證專家委員會(huì)專委謝君澤近日在接受《法制日?qǐng)?bào)》記者采訪時(shí)指出，不管是手機(jī)還是電腦，制定切實(shí)可行的系統(tǒng)安全標(biāo)準(zhǔn)已成為當(dāng)務(wù)之急。

謝君澤介紹，近些年來(lái)，世界很多發(fā)達(dá)國(guó)家都在致力此項(xiàng)工作。美國(guó)就一直在推進(jìn)網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)的制定。美國(guó)《2010年網(wǎng)絡(luò)安全加強(qiáng)法案》的發(fā)起人之一、美國(guó)眾議院科技委員會(huì)主席戈登曾明確表示：這個(gè)法案將推動(dòng)美國(guó)加大聯(lián)邦網(wǎng)絡(luò)安全研發(fā)投入，積極參與制定形成國(guó)際網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)。而美國(guó)《2012年網(wǎng)絡(luò)安全法案》更是直接提出私營(yíng)的關(guān)鍵基礎(chǔ)設(shè)施公司必須遵守由政府制定的計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)，雖然該法案最終未獲通過(guò)。

“我國(guó)制定的網(wǎng)絡(luò)安全法應(yīng)定性為網(wǎng)絡(luò)的基本法。從立法技術(shù)上講，在基本法中規(guī)定具體詳細(xì)的網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)是不太可行的。但如何制定網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)及其法律效力，是網(wǎng)絡(luò)安全法必須要明確的內(nèi)容。”謝君澤說(shuō)，“包括手機(jī)安全技術(shù)標(biāo)準(zhǔn)在內(nèi)的各類具體技術(shù)標(biāo)準(zhǔn)，可以在網(wǎng)絡(luò)安全法的下位法中專門規(guī)定。從這個(gè)意義上講，這些具體的網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)，都屬于網(wǎng)絡(luò)安全法體系的內(nèi)容。”

此外，謝君澤建議，為了保障手機(jī)用戶的安全，建立手機(jī)犯罪應(yīng)急響應(yīng)機(jī)制也十分必要。“據(jù)我了解，在手機(jī)木馬病毒事件發(fā)生后，中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通各自采取了多項(xiàng)應(yīng)急處理措施。如，中國(guó)電信啟動(dòng)全網(wǎng)處置行動(dòng)，中國(guó)移動(dòng)實(shí)施全網(wǎng)攔截和封堵并通過(guò)官方微博預(yù)警；中國(guó)聯(lián)通實(shí)施關(guān)鍵字?jǐn)r截和WAP網(wǎng)關(guān)攔截。這無(wú)疑是手機(jī)犯罪應(yīng)急響應(yīng)機(jī)制的一次重要探索，這能否成為一種常規(guī)性的工作機(jī)制并在相關(guān)法律規(guī)定中加以明確，是十分值得思考的問(wèn)題。”謝君澤說(shuō)。

行業(yè)標(biāo)準(zhǔn)只能作為推薦標(biāo)準(zhǔn)

記者近日從工信部權(quán)威部門獲悉，涉及智能終端的個(gè)人信息保護(hù)的行業(yè)標(biāo)準(zhǔn)正在制定中，出臺(tái)后通過(guò)規(guī)范移動(dòng)智能終端的安全技術(shù)標(biāo)準(zhǔn)與測(cè)試方法，可提高智能終端的安全性。

據(jù)一位業(yè)內(nèi)專家介紹，此行業(yè)標(biāo)準(zhǔn)出臺(tái)如果能得到手機(jī)生產(chǎn)企業(yè)落實(shí)，可以一定程度上改善手機(jī)安全問(wèn)題。目前該行業(yè)標(biāo)準(zhǔn)已經(jīng)進(jìn)行數(shù)次討論，但也存在一些爭(zhēng)議和分歧，最主要的是關(guān)于標(biāo)準(zhǔn)合理性以及最終如何落地。

“目前很多有實(shí)力且有責(zé)任感的大公司在沒(méi)有行業(yè)標(biāo)準(zhǔn)的現(xiàn)狀下，自己制定企業(yè)標(biāo)準(zhǔn)，比如做一些應(yīng)用軟件的加固。但如果沒(méi)有法律法規(guī)的強(qiáng)制要求，行業(yè)標(biāo)準(zhǔn)只能作為推薦標(biāo)準(zhǔn)，其效果也將大打折扣。”這位專家直言。

這位專家介紹，制定該行業(yè)標(biāo)準(zhǔn)首要的關(guān)鍵問(wèn)題是，識(shí)別出哪些內(nèi)容屬于對(duì)用戶影響最大最重要的個(gè)人信息，比如涉及到個(gè)人的位置信息、郵件短信、電子商務(wù)的賬戶密碼以及個(gè)人的照片視頻等。其次，對(duì)這些信息設(shè)置具體的安全機(jī)制，并最終可以在智能終端上體現(xiàn)。最后，出臺(tái)相關(guān)的驗(yàn)證方案并落地。

“這可能會(huì)涉及到手機(jī)芯片的改動(dòng)，加大廠商的研發(fā)成本和生產(chǎn)成本，操作系統(tǒng)的改變也將帶來(lái)很大的工作量。因此廠家和通信運(yùn)營(yíng)商在落地問(wèn)題上仍存在不小分歧。”這位專家同時(shí)指出，“他們都希望能保護(hù)好用戶的個(gè)人信息，也希望技術(shù)和管理兩方面能有效結(jié)合起來(lái)。一旦出現(xiàn)問(wèn)題，如果有了相應(yīng)的民事、行政、刑事等懲罰手段，會(huì)起到很好的規(guī)制作用。”

必須拿出自主過(guò)硬操作系統(tǒng)

據(jù)謝君澤介紹，這次所謂的“超級(jí)手機(jī)病毒”本身的技術(shù)含量其實(shí)并不高，眾多手機(jī)用戶中招的原因可以歸結(jié)為兩個(gè)：一是手機(jī)用戶對(duì)于開(kāi)源手機(jī)系統(tǒng)的技術(shù)知識(shí)和安全隱患都缺少了解，二是開(kāi)源手機(jī)系統(tǒng)的安全設(shè)計(jì)本身不夠科學(xué)。

所謂的開(kāi)源手機(jī)系統(tǒng)，就是源代碼全部公開(kāi)的手機(jī)系統(tǒng)。安卓就是典型的開(kāi)源手機(jī)系統(tǒng)。這種系統(tǒng)有利于系統(tǒng)的二次開(kāi)發(fā)和應(yīng)用程序的兼容安裝，然而安全性、可靠性很難保證，惡意程序便有了活躍的空間。

“由于開(kāi)源手機(jī)系統(tǒng)安全隱患要大得多，所以，開(kāi)源手機(jī)系統(tǒng)應(yīng)當(dāng)提高安全標(biāo)準(zhǔn)。這種安全標(biāo)準(zhǔn)，既可以體現(xiàn)在技術(shù)上，也可以體現(xiàn)在管理功能上。”謝君澤說(shuō)，比如，在這次手機(jī)病毒事件中，在手機(jī)短信、手機(jī)瀏覽器中收到安裝文件時(shí)，如果安卓系統(tǒng)設(shè)置更為明顯的警告，告知手機(jī)用戶其中潛在風(fēng)險(xiǎn)，可能會(huì)大大減少中毒手機(jī)的數(shù)量。

謝君澤特別強(qiáng)調(diào)指出，這次事件影射出一個(gè)更大的問(wèn)題是我國(guó)缺少自主的智能手機(jī)系統(tǒng)。目前，國(guó)內(nèi)智能手機(jī)的操作系統(tǒng)基本上都是谷歌Andriod系統(tǒng)、蘋果的IOS系統(tǒng)和微軟的Windows　Phone系統(tǒng)。我國(guó)不僅缺少自主的桌面操作系統(tǒng)，也缺少自主的手機(jī)操作系統(tǒng)。

“Android系統(tǒng)由于是開(kāi)放源代碼，因此得到各大智能手機(jī)產(chǎn)商的青睞。然而，開(kāi)源的另一方面問(wèn)題就是Android系統(tǒng)面臨著更大的安全隱患。這次超級(jí)手機(jī)病毒只針對(duì)Android系統(tǒng)，就足以說(shuō)明這個(gè)問(wèn)題。要根治手機(jī)安全問(wèn)題，中國(guó)必須拿出自主的手機(jī)操作系統(tǒng)，而且必須是技術(shù)過(guò)硬的手機(jī)操作系統(tǒng)。”謝君澤說(shuō)。